互聯(lián)網(wǎng)“根”之變：全球13臺DNS根服務(wù)器升級

Win7之家（ airtaxifl.com）：互聯(lián)網(wǎng)“根”之變：全球13臺DNS根服務(wù)器升級

5月5日，由ICANN，美國政府和Verisign領(lǐng)導的全球13臺根域名服務(wù)器將會迎來DNSSEC（Domain Name System Security Extensions，域名系統(tǒng)安全擴展）升級，DNSSEC升級將會在反饋給互聯(lián)網(wǎng)用戶的DNS請求響應(yīng)中插入數(shù)字簽名，確保返回的域名地址是未經(jīng)篡改的。

DNSSEC是為阻止中間人攻擊而設(shè)計的，利用中間人攻擊，黑客可以劫持DNS請求，并返回一個假地址給請求方，這種攻擊手段類似于正常的DNS重定向，人們在不知不覺中被轉(zhuǎn)到另一個URL。

據(jù)Melbourne IT首席戰(zhàn)略官，ICANN董事Bruce Tonkin說，本次升級將會給那些毫無準備的網(wǎng)絡(luò)管理員一個措手不及，響應(yīng)標準DNS請求往往只有一個單一的數(shù)據(jù)包（UDP協(xié)議），大小一般不會超過 521字節(jié)，在某些較舊的網(wǎng)絡(luò)設(shè)備中，比這個大的請求將會被出廠默認配置阻止掉，它會認為超過這個大小的數(shù)據(jù)包是異常的。

截至UTC 5月5日17:00點，所有發(fā)送給用戶DNS解析器的DNSSEC簽名的消息將會變大到2KB，是原來的4倍，但這么大的數(shù)據(jù)包可能會被許多網(wǎng)絡(luò)設(shè)備拒絕接收，因此這個響應(yīng)消息很可能會通過TCP分成多個數(shù)據(jù)包進行發(fā)送。

Tonkin有點擔心，雖然DNSSEC已經(jīng)提上日程有一段時間了，但許多IT和網(wǎng)絡(luò)管理員還沒有測試他們的舊路由器和防火墻，如果不能處理更大的DNS響應(yīng)數(shù)據(jù)包就麻煩了。

他說：“企業(yè)網(wǎng)絡(luò)中的設(shè)備可能會阻止比以往更大的DNS請求響應(yīng)數(shù)據(jù)包”。

DNSSEC其實早在 2009年11月就在全球13臺根服務(wù)器上準備好了，到目前為止，它只會導致許多舊網(wǎng)絡(luò)設(shè)備載入網(wǎng)頁略有延遲。

不是所有DNS根服務(wù)器都會響應(yīng)每一個請求，用戶機器上的DNS解析器會逐個請求這13臺根服務(wù)器，直到返回一個滿意的答復。當13臺具有 DNSSEC簽名功能的根服務(wù)器全部上線后，所有的響應(yīng)不會抵達舊設(shè)備的企業(yè)網(wǎng)絡(luò)，Tonkin希望大型ISP能解決這個問題，讓家庭用戶不受影響。

他說：“我不能保證所有ISP都準備好了，ISP會為你翻譯DNS，但企業(yè)網(wǎng)絡(luò)可能影響比較大，因為企業(yè)可能運行了自己的DNS服務(wù)器”。

從這個意義上來說，5月5日可與千年蟲危機匹敵。Tonkin預計會有大量的組織遇到互聯(lián)網(wǎng)接入問題，大量的網(wǎng)絡(luò)管理員將會抓破頭皮尋找問題的根源。

這個問題可能需要數(shù)天才能完全消除，晚上未關(guān)機的用戶可能會訪問到一些頁面，那也僅僅是緩存中的內(nèi)容。Tonkin建議網(wǎng)絡(luò)管理員盡快運行一系列簡單的測試，確保他們的網(wǎng)絡(luò)可以處理更大的DNS響應(yīng)包。

【51CTO.com譯稿】
原文：Warning: Why your Internet might fail on May 5 
作者：Brett Winterford