Понимание отравления кэшем DNS
1) Необходимо определить требования к питанию. Доберитесь дешевый монитор потребляемой мощности снабжают сокетом и включают его. Запишите потребление на, загружать/бездействовать/большая нагрузка.
2) Определите, сколько времени Вы хотите смочь действовать без питания. 5 минут? 10 минут? 1 час?
3) Просмотрите свой магазин локального оборудования для UPS, который удовлетворяет Вашим потребностям.
Нет.
При атаке с отравлением кеша злоумышленник подделывает ответ от сервера истинных имен. Поддельный ответ, который успешно отравляет кеш рекурсора, имеет правильный IP-адрес источника, правильную информацию о порте и правильный идентификатор запроса - устройство NAT перешлет такой пакет на сервер.
Рандомизация порта источника на устройстве NAT ( вместо того, чтобы каждый запрос поступал только из UDP 53), злоумышленник мог бы преодолеть некоторую дополнительную сложность, но в атаке, когда вы заставляете преобразование NAT оставаться на месте с постоянными запросами, преобразование останется на месте - исходный порт нужно было бы угадывать только один раз, а не для каждого отдельного запроса.
Рандомизация исходного порта на рекурсоре '
В основном, насколько я понимаю, атака работает, обеспечивая ложный ответ быстрее, чем реальный сервер дает правильный ответ. Проблема в том, что есть некоторые вещи, о которых злоумышленник не знает, пока он не получит доступ к пакету запроса, например номер порта. Это означает, что злоумышленнику необходимо попробовать все возможные комбинации. Некоторые недостатки конструкции, такие как одиночный или последовательный порт источника, делают гораздо меньше попыток использования комбинаций.
Проблема с брандмауэром заключается в том, что брандмауэр должен передать правильный ответ обратно отправителю запроса. Таким образом, если он выполняет NAT и / или межсетевой экран без сохранения состояния, он будет записывать исходящие порты пакетов запросов DNS в таблицу NAT и / или соединений. Когда приходит ответный пакет и совпадает с портами, он будет передан или отменен, независимо от того, настоящий он или фальшивый.
Ну, это зависит от обстоятельств, если вы можете доверять кому-либо, вы тоже сначала отправляете пакет, возможно, да. Но в противном случае это возможно, потому что он все равно сможет отправлять вам пакеты с мошенническим ip. IP-адрес, с которого он будет отправлять, будет IP-адресом, с которым вы можете общаться, вредоносный IP-адрес будет просто в содержимом пакета. (Если я правильно понимаю)