¿Qué tan seguros son los servidores DNS para Bitcoin?

Con la versión 0.6, Bitcoin introdujo los servidores DNS que llenan los pares iniciales para nuevos clientes. ¿Qué tan seguros son esos servidores en términos de ser inmunes a los ataques de eliminación o la inyección de datos maliciosos?

No importa mucho, ya que este es un método inicial entre varios y un atacante tendría que controlar las 8 conexiones salientes para causarle daño. Hasta donde yo sé, las semillas de DNS proporcionadas no fueron auditadas para seguridad contra ataques desde el exterior, sino que fueron proporcionadas por personas que eran confiables y que podían ofrecer el servicio. Por ejemplo, uno está dirigido por Vladimir Marchenko .
Vladimir ejecutó una semilla de DNS, pero se eliminó del código fuente de bitcoind en octubre de 2011 (a petición suya). Vea mi publicación a continuación para obtener más detalles.

Respuestas (1)

Existen algunas diferencias entre la siembra de DNS y el método IRC. IRC solía funcionar como un punto de encuentro; esencialmente un sistema de transmisión centralizado para que (todos) los demás nodos sepan sobre su existencia, pero no pudo responder a la pregunta "¿quién está en línea ahora?". Esto significa que al usar IRC como un nodo accesible públicamente, a menudo vería un pico de conexiones entrantes rápidamente, pero poca actividad después. Obviamente, también era vulnerable a los ataques de DOS como punto de falla centralizado.

Las semillas de DNS están mucho más pensadas para funcionar como semillas: proporcionan a los nodos algunos puntos de entrada fiables a la red, pero permiten que la propia red descubra nuevos nodos (los pares intercambian las direcciones IP de otros pares). Además, el sistema DNS es capaz de servir a un número mucho mayor de nodos.

Para responder a su pregunta real: los servidores DNS en sí mismos pueden ser vulnerables a los ataques, pero es importante darse cuenta de que son mucho menos esenciales para la red que IRC. Además, las 4 semillas DNS activas son operadas por diferentes personas y administradas de manera bastante diferente:

  • El nodo de Jeff ( bitseed.xf2.org), actualmente es una lista estática, actualizada principalmente de forma manual y con poca frecuencia, pero alojada de manera muy confiable.
  • El nodo de Matt ( dnsseed.bluematt.me), es atendido por un servidor BIND (software de servidor DNS típico), que recibe una nueva lista de nodos confiables por un rastreador cada pocos minutos o segundos.
  • Luke ( dnsseed.bitcoin.dashjr.org) y mi nodo ( seed.bitcoin.sipa.be) ejecutan un servidor DNS personalizado + sistema de rastreo, que informa un conjunto aleatorio de nodos confiables para cada consulta.

Otro comentario sobre su pregunta: el sistema de inicialización de DNS se introdujo en v0.3.21 (abril de 2011) y se activó de forma predeterminada en v0.3.24 (julio de 2011). Desde 0.6.0 (marzo de 2012), la inicialización de IRC está desactivada de forma predeterminada. A partir de 0.8.2 (aún no publicado), el soporte de IRC se eliminará por completo.

¿Alguna idea de por qué bitcoin no optó por STUN//TURN/ICE? Parece que eliminaría las complicaciones relacionadas con los cortafuegos y demás. Abriendo el mundo a más compañeros. webrtc.org/reference/architecture#TOC-STUN-ICE
¿Utiliza DNSSEC?
¿Qué tan seguros son los servidores DNS para Bitcoin?
RespuestasAquíPolítica de privacidad1y, 2v