5 мая состоится
ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных
DNS-серверах (их список можно получить, набрав команду "dig
+bufsize=1200 +norec NS . @a.root-servers.net").
Обновление протокола DNS связано с тем, что в нём содержится уязвимость,
заложенная в его спецификации, которая позволяет злоумышленнику
подменить запись в DNS-кэше имён атакуемого сервера, что позволит
нападающему осуществить атаку "man-in-the-middle" и получить данные
пользователя, которые он пересылает в сеть (например, пароли доступа,
номера кредитных карт и другую не афишируемую информацию). DNSSEC
добавляет к каждому ответу DNS серверов цифровую подпись, которая
удостоверяет то, что ответ получен от оригинального DNS сервера,
которому вы доверяете.
Данное обновление, однако, может послужить
причиной прерывания доступа к Интернету в связи с тем, что обычный DNS
запрос, отправляемый по протоколу UDP, имеет ограничение в 512 байт, а
расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
может привести к тому, что неправильно настроенное сетевое оборудование
будет отбрасывать столь большие пакеты.
Источник
|
