5 мая состоится (http://www.itnews.com.au/News/173412,warning-why-your-internet-might-fail-on-may-5.aspx) ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных DNS-серверах (их список можно получить, набрав команду "dig +bufsize=1200 +norec NS . @a.root-servers.net").
Обновление протокола DNS связано с тем, что в нём содержится уязвимость (http://www.opennet.me/opennews/art.shtml?num=17101), заложенная в его спецификации, которая позволяет злоумышленнику подменить запись в DNS-кэше имён атакуемого сервера, что позволит нападающему осуществить атаку "man-in-the-middle" и получить данные пользователя, которые он пересылает в сеть (например, пароли доступа, номера кредитных карт и другую скрываемую информацию). DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы доверяете.
Данное обновление, однако, может послужить причиной прерывания доступа к Интернету в связ...URL: http://www.itnews.com.au/News/173412,warning-why-your-internet-might-fail-on-may-5.aspx
Новость: http://www.opennet.me/opennews/art.shtml?num=26448
>DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая >удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы >доверяете.так это резолвер на клиентене должен проверять или как?
>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
>может привести к тому, что неправильно настроенное сетевое оборудование будет
>отбрасывать столь большие пакеты.Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт, а тут "пакет с ответом - 2048".
>>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
>>может привести к тому, что неправильно настроенное сетевое оборудование будет
>>отбрасывать столь большие пакеты.
>
>Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт,
>а тут "пакет с ответом - 2048".Так ты определись про что именно говришь: про Ethernet-кадр или UDP-пакет?
К.О. сообщает: Ethernet просто физический транспорт, DNSSEC чихать хотел по чему он передается физически
Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер одного кадра эзернет...
>Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
>
>Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер
>одного кадра эзернет...Во-первых это ерунда, во-вторых скоро ipv6.
Сколько надо - столько и должно передаваться. С другой стороны - я не вижу необходимости в днссек. Это все слишком усложняет, имхо.кстати на оптических магистралях MTU вообще другой. Эзернет это последняя миля как правило.
>Сколько надо - столько и должно передаваться. С другой стороны - я
>не вижу необходимости в днссек. Это все слишком усложняет, имхо.Конечно усложняет.
ssl шифрование тоже много чего усложняет.
Вашей кредиткой кто-то другой никогда "внезапно" не оплачивал iphone?>кстати на оптических магистралях MTU вообще другой.
Вы про jumbo frames?)
он про Frame Relay
DNSSEC-у то конечно чихать :-) Ровно как и промежуточным рутерам, к чему это приводит - я думаю все в курсе.Пакет он пакет есть и пакетом и будет. Не путайте пакет и сообщение. Пакет от этого размером 2048 байт не станет (ну, точнее не должен бы стать, иначе фиг где пролезет).
Или кто-то где-то надеется, что рутера махом возьмут и начнут делать фрагментацию/пересборку(reassembly) дейтаграмм ?
2-а (подряд) ответа от корбины:
>$ dig +bufsize=1024 rs.dns-oarc.net txt; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; connection timed out; no servers could be reached
>$ dig +bufsize=1024 rs.dns-oarc.net txt; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51861
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT
;; ANSWER SECTION:
rs.dns-oarc.net. 32 IN CNAME rst.x476.rs.dns-oarc.net.
rst.x476.rs.dns-oarc.net. 31 IN CNAME rst.x485.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net. 30 IN CNAME rst.x490.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 lacks EDNS, defaults to 512"
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "Tested at 2010-05-01 10:08:00 UTC"
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 DNS reply size limit is at least 490"
;; Query time: 15 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat May 1 14:08:28 2010
;; MSG SIZE rcvd: 267
$ dig +bufsize=1024 rs.dns-oarc.net txt; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6601
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT;; ANSWER SECTION:
rs.dns-oarc.net. 60 IN CNAME rst.x1002.rs.dns-oarc.net.
rst.x1002.rs.dns-oarc.net. 59 IN CNAME rst.x1957.x1002.rs.dns-oarc.net.
rst.x1957.x1002.rs.dns-oarc.net. 58 IN CNAME rst.x2443.x1957.x1002.rs.dns-oarc.net.
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 2443"
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:04:57 UTC";; AUTHORITY SECTION:
x2443.x1957.x1002.rs.dns-oarc.net. 57 IN NS ns00.x2443.x1957.x1002.rs.dns-oarc.net.;; ADDITIONAL SECTION:
ns00.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN A 149.20.58.136;; Query time: 4482 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Sun May 2 23:04:57 2010
;; MSG SIZE rcvd: 312
$ dig +bufsize=1024 rs.dns-oarc.net txt; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34024
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT;; ANSWER SECTION:
rs.dns-oarc.net. 60 IN CNAME rst.x2027.rs.dns-oarc.net.
rst.x2027.rs.dns-oarc.net. 59 IN CNAME rst.x3837.x2027.rs.dns-oarc.net.
rst.x3837.x2027.rs.dns-oarc.net. 58 IN CNAME rst.x3843.x3837.x2027.rs.dns-oarc.net.
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 3843"
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:08:55 UTC";; AUTHORITY SECTION:
x3843.x3837.x2027.rs.dns-oarc.net. 57 IN NS ns00.x3843.x3837.x2027.rs.dns-oarc.net.;; ADDITIONAL SECTION:
ns00.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN A 149.20.58.136;; Query time: 2376 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Sun May 2 23:08:55 2010
;; MSG SIZE rcvd: 312
не пролезет по мту - разрежут, пронумеруют, отправят. на той стороне соберут и обработают. учите матчасть. ну пожалуйста.
Ну почему ж всегда пугают, то проблемой 2k, то сейчас dnssec?http://labs.ripe.net/content/testing-your-resolver-dns-reply...
https://www.dns-oarc.net/oarc/services/replysizetest
тут можно прочитать как потестить вашу текущую конфигурацию, будет ли она работать после изменния
Я не понимаю откуда эта паника по поводу размеров ответов? DNS сервер будет давать ответы с сигнатурами внутри только тогда, когда в запросе на разрешение был установлен флаг DO. Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур. От того, что "завтра" введут DNSSEC на корне, ничего нигде не изменится.
Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его просто дропнет как ошибочный или зловредный.
Как пример, OpenWRT раньше дропала пакет, если во входящем SYN-е не указан MSS, потому что когда-то много лет назад такими пакетами кто-то кого-то досил. И все было нормально, пока не попытался к ней подключиться по ssh из Windows 7, которая как раз не указывает MSS и ошибкой это не является.
В чем было дело разбирался несколько часов. Правило если не ошибаюсь было вот такое:
iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option \! 2 -j DROPЯ к тому, что никто не гарантирует, что где-то не используются правила, запрещающие большие DNS-ответы. Об этом нам и говорят в новости.
А паника это от как обычно от непонимания. =)
>Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь
>параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его
>просто дропнет как ошибочный или зловредный.
>Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур.КАК он его увидит ?
Кто кого увидит? Определись, что узнать хочешь, или научись вопросы задавать.
Если про DNS-ответ, его могут определять по номеру порта источника для примера.
Вообще это можно и нужно, в первую очередь, провайдерам.
Так как обычно клиентам прописываются DNS серверы провайдера.
И "отравление" кэша DNS серверов у провайдера приведет к проблемам у клиента.
Учитывая сложность перевода на DNSSEC вообще всех (особенно роутеры и винды), DNS общение между клиентом и провайдером можно попробовать оставить по старинке, plain-text'ом)