DNS根服务器升级 网络有瘫痪危险

5月5日，由ICANN，美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC（Domain Name System Security Extensions，域名系统安全扩展）升级，DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名，确保返回的域名地址是未经篡改 的。

DNSSEC是为阻止中间人攻击而设计的，利用中间人攻击，黑客可以劫持DNS请求，并返 回一个假地址给请求方，这种攻击手段类似于正常的DNS重定向，人们在不知不觉中被转到另一个URL。（51CTO.com注：实际上域名劫持技术和DNS缓存投毒攻击相当 广泛，这也是互联网最大的漏洞——DNS缓存漏洞造成的，DNSSEC可以解决这类问题，今年年初，百度事件就是因为 DNS服务器被攻击造成的。）

据Melbourne IT首席战略官，ICANN董事Bruce Tonkin说，本次升级将会给那些毫无准备的网络管理员一个措手不及，响应标准DNS请求往往只有一个单一的数据包（UDP协议），大小一般不会超过 521字节，在某些较旧的网络设备中，比这个大的请求将会被出厂默认配置阻止掉，它会认为超过这个大小的数据包是异常的。

截至UTC 5月5日17:00点，所有发送给用户DNS解析器的DNSSEC签名的消息将会变大到2KB，是原来的4倍，但这么大的数据包可能会被许多网络设备拒绝 接收，因此这个响应消息很可能会通过TCP分成多个数据包进行发送。

Tonkin有点担心，虽然DNSSEC已经提上日程有一 段时间了，但许多IT和网络管理员还没有测试他们的旧路由器和防火墙，如果不能处理更大的DNS响应数据包就麻烦了。

他说：“企业网络中的设备可能会阻止比以往更大的DNS请求响应数据包”。

DNSSEC其实早在 2009年11月就在全球13台根服务器上准备好了，到目前为止，它只会 导致许多旧网络设备载入网页略有延迟。

不是所有DNS根服务器都会响应每一个请求，用户机器上的DNS解析器会逐个请求这13台根服务器，直到返回一个满意的答复。当13台具有 DNSSEC签名功能的根服务器全部上线后，所有的响应不会抵达旧设备的企业网络，Tonkin希望大型ISP能解决这个问题，让家庭用户不受影响。

他说：“我不能保证所有ISP都准备好了，ISP会为你翻译DNS，但企业网络可能影响比较大，因为企业可能运行了自己的DNS服务器”。

从这个意义上来说，5月5日可与千年虫危机匹敌。Tonkin预计会有大量的组织遇到互联网接入问题，大量的网络管理员将会抓破头皮寻找问题的根 源。

这个问题可能需要数天才能完全消除，晚上未关机的用户可能会访问到一些页面，那也仅仅是缓存中的内容。Tonkin建议网络管理员尽快运行一系列简 单的测试，确保他们的网络可以处理更大的DNS响应包。

标签： dns dns服务 dns服务器 dns根服务器 dns解析 isp 安全 标准 防火墙 服务器 根服务器 互联网 互联网接入 劫持dns 漏洞 美国 企业 网

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。