您的位置: 网界网 > 周报全文 > 正文

[周报全文]全球13台DNS根服务器升级 DNSSEC改变互联网未来

2010年05月10日 13:11:58 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:北京时间5月5日,由ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)、美国政府和VeriSign领导的全球13台根域名服务器迎来DNSSEC(Domain Name System Security Extensions,域名...

标签
升级
DNS
根服务器
DNSSEC

【CNW.com.cn 资讯】北京时间5月5日,由ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)、美国政府和VeriSign领导的全球13台根域名服务器迎来DNSSEC(Domain Name System Security Extensions,域名系统安全扩展)升级

DNSSEC是为阻止中间人攻击而设计的。利用中间人攻击,黑客可以劫持DNS请求并返回一个假地址给请求方。这种攻击手段类似于正常的DNS重定向,人们在不知不觉中被转到另一个URL。

DNSSEC升级会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改的。截至UTC (世界标准时间)5月5日17:00,所有发送给用户DNS解析器的DNSSEC签名的消息将会变大到2KB,是原来的4倍。但这么大的数据包可能会被许多网络设备拒绝接收,因此这个响应消息很可能会通过TCP分成多个数据包进行发送。

ICANN董事Bruce Tonkin有点担心,虽然DNSSEC已经提上日程有一段时间了,但许多IT和网络管理员还没有测试他们的旧路由器和防火墙,如果其不能处理更大的DNS响应数据包就麻烦了。他说:“企业网络中的设备可能会阻止比以往更大的DNS请求响应数据包”。

DNSSEC其实早在2009年11月就在全球13台根服务器上准备好了。不是所有DNS根服务器都会响应每一个请求,用户机器上的DNS解析器会逐个请求这13台根服务器(+微信关注网络世界),直到返回一个满意的答复。

当13台具有 DNSSEC签名功能的根服务器全部上线后,所有的响应不会抵达使用旧设备的企业网络。Tonkin希望大型ISP能解决这个问题,让家庭用户不受影响。他说:“我不能保证所有ISP都准备好了,ISP会为你翻译DNS,但企业网络可能影响比较大。因为企业可能运行了自己的DNS服务器”。

从这个意义上来说,5月5日可与千年虫危机匹敌。Tonkin预计会有大量的组织遇到互联网接入问题,大量的网络管理员将会抓破头皮寻找问题的根源。

这个问题可能需要数天才能完全消除。Tonkin建议网络管理员尽快运行一系列简单的测试,确保他们的网络可以处理更大的DNS响应包。 (更多内容详见http://www.cnw.com.cn/P/2432)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]