But, which is the more effective?
Affrontano problemi leggermente diversi:
- La randomizzazione delle porte rende più difficile lo spoofing del DNS perché esiste un ulteriore segreto sconosciuto per l'attaccante (la porta) che deve corrispondere per la risposta falsificata.
- Con DNSSec è possibile rilevare in modo affidabile se la risposta è stata falsificata.
Which solutions are really deployed in the nameservers today?
DNSSec ovunque potrebbe probabilmente rendere obsoleta la randomizzazione delle porte, ma al momento siamo lontani da un'adozione sufficiente. Per il tempo medio abbiamo bisogno di randomizzazione della porta. Ma questa non è una soluzione lato server, ma deve essere eseguita dal client (una cache DNS funziona come client quando si richiede un altro server DNS).