13臺(tái)DNS根服務(wù)器升級(jí) DNSSEC將改變互聯(lián)網(wǎng)未來

5月5日，由ICANN，美國政府和Verisign領(lǐng)導(dǎo)的全球13臺(tái)根域名服務(wù)器將會(huì)迎來DNSSEC（Domain Name System Security Extensions，域名系統(tǒng)安全擴(kuò)展）升級(jí)，DNSSEC升級(jí)將會(huì)在反饋給互聯(lián)網(wǎng)用戶的DNS請(qǐng)求響應(yīng)中插入數(shù)字簽名，確保返回的域名地址是未經(jīng)篡改的。

DNSSEC是為阻止中間人攻擊而設(shè)計(jì)的，利用中間人攻擊，黑客可以劫持DNS請(qǐng)求，并返回一個(gè)假地址給請(qǐng)求方，這種攻擊手段類似于正常的DNS重定向，人們?cè)诓恢挥X中被轉(zhuǎn)到另一個(gè)URL。

據(jù)Melbourne IT首席戰(zhàn)略官，ICANN董事Bruce Tonkin說，本次升級(jí)將會(huì)給那些毫無準(zhǔn)備的網(wǎng)絡(luò)管理員一個(gè)措手不及，響應(yīng)標(biāo)準(zhǔn)DNS請(qǐng)求往往只有一個(gè)單一的數(shù)據(jù)包（UDP協(xié)議），大小一般不會(huì)超過 521字節(jié)，在某些較舊的網(wǎng)絡(luò)設(shè)備中，比這個(gè)大的請(qǐng)求將會(huì)被出廠默認(rèn)配置阻止掉，它會(huì)認(rèn)為超過這個(gè)大小的數(shù)據(jù)包是異常的。

截至UTC 5月5日17:00點(diǎn)，所有發(fā)送給用戶DNS解析器的DNSSEC簽名的消息將會(huì)變大到2KB，是原來的4倍，但這么大的數(shù)據(jù)包可能會(huì)被許多網(wǎng)絡(luò)設(shè)備拒絕接收，因此這個(gè)響應(yīng)消息很可能會(huì)通過TCP分成多個(gè)數(shù)據(jù)包進(jìn)行發(fā)送。

Tonkin有點(diǎn)擔(dān)心，雖然DNSSEC已經(jīng)提上日程有一段時(shí)間了，但許多IT和網(wǎng)絡(luò)管理員還沒有測(cè)試他們的舊路由器和防火墻，如果不能處理更大的DNS響應(yīng)數(shù)據(jù)包就麻煩了。

他說：“企業(yè)網(wǎng)絡(luò)中的設(shè)備可能會(huì)阻止比以往更大的DNS請(qǐng)求響應(yīng)數(shù)據(jù)包”。

DNSSEC其實(shí)早在 2009年11月就在全球13臺(tái)根服務(wù)器上準(zhǔn)備好了，到目前為止，它只會(huì)導(dǎo)致許多舊網(wǎng)絡(luò)設(shè)備載入網(wǎng)頁略有延遲。

不是所有DNS根服務(wù)器都會(huì)響應(yīng)每一個(gè)請(qǐng)求，用戶機(jī)器上的DNS解析器會(huì)逐個(gè)請(qǐng)求這13臺(tái)根服務(wù)器，直到返回一個(gè)滿意的答復(fù)。當(dāng)13臺(tái)具有 DNSSEC簽名功能的根服務(wù)器全部上線后，所有的響應(yīng)不會(huì)抵達(dá)舊設(shè)備的企業(yè)網(wǎng)絡(luò)，Tonkin希望大型ISP能解決這個(gè)問題，讓家庭用戶不受影響。

他說：“我不能保證所有ISP都準(zhǔn)備好了，ISP會(huì)為你翻譯DNS，但企業(yè)網(wǎng)絡(luò)可能影響比較大，因?yàn)槠髽I(yè)可能運(yùn)行了自己的DNS服務(wù)器”。

從這個(gè)意義上來說，5月5日可與千年蟲危機(jī)匹敵。Tonkin預(yù)計(jì)會(huì)有大量的組織遇到互聯(lián)網(wǎng)接入問題，大量的網(wǎng)絡(luò)管理員將會(huì)抓破頭皮尋找問題的根源。

這個(gè)問題可能需要數(shù)天才能完全消除，晚上未關(guān)機(jī)的用戶可能會(huì)訪問到一些頁面，那也僅僅是緩存中的內(nèi)容。Tonkin建議網(wǎng)絡(luò)管理員盡快運(yùn)行一系列簡單的測(cè)試，確保他們的網(wǎng)絡(luò)可以處理更大的DNS響應(yīng)包。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/P>

原文：Warning: Why your Internet might fail on May 5 作者：Brett Winterford