Автор Тема: Интернет может закончиться 5-го мая.  (Прочитано 3445 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Hunter

  • мы все умрем!
  • Administrator
  • *****
  • Сообщений: 3038
  • Карма: +130/-11
  • Пол: Мужской
  • Мы все умрем!
    • Кубок Заполярья
5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.

Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.

nnm.ru

Оффлайн ghost

  • V.I.P
  • *****
  • Сообщений: 438
  • Карма: +8/-2
Преувеличено, конечно, что переход с UDP на TCP перегрузит каналы. DNS запросы составляют доли процента от общего траффика. Уж если что и перегрузится, то корневые сервера. Но думаю если планировали этот переход, то готовы к новым нагрузкам.

Оффлайн lostdragon

  • За други своя!
  • V.I.P
  • *****
  • Сообщений: 2224
  • Карма: +86/-33
  • Пол: Мужской
  • Алексей
    • БКО
Бред.
Domain Name System Security Extensions — набор спецификаций IETF, обеспечивающий безопасность информации, предоставляемой DNS средствами IP. Он представляет собой набор расширений для DNS, которые предоставляются DNS клиентам:
    * Первичная аутентификация DNS данных
    * Целостность данных (не обеспечивает конфиденциальность)
    * Проверка на отрицание существования

В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS lookup, который обеспечивает неприкосновенность данных в системе DNS.

Я использую в конторе - DNSKEY который является частью DNSSEC. Принцип работы прост до безобразия. банальное шифрование данных ответа и запроса.
В конечном итоге ты даже не замечаешь как это происходит. нагрузка минимальна. поток данных минимален.
да и беспокоиться надо провайдерам а не клиентам.

Оффлайн ghost

  • V.I.P
  • *****
  • Сообщений: 438
  • Карма: +8/-2
Тырнет может закончицца тока когда "Нибиру" оборвет все коммуникацции... Иначе этого не допустят - хорошая кормушка, да и просто нужная весчь. ;-)

Оффлайн Hunter

  • мы все умрем!
  • Administrator
  • *****
  • Сообщений: 3038
  • Карма: +130/-11
  • Пол: Мужской
  • Мы все умрем!
    • Кубок Заполярья
Как то провел выходные без инета, тех. поддержку достал, монтеров достал, реальная ломка была ))))

Helmet

  • Гость
Как то провел выходные без инета, тех. поддержку достал, монтеров достал, реальная ломка была ))))
Мдя... подсел... :)

Оффлайн Hunter

  • мы все умрем!
  • Administrator
  • *****
  • Сообщений: 3038
  • Карма: +130/-11
  • Пол: Мужской
  • Мы все умрем!
    • Кубок Заполярья
От него пользы много, но и вреда конечно

Оффлайн ghost

  • V.I.P
  • *****
  • Сообщений: 438
  • Карма: +8/-2
Когда его нет - он нужен по зарез. А когда есть - вроде б и не особо то-нужен...

 

В быстром ответе можно использовать BB-теги и смайлы.

Имя:
Визуальная проверка: