Переворот в системе доменных имен
Еще где-то в конце уходящего 2009 года, краем уха я слышал, что в мире интернета произойдут кардинальные изменения, связанные с новой системой доменных имен.
5 мая 2010 года обещает быть знаменательным в истории ИТ-технологий – система доменных имен перейдет на более безопасный протокол DNSSEC. Однако это обновление может повлечь за собой утрату доступа к Интернету для некоторой части пользователей. По всей вероятности, для подавляющего большинства интернетчиков обновление пройдет гладко, однако расслабляться раньше времени не следует.
Отличие нового протокола состоит в том, что к обычным DNS-запросам будет добавляться цифровая подпись, что позволит уменьшить риск стать жертвой атак вроде так называемого «отравления кэша DNS».
В первой половине 2008 года экспертами по безопасности было обнаружено, что в результате определенных манипуляций злоумышленник может подменить информацию, сохраненную в кэше DNS-сервера. К примеру, заменив IP-адрес сервера, соответствующего доменному имени gmail.com, пользователей почтовой службы можно перенаправить на фишинговый сайт и собрать богатый урожай логинов и паролей.
Общими усилиями компаний Microsoft, Sun и Cisco к середине лета были выпущены исправления и эту дыру кое-как залатали. Нынешнее обновление протокола призвано решить эту проблему более радикальным образом.
События будут развиваться следующим образом: сперва новый протокол будет внедрен на 13 корневых серверах Интернета. Это может привести к тому, что все пользователи с несовместимым оборудованием (либо клиенты провайдеров с таким оборудованием) потеряют доступ к некоторым сайтам и сервисам.
Почему так? Причина состоит в том, что обмен информацией с DNS-серверами происходит по протоколу UDP, причем, совсем небольшими пакетами — размером до 512 байт. Пакеты же DNSSEC намного больше, и если сетевое оборудование сконфигурировано только для пакетов малого размера, проблем не избежать.
Есть опасения, что трудности, в первую очередь, могут возникнуть на предприятиях с разветвленной инфраструктурой, так как существует масса файерволов и прочего промежуточного оборудования, которое настраивалось лишь в расчете на UDP-пакеты размером до 512 байт.
В ряде случаев, как отмечают эксперты, подобные устройства будут перенаправлять соответствующий трафик по протоколу TCP, что приведет к увеличению потребления трафика и аппаратных ресурсов.
PS: Это Вам не детские электромобили продавать, хотя для этого существуют интернет-магазины, которые в данной ситуации, как и все, тоже почувствуют неудобства!..:]
Чтобы оценить вероятность возникновения проблем, вы можете скачать специальное java-приложение (см. labs.ripe.net). Указав адрес своего DNS-сервера и запустив проверку на размер пакета, вы узнаете, стоит ли вам впадать в панику уже сейчас или можно повременить до 5 мая.
Твитнуть
Впервые об этом слышу. Спасибо за инфу.
Хотя 5 мая уже позади…