【51CTO.com 獨家翻譯】5月5日，由ICANN，美國政府和Verisign領(lǐng)導(dǎo)的全球13臺根域名服務(wù)器將會迎來DNSSEC（Domain Name System Security Extensions，域名系統(tǒng)安全擴(kuò)展）升級，DNSSEC升級將會在反饋給互聯(lián)網(wǎng)用戶的DNS請求響應(yīng)中插入數(shù)字簽名，確保返回的域名地址是未經(jīng)篡改的。

DNSSEC是為阻止中間人攻擊而設(shè)計的，利用中間人攻擊，黑客可以劫持DNS請求，并返回一個假地址給請求方，這種攻擊手段類似于正常的DNS重定向，人們在不知不覺中被轉(zhuǎn)到另一個URL。（51CTO.com注：實際上域名劫持技術(shù)和DNS緩存投毒攻擊相當(dāng)廣泛，這也是互聯(lián)網(wǎng)最大的漏洞——DNS緩存漏洞造成的，DNSSEC可以解決這類問題，今年年初，百度事件就是因為DNS服務(wù)器被攻擊造成的。）

據(jù)Melbourne IT首席戰(zhàn)略官，ICANN董事Bruce Tonkin說，本次升級將會給那些毫無準(zhǔn)備的網(wǎng)絡(luò)管理員一個措手不及，響應(yīng)標(biāo)準(zhǔn)DNS請求往往只有一個單一的數(shù)據(jù)包（UDP協(xié)議），大小一般不會超過521字節(jié)，在某些較舊的網(wǎng)絡(luò)設(shè)備中，比這個大的請求將會被出廠默認(rèn)配置阻止掉，它會認(rèn)為超過這個大小的數(shù)據(jù)包是異常的。

截至UTC 5月5日17:00點，所有發(fā)送給用戶DNS解析器的DNSSEC簽名的消息將會變大到2KB，是原來的4倍，但這么大的數(shù)據(jù)包可能會被許多網(wǎng)絡(luò)設(shè)備拒絕接收，因此這個響應(yīng)消息很可能會通過TCP分成多個數(shù)據(jù)包進(jìn)行發(fā)送。

Tonkin有點擔(dān)心，雖然DNSSEC已經(jīng)提上日程有一段時間了，但許多IT和網(wǎng)絡(luò)管理員還沒有測試他們的舊路由器和防火墻，如果不能處理更大的DNS響應(yīng)數(shù)據(jù)包就麻煩了。

他說：“企業(yè)網(wǎng)絡(luò)中的設(shè)備可能會阻止比以往更大的DNS請求響應(yīng)數(shù)據(jù)包”。

DNSSEC其實早在2009年11月就在全球13臺根服務(wù)器上準(zhǔn)備好了，到目前為止，它只會導(dǎo)致許多舊網(wǎng)絡(luò)設(shè)備載入網(wǎng)頁略有延遲。

不是所有DNS根服務(wù)器都會響應(yīng)每一個請求，用戶機(jī)器上的DNS解析器會逐個請求這13臺根服務(wù)器，直到返回一個滿意的答復(fù)。當(dāng)13臺具有DNSSEC簽名功能的根服務(wù)器全部上線后，所有的響應(yīng)不會抵達(dá)舊設(shè)備的企業(yè)網(wǎng)絡(luò)，Tonkin希望大型ISP能解決這個問題，讓家庭用戶不受影響。

他說：“我不能保證所有ISP都準(zhǔn)備好了，ISP會為你翻譯DNS，但企業(yè)網(wǎng)絡(luò)可能影響比較大，因為企業(yè)可能運行了自己的DNS服務(wù)器”。

從這個意義上來說，5月5日可與千年蟲危機(jī)匹敵。Tonkin預(yù)計會有大量的組織遇到互聯(lián)網(wǎng)接入問題，大量的網(wǎng)絡(luò)管理員將會抓破頭皮尋找問題的根源。

這個問題可能需要數(shù)天才能完全消除，晚上未關(guān)機(jī)的用戶可能會訪問到一些頁面，那也僅僅是緩存中的內(nèi)容。Tonkin建議網(wǎng)絡(luò)管理員盡快運行一系列簡單的測試，確保他們的網(wǎng)絡(luò)可以處理更大的DNS響應(yīng)包。

【51CTO.com譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處。】

原文：Warning: Why your Internet might fail on May 5  作者：Brett Winterford