Vlákno názorů k článku Úspěšný útok na Internet -- II? od Artur Linhart - Rekl bych, ze by mozna bylo mozno zpresnit...

Rekl bych, ze by mozna bylo mozno zpresnit vyrok

"Protože v okamžiku, kdy nefunguje DNS, není běžný člověk schopen s internetem fungovat (nefunguje žádná "písemná" adresa), faktickým vyřazením DNS z provozu dosáhneme nefunkčnosti internetu, jak ho běžní uživatelé používají."

vyjadrenim, ze i dosti zdatny uzivatel internetu si neskrtne pri pouzivani napr. rady WWW serveru - tech, ktere pouzivaji k identifikaci web serveru jeho symbolickou adresu z hlavicky http requestu (tzn. pokud dany server neobsluhuje dotazy na IP adresu stroje kde zrovna bezi...) - mam dojem, ze to bude asi vetsina www serveru co ve svete bezi... Nebo ne? U malych serveru vetsinou na jednom stroji bezi webserveru vice, u velkych by byl treba asi problem s clusteringem pres round-robin DNS adres, ktery se mi zda byt dost pouzivanym... Dalsim nejfrekventovanejsim uzitim internetu s malym i je zasilani mailu - po zruseni DNSek je i pri znalosti IP daneho ciloveho mailserveru nutne se spolehat na to, ze spravci mailserver nakonfigurovali spravne podle rfc (coz neni nic samozrejmeho) - tak, aby krome Mailalias@domena byl server schopen obslouzit i maily Mailalias@IPAdresa - pokud je vice mailovych domen na jednom stroji, je to opet problem... A i tak, vetsina rada mailserveru overuje prichozi maily pres DNS na platnost domeny odesilatele mailu, aby zabranila rozesilani spammu, takze je dost pravdepodobne, ze by server spis maily odmital ;-).
Dalsim problemem je to, ze se DNS jmena pouzivaji v mnoha pripadech jako pomocnik pro vetsi odolnost a pohodlnost konfigurace nejruznejsich aplikaci a systemovych sluzeb - a kdyz DNS vypadne, vetsinou ani nejvetsi hacker neni schopen zjistit (nema-li napr. pristup k logum sveho DNS pres kterey puvodne dotazy bezely) jaka odpovidajici IP adresa vlastne symbolicke byla prirazena, nebo by mela byt... Samozrejme, :-))))) nekolik stastnych jedincu, mezi nez ja nepatrim, avsak autor tohoto clanku podle mych zkusenosti pravdepodobne ano, nosi DNS v hlave :-)))) Bohuzel pro tenhle zpusob neexistuje zadne rfc, rad bych se to taky naucil :-)))))

Ale vazne: rozhodne se mi z meho hlediska vyrazeni DNS zda momentalne jako nejlepsi moznost pro globalni utok na internet s malym i - je to nejefektivnejsi, ma relativne dlouheho trvani a je s nejvetsim medialnim ucinkem - prece jen, smysl a fungovani DNS je schopno pochopit vetsi mnozstvi lidi nezli nuance implementace nizkourovnovych routovacich protokolu - a nic neni medialne uspesnejsi nez to, kde se clovek muze citit odbornikem :-))). A protoze cilem globalniho ochromeni internetu je predevsim ziskani publicity a snad nic jineho (neni realne), tak bych se - byt teroristy - asi zameril timhle smerem :-)

No, v dobe, kdy budou vyrazeny DNS servery se pravdepodobne aktivita tech, kteri budou schopni s Internetem pracovat i bez DNS zamerovat pravdepodobne jinym smerem, nez koukanim se po WWW. A ujistuji vas, ze pokud se presto po WWW rozhodnu koukat, tak tak ucinim - z Windows i prakticky vsech UNIXu - libovolnym prohlizecem a to (samozrejme) vcetne tech virtualnich serveru o kterych byla rec.

Vcetne toho, ze budes vedet IP adresy vsech techhle serveru... ;-))) Rekl bych, Dane, ze stejne jako MK patris k lidem, kteri maji DNS v hlave :-))). Zbyva mi jen blede zavidet :-)))).
Nerikam ze je to nemozne, ale mozne asi spis jen za znacneho usili a u lidi, kteri maji chut nebo motivaci se s tim patlat u toho ktereho konkretniho serveru - schvalne, kolik tisicin promile uzivatelu to bude :-)))). Jinak samozrejme vyuzivani webu jakozto informacniho zdroje pro napr. likvidaci nasledku takovehle hruzy bude taky dost ztizene...
A nakonec - nemyslim, ze napsat HTTP request v ruce by umel jen ten, co se zabyva profesionalne sitemi na "nejnizsi" urovni a ma co do cineni se spravou korenovych ci jinych DNS, popr. ma na starosti likvidace nasledku podobneho utoku...

Ani jsem tak nemel na mysli psani HTTP requestu v ruce (i kdyz i to samizrejme umim), jako spis editaci HOSTS.TXT respektive /etc/hosts. Ostatne, mluvil jsem o pristupu libovolnym prohlizecem, ne psanim requestu z telnetu.

Je ale neoddiskutovatelna pravda, ze v okamziku, kdy nebude fungovat DNS budou s Internetem pracovat jen "nikoli normalni" uzivatele, pouzite metody pristupu a pouzivane prostredky budou patrne nikoli zcela obvykle (napriklad si myslim, ze WWW servery skutecne nikdo k nicemu pouzivat nebude) a to co vedeme je tedy ciste hypoteticka debata. Bezny uzivatel (takovy ten, co je k dostani v bile nepopsane krabici) v te dobe asi zadnym zpusobem pracovat skutecne nebude ...

Ve Windows se ten soubor jmenuje hosts (bez pripony). Posledni hosts.txt jsem videl v roce 1996 v IP stacku od Novellu - LANWorkPlace se tusim jmenoval.

Mimochodem, to, ze mam v hlave DNS, je mrzka pomluva.

Měl jsem takovou Win utilitku, určenou na urychlení surfování, která strkala všechny používané adresy do souboru hosts, kromě jiného je uměla také ve stanovenou dobu refreshovat. Uživatel takovéhoto prográmku by nebyl výpadkem DNS téměř postižen.