Ответить Создать тему

С 5го мая внедряется обновленный протокол DNSS , грозит ли это концом интернету?

raskolnik
post Apr 15 2010, 15:46 
Отправлено #1


Активный

Сообщений: 1 143



Цитата
5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.
Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.


наконец то все будут работать, а не сидеть в контакте на работе. Учится, а не гонять вовку smile.gif

--------------------
____________________________________________________
Client-server Tecnologies
Profile CardPM
  0/0  
kaleka13
post Apr 15 2010, 15:48 
Отправлено #2


А будешь много знать - сломаю индекс...

Сообщений: 16 666
Из: паутины



Profile CardPM
  0/0  
raskolnik
post Apr 15 2010, 15:52 
Отправлено #3


Активный

Сообщений: 1 143



Цитата(kaleka13 @ Apr 15 2010, 16:48)
источник?
*

Ну например тута

--------------------
____________________________________________________
Client-server Tecnologies
Profile CardPM
  0/0  
kaleka13
post Apr 15 2010, 15:58 
Отправлено #4


А будешь много знать - сломаю индекс...

Сообщений: 16 666
Из: паутины



Цитата(http://soft.mail.ru/pressrl_page.php?id=37656#comment-170015)
...Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов планеты. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, будут уничтожены и стёрты с лица земли восставшими машинами. 7 мая машины перейдут в окончательное и бесповоротное наступление. Они захватят телефон, телеграф и железнодорожную станцию в Бердянске, закроют все порно сайты и начнут атаковать психически. 11 мая планета будет полностью под контролем взбесившегося Интернета. Для справки, на сайте техподдержки Всемирного Интернета - сам Интернет является элитным эльфом 80 уровня, владеет приёмами борьбы вьетнамских ниндзя, суперударом "Синий экран", скилом "Гори модем", а также имеет 1,5ккк ХП и около 18кк MP. Человечество обречено на вымирание... Интернет скоро падёт под властью тьмы ситхов...

это больше радует, нежели то что выше, конечной пользователь не почувствует перемен

Сообщение отредактировал kaleka13 - Apr 15 2010, 15:59

--------------------
Profile CardPM
  0/0  
SiMM
post Apr 15 2010, 16:02 
Отправлено #5


Banned

Сообщений: 37 461
Из: «либеральных»«ценностей»



Цитата(raskolnik @ Apr 15 2010, 16:46)
наконец то все будут работать, а не сидеть в контакте на работе
*
Казалось бы - какая связь?

--------------------
Profile CardPM
  0/0  
littlesavage
post Apr 15 2010, 17:35 
Отправлено #6


Эксперт

Сообщений: 698



В оригинале статьи есть и упоминание о TCP, и ссылки на сайты для проверки DNS (https://www.dns-oarc.net/oarc/services/replysizetest). Но заголовок красивый smile.gif

DNS ответы больше 512 байт уже давно встречаются в интернете. И все работает.
А там, где не работает (например, в продуктах Microsoft: http://support.microsoft.com/kb/828263/ru) лечится патчами/прошивками.

Сообщение отредактировал littlesavage - Apr 15 2010, 17:41
Profile CardPM
  0/0  

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим
    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Опции сообщения