Интернет может закончиться 5-го мая.
- 24.04.10, 13:04
Протокол DNSSEC отличается от обычных DNS-запросов
наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS
поможет сделать современный Интернет более безопасным. Во всяком случае, новый
протокол полностью исключает атаки на службу DNS с использованием таких
уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008
года.
Сейчас новый протокол осторожно внедряется на корневых серверах
имен DNS. В мае этого года на новый протокол с цифровыми подписями должны
перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не
поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить
электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина
возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в
том, стандартный протокол DNS использует транспортный уровень UDP (отправка без
ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие
модели сетевого оборудования содержат в заводских настройках запрет на прием
UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут
передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так
что немалая доля сетевого оборудования может просто перестать работать с новым
протоколом.
Конечно, некоторые модели сетевых устройств могут перейти на
транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко
повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут
затрачиваться на установление и поддержание соединений. Еще одна проблема
связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае
подменяют содержимое ответов от DNS-серверов.
Возможным решением проблемы
может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы
расширения для службы имен), но этот стандарт, 10 лет назад принятый
организацией IETF, так и не получил повсеместного распространения. Кит Митчелл
(Keith Mitchell), глава инженерного подразделения в компании Internet Systems
Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является
главным и единственным инструментом для борьбы с возможными проблемами при
переходе на протокол DNSSEC на предприятиях и в сетях независимых
Интернет-провайдеров.
Проверить совместимость используемой вами службы
DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем
запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям
беспокоиться не стоит – все равно без участия провайдера сделать будет ничего
нельзя.
наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS
поможет сделать современный Интернет более безопасным. Во всяком случае, новый
протокол полностью исключает атаки на службу DNS с использованием таких
уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008
года.
Сейчас новый протокол осторожно внедряется на корневых серверах
имен DNS. В мае этого года на новый протокол с цифровыми подписями должны
перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не
поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить
электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина
возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в
том, стандартный протокол DNS использует транспортный уровень UDP (отправка без
ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие
модели сетевого оборудования содержат в заводских настройках запрет на прием
UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут
передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так
что немалая доля сетевого оборудования может просто перестать работать с новым
протоколом.
Конечно, некоторые модели сетевых устройств могут перейти на
транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко
повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут
затрачиваться на установление и поддержание соединений. Еще одна проблема
связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае
подменяют содержимое ответов от DNS-серверов.
Возможным решением проблемы
может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы
расширения для службы имен), но этот стандарт, 10 лет назад принятый
организацией IETF, так и не получил повсеместного распространения. Кит Митчелл
(Keith Mitchell), глава инженерного подразделения в компании Internet Systems
Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является
главным и единственным инструментом для борьбы с возможными проблемами при
переходе на протокол DNSSEC на предприятиях и в сетях независимых
Интернет-провайдеров.
Проверить совместимость используемой вами службы
DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем
запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям
беспокоиться не стоит – все равно без участия провайдера сделать будет ничего
нельзя.
2
Коментарі
Гість: Ванильк@
124.04.10, 13:06
Ничего не поняла
Бежик
224.04.10, 13:10
Что?
снайпер1
324.04.10, 13:13Відповідь на 2 від Бежик
Домашним пользователям
беспокоиться не стоит
Бежик
424.04.10, 13:17Відповідь на 3 від снайпер1
Спасибо, успокоил
Гість: quido
524.04.10, 13:31
Буквы вроде знакомые, а нифига не понятно
Инна_
624.04.10, 13:44Відповідь на 3 від снайпер1
Так бы сразу и говорил, то сразу паника начинается
Анюточка)
725.04.10, 08:52
Elena*
826.04.10, 12:34