Я только что прочитал Эта статья об отравлении кеша DNS, и, хотя я это понимаю, прав ли я, говоря, что отравление кеша DNS невозможно, когда сервер находится за маршрутизатором, используя либо адрес, либо ограниченный портом конусный NAT?
Нет.
При атаке с отравлением кеша злоумышленник подделывает ответ сервера истинного имени. Поддельный ответ, который успешно отравляет кеш рекурсора, имеет правильный IP-адрес источника, правильную информацию о порте и правильный идентификатор запроса - устройство NAT перешлет такой пакет на сервер.
Рандомизация исходного порта на устройстве NAT (вместо того, чтобы каждый запрос поступал только от UDP 53), создала бы дополнительную сложность для преодоления злоумышленником, но в атаке, когда вы заставляете преобразование NAT оставаться на месте с постоянными запросами, перевод останется на месте - исходный порт нужно будет угадывать только один раз, а не для каждого отдельного запроса.
Рандомизация исходного порта в процессе DNS рекурсора в значительной степени необходима для приличной защиты от этой атаки.
В основном, насколько я понимаю, атака работает, обеспечивая ложный ответ быстрее, чем настоящий сервер дает правильный ответ. Проблема в том, что есть некоторые вещи, о которых злоумышленник не знает, пока он не получит доступ к пакету запроса, например номер порта. Это означает, что злоумышленнику необходимо попробовать все возможные комбинации. Некоторые недостатки конструкции, такие как одиночный или последовательный порт источника, делают гораздо меньше попыток использования комбинаций.
Проблема с брандмауэром заключается в том, что брандмауэр должен передать правильный ответ обратно отправителю запроса. Таким образом, если он выполняет NAT и / или межсетевой экран без сохранения состояния, он будет записывать исходящие порты пакетов запросов DNS в таблицу NAT и / или соединений. Когда приходит ответный пакет и совпадает с портами, он будет передан или отклонен, независимо от того, настоящий он или фальшивый.
Ну, это зависит от обстоятельств, если вы можете доверять кому-либо, вы тоже сначала отправляете пакет, вероятно, да. Но в противном случае это возможно, потому что он все равно сможет отправлять вам пакеты с мошенническим ip. IP-адрес, с которого он будет отправлять, будет IP-адресом, с которым вы можете общаться, злонамеренный IP-адрес будет просто в содержимом пакета. (Если я правильно понимаю)