On Mon, Nov 04, 2013 at 11:44:28PM +0400, Victor Wagner wrote: > On 2013.11.04 at 23:01:11 +0400, Eugene Berdnikov wrote: > > > > > > > Это очевидно, почему. Запись TXT в DNS публичная. Поэтому потенциальный > > > атакующий не должен иметь возможности, зная эту запись от чужой машины, > > > подделать её dhcp-запрос. Иначе теряется весь смысл этой самой > > > TXT-записи. Хотя непонятно что мешает атакующему отсниффить этот самый > > > DHCP-запрос, он же бродкастный. > > > > Тот, кто может вставить DNS-у update, имеет массу способов навредить, > > включая удаление записей и создание новых, вплоть до DoS-атак. > > Для этого не нужно подделывать запросы клиента. > > Речь идет о том, чтобы возможность ПРОЧИТАТЬ запись TXT не добавляла > информации, необходимой для подделки dhcp-запроса. Поэтому туда и не > кладут в открытом виде ни Mac-адрес, ни dhcp-client-id.
Пока мне не покажут реалистичную схему атаки с использованием поддельных dhcp-запросов, я буду считать это всё досужими фантазиями. На практике намного важнее вопрос защиты от ОТВЕТОВ, т.е. от левых dhcp-серверов. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131104205146.ge12...@sie.protva.ru