Устаревший ключ DNSSEC подверг угрозе корневые сервера

Устаревший ключ DNSSEC подверг угрозе корневые сервера
Как сообщает VeriSign, корневые сервера DNS подверглись массовой атаке запросами о данных DNNSEC после того, как был обновлён главный криптографический ключ.

Начиная с октября, когда было произведено обновление, количество запросов к корневым серверам увеличилось в 75 раз - с 15 миллионов в день до 1,15 миллиарда. Наиболее резкий скачок числа запросов был в январе этого года.

Такой рост объема запросов неизвестного происхождения мог угрожать стабильности всего Интернета. Как мы знаем, ICANN долго оттягивала момент обновления ключа из соображений безопасности, но единственным предметом опасений была возможная потеря доступа к сети некоторых групп пользователей. То, что обновление ключа DNNSEC может принести вред самим корневым серверам - не предвидел никто.

Специалист по безопасности Дуэйн Уэсселс смог обнаружить источник проблемы. Им стал старый криптографический ключ, который всё еще присутствовал в корневой зоне, хотя и был отмечен как "аннулированный". Уэсселс сообщил, что присутствие старого ключа спровоцировало непредсказуемое поведение валидирующих резолверов - систем, проверяющих запросы к DNS в соответствии с протоколом DNSSEC.

22 марта старый криптографический ключ DNSSEC был полностью удалён из корневой зоны, после чего объемы трафика пришли в норму.

Сейчас эксперты работают над подробным исследованием причины произошедшего сбоя, чтобы выявить возможные уязвимости протокола DNSSEC.

01/04/2019


Поделиться

Полезные статьи