找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 319|回复: 0

[【IT前沿】] 13台DNS根服务器升级 DNSSEC将改变互联网未来

[复制链接]
发表于 2010-5-4 21:17:18 | 显示全部楼层 |阅读模式
5月5日,由ICANN,美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC(Domain Name System Security Extensions,域名系统安全扩展)升级,DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改的。

DNSSEC是为阻止中间人攻击而设计的,利用中间人攻击,黑客可以劫持DNS请求,并返回一个假地址给请求方,这种攻击手段类似于正常的DNS重定向,人们在不知不觉中被转到另一个URL。(51CTO.com注:实际上域名劫持技术和DNS缓存投毒攻击相当广泛,这也是互联网最大的漏洞——DNS缓存漏洞造成的,DNSSEC可以解决这类问题,今年年初,百度事件就是因为DNS服务器被攻击造成的。)

据Melbourne IT首席战略官,ICANN董事Bruce Tonkin说,本次升级将会给那些毫无准备的网络管理员一个措手不及,响应标准DNS请求往往只有一个单一的数据包(UDP协议),大小一般不会超过521字节,在某些较旧的网络设备中,比这个大的请求将会被出厂默认配置阻止掉,它会认为超过这个大小的数据包是异常的。

截至UTC 5月5日17:00点,所有发送给用户DNS解析器的DNSSEC签名的消息将会变大到2KB,是原来的4倍,但这么大的数据包可能会被许多网络设备拒绝接收,因此这个响应消息很可能会通过TCP分成多个数据包进行发送。

Tonkin有点担心,虽然DNSSEC已经提上日程有一段时间了,但许多IT和网络管理员还没有测试他们的旧路由器和防火墙,如果不能处理更大的DNS响应数据包就麻烦了。

他说:“企业网络中的设备可能会阻止比以往更大的DNS请求响应数据包”。

DNSSEC其实早在2009年11月就在全球13台根服务器上准备好了,到目前为止,它只会导致许多旧网络设备载入网页略有延迟。

不是所有DNS根服务器都会响应每一个请求,用户机器上的DNS解析器会逐个请求这13台根服务器,直到返回一个满意的答复。当13台具有DNSSEC签名功能的根服务器全部上线后,所有的响应不会抵达旧设备的企业网络,Tonkin希望大型ISP能解决这个问题,让家庭用户不受影响。

他说:“我不能保证所有ISP都准备好了,ISP会为你翻译DNS,但企业网络可能影响比较大,因为企业可能运行了自己的DNS服务器”。

从这个意义上来说,5月5日可与千年虫危机匹敌。Tonkin预计会有大量的组织遇到互联网接入问题,大量的网络管理员将会抓破头皮寻找问题的根源。

这个问题可能需要数天才能完全消除,晚上未关机的用户可能会访问到一些页面,那也仅仅是缓存中的内容。Tonkin建议网络管理员尽快运行一系列简单的测试,确保他们的网络可以处理更大的DNS响应包。

【51CTO.com译稿,合作站点转载请注明原文译者和出处。】

原文:Warning: Why your Internet might fail on May 5 作者:Brett Winterford

http://network.51cto.com/art/201005/198004.htm

13台DNS根服务器早该升级了,IPv6就要来了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-27 13:59 , Processed in 0.245165 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表