O prkotinu jde v každém případě. Jen si stojím za tím, že filtrování privátních adres přijatých v DNS odpovědích z veřejného internetu je správné výchozí nastavení. Lidé, kteří vědí, že takové privátní adresy jsou v síti jejich ISP používány by měli nastavení upravit, ne naopak. Protože těch případů, kdy z internetu přijde A záznam mířící do privátního prostoru, který bude dávat smysl, bude jistě daleko méně, než případů, kdy půjde o nějakou chybu.
Nejde přece o IP adresy v síti ISP, ale o IP adresy v lokální síti uživatele (nebo v síti, kam má přístup – třeba přes VPN). Podle mne je to špatné výchozí nastavení, protože třeba ty VPN jsou případ, kdy se může připojovat úplný laik, který neví vůbec nic o tom, že by si v DNS resolveru na svém routeru měl vypínat nějaké divné výchozí nastavení. Pak to akorát vede k tomu, že správce takové VPN bude klientům nutit u svůj DNS resolver. A nedej bože, aby se uživatel připojoval do více VPN současně.
Ono ale bude mnohem jednodušší, než dotyčnému vysvětlovat, kde tenhle filtr vypne, poradit mu, jak si DNS resolver nastaví na čtyři jedničky, osmičky nebo devítky, čímž bude uživatel definitivně ochráněn od všech škodlivých odpovědí jeho lokálního DNS resolveru.
Kdyby to filtrování aspoň mělo nějaký význam… Ale ten vektor útoku, že se nastaví A záznam ale nešlo by to samé udělat CNAME záznamem; zařízení, na které se útočí, je zabezpečené právě tak divně, že pro konfiguraci není potřeba přihlášení ale je potřeba CSRF token – to je tak prapodivná kombinace, a místo odstranění bezpečnostní díry to „řešit“ tak, že se odfiltrují některé DNS odpovědi…
Nicméně použití vhodného IP rozsahu mimo vyhrazené prefixy RFC 1918 tento problém efektivně eliminuje a mělo by být tím správným řešením pro CDN server před CGN.
Problém to eliminuje do té doby, než si někdo všimne, že děravé ADSL modemy mají IP z rozsahů mimo vyhrazené prefixy RFC 1918 a začne v DNS odpovědích filtrovat ty další rozsahy.