Автор: Darth Fear 18.4.2010, 18:57
Цитата
5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.
Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что http://soft.mail.ru/pressrl_page.php?id=30223 в июле 2008 года.
Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.
Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.
Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.
Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на https://www.dns-oarc.net/oarc/services/replysizetest или путем запуска Java-приложения ReplySizeTest с http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.
Источник: http://www.windxp.com.ru/nws/article25.htm
Автор: Helios 18.4.2010, 19:41
Ололо, какой заголовок xD
Автор: Луриэн 18.4.2010, 20:47
Хм, интересно Utel потянет.
Автор: Демон 18.4.2010, 21:04
Луриэн
Скорее всего нас переключат на TCP, я думаю
Автор: Edward 5.5.2010, 17:33
У меня отключали на полдня интернет :О
Автор: Товарищ Гелиос 5.5.2010, 17:34
периодически пропадал на короткое время. Но не закончился xD
Автор: Луриэн 5.5.2010, 19:12
У меня всё в порядке, даже вылетов меньше стало. *тьфу-тьфу-тьфу*
Автор: Makaveli 5.5.2010, 20:03
не соврали, у меня как раз сеня тырнет закончился)
Автор: Алекс Маклауд 5.5.2010, 21:58
Цитата
не соврали, у меня как раз сеня тырнет закончился)
The same shit.
Автор: Darth Fear 6.5.2010, 6:51
блин, тока у торента раздача упала на 15% =)