Один из корневых DNS-серверов 4 дня находился в рассинхронизированном состоянии
Один из 13 корневых серверов DNS (c.root-servers.net), обеспечивающих работу корневой зоны DNS (начальное звено в цепочке резолвинга доменных имён, отдающее сведения о DNS-серверах, обслуживающих домены первого уровня, и ключах для их верификации при помощи DNSSEC) четыре дня находился в состоянии, не синхронизированном с остальными корневыми DNS-серверами. Работу корневого DNS-сервера «С» (192.33.4.12) обеспечивает 12 серверов, размещённых в разных странах. Все эти серверы c 18 по 22 мая не отражали изменения в корневой зоне, отдавали устаревшие данные и не синхронизировались с остальной корневой инфраструктурой DNS.
В указанный период в корневую зону не вносились изменения, но была запланирована работа по обновлению цифровой подписи DNSEC для домена первого уровня ».gov», проводимая в рамках перехода на криптографические ключи на базе алгоритма ECDSA. Для заверения зоны .GOV в DNSSEC с недавних пор используются алгоритмы 8 (RSA/SHA-256) и 13 (ECDSA P-256/SHA-256), но активным остаётся алгоритм 8. В выходные планировалось добавить в корневую зону DS-запись для алгоритма 13, после чего начать процесс удаления DS-записи для алгоритма 8. Аналогичную замену планировалось провести и для домена INT. В итоге, связанные с поддержкой алгоритма 13 DS-записи для корневых серверов были переданы в IANA, но так не были опубликованы так как после выявления проблем процесс замены ключей был приостановлен до стабилизации ситуации с корневым сервером «С».
Работу корневого DNS-сервера «С» на основании соглашений с корпорацией ICANN обеспечивает магистральный провайдер первого уровня (Tier 1) Cogent Communications, представленный в 53 странах. За несколько дней до инцидента отмечалось появление проблем с доступом из сети Cogent Communications к 1575 автономным системам из-за прекращения пиринга с индийским провайдером первого уровня Tata Communications.
В качестве причины прекращения получения обновлений для корневой DNS-зоны называется сбой в системе мониторинга, отвечавшей за отслеживание изменений. Сбой произошёл после не связанного с работой DNS-серверов изменения маршрутизации. Кроме рассинхронизации, связанные с корневом DNS-сервером «C» обрабатывали запросы в штатном режиме. Синхронизация полностью была восстановлена 22 мая в 19 часов (MSK). Из возможных проблем, которые могут возникнуть в процессе длительной рассинхронизации отмечается возможность выдачи потерявших актуальность данных о ключах, используемых в DNSSEC, и адресах DNS-серверов, обслуживающих домены первого уровня.
Источник: http://www.opennet.ru/opennews/art.shtml? num=61249
© OpenNet