Pero, ¿cuál es la más efectiva?
Abordan temas ligeramente diferentes:
- La aleatorización de puertos hace que la falsificación de DNS sea más difícil porque hay un secreto desconocido adicional para el atacante (el puerto) que debe coincidir con la respuesta falsificada.
- Con DNSSec, uno puede detectar de manera confiable si la respuesta fue falsificada.
¿Qué soluciones se implementan realmente en los servidores de nombres hoy?
DNSSec en todas partes probablemente haga que la asignación aleatoria de puertos sea obsoleta, pero actualmente estamos lejos de una adopción suficiente. Por el momento, necesitamos aleatorización de puertos. Pero esto no es una solución del lado del servidor, sino que debe hacerlo el cliente (un caché de DNS funciona como un cliente cuando se le pregunta a otro servidor de DNS).