Подход Google Public DNS к борьбе с атаками на загрузку кэша

Система доменных имен (DNS) переводит доменные имена в IP-адреса, позволяя устройствам общаться в интернете. DNS изначально была спроектирована без мер безопасности, что делало ее уязвимой для атак, таких как отравление кэша, когда атакующие подделывают ответы, чтобы перенаправить пользователей. Google Public DNS использует разные методы для противодействия отравлению кэша, включая рандомизацию порта источника и идентификатора запроса, как описано в RFC 5452. Они также реализовали DNS Cookies, но нашли ограниченную поддержку среди авторитетных серверов. Рандомизация имен запросов, предложенная в проекте 2008 года, оказалась эффективной и теперь развернута по умолчанию в Google Public DNS, покрывая более 90% трафика UDP к серверам имен. Google Public DNS также реализовал DNS-over-TLS (ADoT) для защищенной связи с авторитетными серверами имен, обеспечивая как безопасность, так и приватность. Реализуя эти противодействующие меры, Google Public DNS стремится обеспечить безопасный и надежный сервис разрешения DNS. Они призывают операторов DNS-серверов внедрять эти меры безопасности и сотрудничать для улучшения безопасности DNS в целом. Google Public DNS обеспечивает защиту от пассивных атак отравления кэша для более чем 90% авторитетных запросов. Операторам DNS-серверов рекомендуется поддерживать несколько мер безопасности для усиления безопасности DNS. Google Public DNS активно участвует в сообществе DNS, чтобы улучшать стандарты безопасности. Более подробные технические детали можно найти в их презентациях на DNS-OARC 38 и 40.