форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
Сообщение от opennews (ok) on 01-Май-10, 07:35
5 мая состоится (http://www.itnews.com.au/News/173412,warning-why-your-internet-might-fail-on-may-5.aspx) ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных DNS-серверах (их список можно получить, набрав команду "dig +bufsize=1200 +norec NS . @a.root-servers.net"). Обновление протокола DNS связано с тем, что в нём содержится уязвимость (https://www.opennet.ru/opennews/art.shtml?num=17101), заложенная в его спецификации, которая позволяет злоумышленнику подменить запись в DNS-кэше имён атакуемого сервера, что позволит нападающему осуществить атаку "man-in-the-middle" и получить данные пользователя, которые он пересылает в сеть (например, пароли доступа, номера кредитных карт и другую скрываемую информацию). DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы доверяете. Данное обновление, однако, может послужить причиной прерывания доступа к Интернету в связ... URL: http://www.itnews.com.au/News/173412,warning-why-your-internet-might-fail-on-may-5.aspx Новость: https://www.opennet.ru/opennews/art.shtml?num=26448
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
Сообщение от Аноним (??) on 01-Май-10, 07:54
>DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая >удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы >доверяете. так это резолвер на клиентене должен проверять или как?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		–1 +/–
Сообщение от PavelR (??) on 01-Май-10, 08:36
>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что >может привести к тому, что неправильно настроенное сетевое оборудование будет >отбрасывать столь большие пакеты. Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт, а тут "пакет с ответом - 2048".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		–1 +/–
	Сообщение от Анон on 01-Май-10, 08:42
	>>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что >>может привести к тому, что неправильно настроенное сетевое оборудование будет >>отбрасывать столь большие пакеты. > >Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт, >а тут "пакет с ответом - 2048". Так ты определись про что именно говришь: про Ethernet-кадр или UDP-пакет? К.О. сообщает: Ethernet просто физический транспорт, DNSSEC чихать хотел по чему он передается физически
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+4 +/–
	Сообщение от ws (ok) on 01-Май-10, 09:38
	Он хотел сказать, имхо, что теория не должна сильно отрываться от практики... Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер одного кадра эзернет...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		–2 +/–
	Сообщение от аноним on 01-Май-10, 10:11
	>Он хотел сказать, имхо, что теория не должна сильно отрываться от практики... > >Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер >одного кадра эзернет... Во-первых это ерунда, во-вторых скоро ipv6.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от azure (ok) on 02-Май-10, 22:56
	Сколько надо - столько и должно передаваться. С другой стороны - я не вижу необходимости в днссек. Это все слишком усложняет, имхо. кстати на оптических магистралях MTU вообще другой. Эзернет это последняя миля как правило.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от XoRe (ok) on 04-Май-10, 15:15
	>Сколько надо - столько и должно передаваться. С другой стороны - я >не вижу необходимости в днссек. Это все слишком усложняет, имхо. Конечно усложняет. ssl шифрование тоже много чего усложняет. Вашей кредиткой кто-то другой никогда "внезапно" не оплачивал iphone? >кстати на оптических магистралях MTU вообще другой. Вы про jumbo frames?)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от PavelR (??) on 05-Май-10, 07:53
	он про Frame Relay
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от PavelR (??) on 01-Май-10, 11:03
	DNSSEC-у то конечно чихать :-) Ровно как и промежуточным рутерам, к чему это приводит - я думаю все в курсе. Пакет он пакет есть и пакетом и будет. Не путайте пакет и сообщение. Пакет от этого размером 2048 байт не станет (ну, точнее не должен бы стать, иначе фиг где пролезет). Или кто-то где-то надеется, что рутера махом возьмут и начнут делать фрагментацию/пересборку(reassembly) дейтаграмм ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от минона on 01-Май-10, 14:11
	2-а (подряд) ответа от корбины: >$ dig +bufsize=1024 rs.dns-oarc.net txt ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt ;; global options: +cmd ;; connection timed out; no servers could be reached >$ dig +bufsize=1024 rs.dns-oarc.net txt ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51861 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;rs.dns-oarc.net.        IN    TXT ;; ANSWER SECTION: rs.dns-oarc.net.    32    IN    CNAME    rst.x476.rs.dns-oarc.net. rst.x476.rs.dns-oarc.net. 31    IN    CNAME    rst.x485.x476.rs.dns-oarc.net. rst.x485.x476.rs.dns-oarc.net. 30 IN    CNAME    rst.x490.x485.x476.rs.dns-oarc.net. rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT    "213.234.192.12 lacks EDNS, defaults to 512" rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT    "Tested at 2010-05-01 10:08:00 UTC" rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT    "213.234.192.12 DNS reply size limit is at least 490" ;; Query time: 15 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Sat May  1 14:08:28 2010 ;; MSG SIZE  rcvd: 267
