Хостами и с другими DNS-серверами только протокол TCP, но не UDP. Но не забывайте как про возможный

Перехват DNS-запроса, так и про математическое предсказание начально-. го значения TCP-идентификатора

ISN (см. раздел <Подмена одного из субъектов TCP-соединения в сети Internet>).

В заключение можно порекомендовать для всей сети Internet поскорее перейти либо к более защищенной

Версии службы DNS, либо принять единый стандарт на защищенный протокол. Осуществить этот переход,

Несмотря на все колоссальные расходы, просто необходимо, иначе Internet окажется на коленях перед

Возрастающими успешными попытками нарушения безопасности.

Защита от навязывания ложного маршрута

Напомним, что в главе 4 рассматривалась удаленная атака передачи на хост ложного сообщения ICMP

Redirect о смене исходного маршрута. Эта атака приводила как к перехвату атакующим информации, так и к

Нарушению работоспособности атакуемого хоста. Для того чтобы защититься от такой атаки, необходимо

Либо фильтровать данное сообщение (используя Firewall или фильтрующий маршрутизатор), не допуская его

Попадания на конечную систему, либо соответствующим образом выбирать сетевую ОС, которая

Проигнорирует это сообщение. Однако обычно не существует административных способов повлиять на

Сетевую ОС так, чтобы запретить ей изменять маршрут и реагировать на данное сообщение. Единственный