просмотров: 762
1 Star2 Stars3 Stars4 Stars5 Stars (Оцени первым)

inetdns.jpg5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.

Товары для дома
Для умных и прекрасных чистота и уют вашего дома

https://istokprint.ru/

Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

 

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Товары для дома
Для умных и прекрасных чистота и уют вашего дома

https://istokprint.ru/

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.

 

Статьи на тему:

  • Фотофорум на Нечто Фрязинский форум временно, уже, как 4 день, не работает. Раздела Фото/Видео на нем так и нет. Господа фотографы и видеомонтажеры, стоит ли сделать на «Нечто» форум […]
  • История фразы — не фонтан В Одессе почти сто лет со дня основания (1792) не было водопровода. Воду возили водовозы, причем издалека, так как в приморской зоне колодцы дают воду солоноватую, пригодную только для […]
  • Философия Rammstein Недавно в России было 3 концерта Раммштайн,поползли слухи что они пропогандируют фашизм,насилие,и всякие извращения,поэтому решил выложить статью о их песнях.  Rammstein, - […]
  • Великий пост. Ответы священников на вопросы Здравствуйте! Скажите пожалуйста, почему именно в пост так обостряются отношения - и на работе, и личные. Происходят ссоры, из которых потом трудно выйти. Как избежать таких ситуаций или […]
  • Кто и как продал Аляску? О продаже Аляски ходят тысячи мифов. Многие полагают, что ее продала еще Екатерина Вторая, некоторые считают, что ее не продали, а отдали в аренду на 99 лет, и якобы Брежнев отказался […]

Добавить комментарий

Ваш адрес email не будет опубликован.