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok) on 02-Май-10, 21:08
	$ dig +bufsize=1024 rs.dns-oarc.net txt ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6601 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1280 ;; QUESTION SECTION: ;rs.dns-oarc.net.        IN    TXT ;; ANSWER SECTION: rs.dns-oarc.net.    60    IN    CNAME    rst.x1002.rs.dns-oarc.net. rst.x1002.rs.dns-oarc.net. 59    IN    CNAME    rst.x1957.x1002.rs.dns-oarc.net. rst.x1957.x1002.rs.dns-oarc.net. 58 IN    CNAME    rst.x2443.x1957.x1002.rs.dns-oarc.net. rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 2443" rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096" rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:04:57 UTC" ;; AUTHORITY SECTION: x2443.x1957.x1002.rs.dns-oarc.net. 57 IN NS    ns00.x2443.x1957.x1002.rs.dns-oarc.net. ;; ADDITIONAL SECTION: ns00.x2443.x1957.x1002.rs.dns-oarc.net.    57 IN A    149.20.58.136 ;; Query time: 4482 msec ;; SERVER: 192.168.0.6#53(192.168.0.6) ;; WHEN: Sun May  2 23:04:57 2010 ;; MSG SIZE  rcvd: 312
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok) on 02-Май-10, 21:09
	$ dig +bufsize=1024 rs.dns-oarc.net txt ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34024 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1280 ;; QUESTION SECTION: ;rs.dns-oarc.net.        IN    TXT ;; ANSWER SECTION: rs.dns-oarc.net.    60    IN    CNAME    rst.x2027.rs.dns-oarc.net. rst.x2027.rs.dns-oarc.net. 59    IN    CNAME    rst.x3837.x2027.rs.dns-oarc.net. rst.x3837.x2027.rs.dns-oarc.net. 58 IN    CNAME    rst.x3843.x3837.x2027.rs.dns-oarc.net. rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 3843" rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096" rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:08:55 UTC" ;; AUTHORITY SECTION: x3843.x3837.x2027.rs.dns-oarc.net. 57 IN NS    ns00.x3843.x3837.x2027.rs.dns-oarc.net. ;; ADDITIONAL SECTION: ns00.x3843.x3837.x2027.rs.dns-oarc.net.    57 IN A    149.20.58.136 ;; Query time: 2376 msec ;; SERVER: 192.168.0.6#53(192.168.0.6) ;; WHEN: Sun May  2 23:08:55 2010 ;; MSG SIZE  rcvd: 312
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+2 +/–
	Сообщение от Анон on 04-Май-10, 08:03
	не пролезет по мту - разрежут, пронумеруют, отправят. на той стороне соберут и обработают. учите матчасть. ну пожалуйста.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+1 +/–
Сообщение от KKonstantin on 01-Май-10, 09:08
Ну почему ж всегда пугают, то проблемой 2k, то сейчас dnssec? http://labs.ripe.net/content/testing-your-resolver-dns-reply...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+2 +/–
Сообщение от Аноним (??) on 01-Май-10, 09:14
https://www.dns-oarc.net/oarc/services/replysizetest тут можно прочитать как потестить вашу текущую конфигурацию, будет ли она работать после изменния
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+1 +/–
Сообщение от terminus (ok) on 01-Май-10, 12:53
Я не понимаю откуда эта паника по поводу размеров ответов? DNS сервер будет давать ответы с сигнатурами внутри только тогда, когда в запросе на разрешение был установлен флаг DO. Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур. От того, что "завтра" введут DNSSEC на корне, ничего нигде не изменится.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+3 +/–
	Сообщение от filosofem (ok) on 01-Май-10, 15:48
	Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его просто дропнет как ошибочный или зловредный. Как пример, OpenWRT раньше дропала пакет, если во входящем SYN-е не указан MSS, потому что когда-то много лет назад такими пакетами кто-то кого-то досил. И все было нормально, пока не попытался к ней подключиться по ssh из Windows 7, которая как раз не указывает MSS и ошибкой это не является. В чем было дело разбирался несколько часов. Правило если не ошибаюсь было вот такое: iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option \! 2 -j  DROP Я к тому, что никто не гарантирует, что где-то не используются правила, запрещающие большие DNS-ответы. Об этом нам и говорят в новости. А паника это от как обычно от непонимания. =)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		–1 +/–
	Сообщение от Аноним (??) on 03-Май-10, 12:46
	>Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь >параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его >просто дропнет как ошибочный или зловредный. >Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур. КАК он его увидит ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
	Сообщение от filosofem (ok) on 03-Май-10, 16:43
	Кто кого увидит? Определись, что узнать хочешь, или научись вопросы задавать. Если про DNS-ответ, его могут определять по номеру порта источника для примера.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "DNSSEC на корневых DNS-серверах будет введён в эксплуатацию ..."		+/–
Сообщение от XoRe (ok) on 04-Май-10, 15:23
Вообще это можно и нужно, в первую очередь, провайдерам. Так как обычно клиентам прописываются DNS серверы провайдера. И "отравление" кэша DNS серверов у провайдера приведет к проблемам у клиента. Учитывая сложность перевода на DNSSEC вообще всех (особенно роутеры и винды), DNS общение между клиентом и провайдером можно попробовать оставить по старинке, plain-text'ом)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема