Chinaunix首页 | 论坛 | 博客
  • 博客访问: 289158
  • 博文数量: 395
  • 博客积分: 26200
  • 博客等级: 上将
  • 技术积分: 6291
  • 用 户 组: 普通用户
  • 注册时间: 2011-01-19 15:41
文章分类

全部博文(395)

文章存档

2011年(395)

我的朋友

分类:

2011-05-12 21:01:25

5月5日,由icann,美国GVM和verisign领导的全球13台根域名服务器将会迎来dnssec(domain name system security extensions,域名系统安全扩展)升级,dnssec升级将会在反馈给互联网用户的dns请求响应中插入数字签名,确保返回的域名地址是未经篡改的。

  dnssec是为阻止中间人攻击而设计的,利用中间人攻击,黑客可以劫持dns请求,并返回一个假地址给请求方,这种攻击手段类似于正常的dns重定向,人们在不知不觉中被转到另一个url。

  据melbourne it首席战略官,icann董事bruce tonkin说,本次升级将会给那些毫无准备的网络管理员一个措手不及,响应标准dns请求往往只有一个单一的数据包(udp协议),大小一般不会超过 521字节,在某些较旧的网络设备中,比这个大的请求将会被出厂默认配置阻止掉,它会认为超过这个大小的数据包是异常的。

  截至utc 5月5日17:00点,所有发送给用户dns解析器的dnssec签名的消息将会变大到2kb,是原来的4倍,但这么大的数据包可能会被许多网络设备拒绝接收,因此这个响应消息很可能会通过tcp分成多个数据包进行发送。

  tonkin有点担心,虽然dnssec已经提上日程有一段时间了,但许多it和网络管理员还没有测试他们的旧路由器和防火墙,如果不能处理更大的dns响应数据包就麻烦了。

  他说:“企业网络中的设备可能会阻止比以往更大的dns请求响应数据包”。

  dnssec其实早在 2009年11月就在全球13台根服务器上准备好了,到目前为止,它只会导致许多旧网络设备载入网页略有延迟。

  不是所有dns根服务器都会响应每一个请求,用户机器上的dns解析器会逐个请求这13台根服务器,直到返回一个满意的答复。当13台具有 dnssec签名功能的根服务器全部上线后,所有的响应不会抵达旧设备的企业网络,tonkin希望大型isp能解决这个问题,让家庭用户不受影响。

  他说:“我不能保证所有isp都准备好了,isp会为你翻译dns,但企业网络可能影响比较大,因为企业可能运行了自己的dns服务器”。

  从这个意义上来说,5月5日可与千年虫危机匹敌。tonkin预计会有大量的组织遇到互联网接入问题,大量的网络管理员将会抓破头皮寻找问题的根源。

  这个问题可能需要数天才能完全消除,晚上未关机的用户可能会访问到一些页面,那也仅仅是缓存中的内容。tonkin建议网络管理员尽快运行一系列简单的测试,确保他们的网络可以处理更大的dns响应包。
本文源自:
阅读(132) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~