DNSSEC на корневых DNS-серверах будет введён в эксплуатацию 5 мая

5 мая состоится ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных DNS-серверах (их список можно получить, набрав команду "dig +bufsize=1200 +norec NS . @a.root-servers.net").

Обновление протокола DNS связано с тем, что в нём содержится уязвимость, заложенная в его спецификации, которая позволяет злоумышленнику подменить запись в DNS-кэше имён атакуемого сервера, что позволит нападающему осуществить атаку "man-in-the-middle" и получить данные пользователя, которые он пересылает в сеть (например, пароли доступа, номера кредитных карт и другую крайне сенситивную информацию). DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы доверяете.

Данное обновление, однако, может послужить причиной прерывания доступа к Интернету в связи с тем, что обычный DNS запрос, отправляемый по протоколу UDP, имеет ограничение в 512 байт, а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что может привести к тому, что неправильно настроенное сетевое оборудование будет отбрасывать столь большие пакеты.

©  OpenNet