近日由ICANN、美國政府和Verisign領(lǐng)導的全球13臺根域名服務(wù)器將會(huì )迎來(lái)DNSSEC(Domain Name System Security Extensions，域名系統安全擴展)升級，DNSSEC升級將會(huì )在反饋給互聯(lián)網(wǎng)用戶(hù)的DNS請求響應中插入數字簽名，確保返回的域名地址是未經(jīng)篡改的。

　　DNSSEC是為阻止中間人攻擊而設計的，利用中間人攻擊，黑客可以劫持DNS請求，并返回一個(gè)假地址給請求方，這種攻擊手段類(lèi)似于正常的DNS重定向，人們在不知不覺(jué)中被轉到另一個(gè)URL。(51CTO.com注：實(shí)際上域名劫持技術(shù)和DNS緩存投毒攻擊相當廣泛，這也是互聯(lián)網(wǎng)最大的漏洞——DNS緩存漏洞造成的，DNSSEC可以解決這類(lèi)問(wèn)題，今年年初，百度事件就是因為DNS服務(wù)器被攻擊造成的。)

　　據Melbourne IT首席戰略官，ICANN董事Bruce Tonkin說(shuō)，本次升級將會(huì )給那些毫無(wú)準備的網(wǎng)絡(luò )管理員一個(gè)措手不及，響應標準DNS請求往往只有一個(gè)單一的數據包(UDP協(xié)議)，大小一般不會(huì )超過(guò)521字節，在某些較舊的網(wǎng)絡(luò )設備中，比這個(gè)大的請求將會(huì )被出廠(chǎng)默認配置阻止掉，它會(huì )認為超過(guò)這個(gè)大小的數據包是異常的。

　　截至UTC 5月5日17:00點(diǎn)，所有發(fā)送給用戶(hù)DNS解析器的DNSSEC簽名的消息將會(huì )變大到2KB，是原來(lái)的4倍，但這么大的數據包可能會(huì )被許多網(wǎng)絡(luò )設備拒絕接收，因此這個(gè)響應消息很可能會(huì )通過(guò)TCP分成多個(gè)數據包進(jìn)行發(fā)送。

　　Tonkin有點(diǎn)擔心，雖然DNSSEC已經(jīng)提上日程有一段時(shí)間了，但許多IT和網(wǎng)絡(luò )管理員還沒(méi)有測試他們的舊路由器和防火墻，如果不能處理更大的DNS響應數據包就麻煩了。

　　他說(shuō)：“企業(yè)網(wǎng)絡(luò )中的設備可能會(huì )阻止比以往更大的DNS請求響應數據包”。

　　DNSSEC其實(shí)早在2009年11月就在全球13臺根服務(wù)器上準備好了，到目前為止，它只會(huì )導致許多舊網(wǎng)絡(luò )設備載入網(wǎng)頁(yè)略有延遲。

　　不是所有DNS根服務(wù)器都會(huì )響應每一個(gè)請求，用戶(hù)機器上的DNS解析器會(huì )逐個(gè)請求這13臺根服務(wù)器，直到返回一個(gè)滿(mǎn)意的答復。當13臺具有DNSSEC簽名功能的根服務(wù)器全部上線(xiàn)后，所有的響應不會(huì )抵達舊設備的企業(yè)網(wǎng)絡(luò )，Tonkin希望大型ISP能解決這個(gè)問(wèn)題，讓家庭用戶(hù)不受影響。

　　他說(shuō)：“我不能保證所有ISP都準備好了，ISP會(huì )為你翻譯DNS，但企業(yè)網(wǎng)絡(luò )可能影響比較大，因為企業(yè)可能運行了自己的DNS服務(wù)器”。

　　從這個(gè)意義上來(lái)說(shuō)，5月5日可與千年蟲(chóng)危機匹敵。Tonkin預計會(huì )有大量的組織遇到互聯(lián)網(wǎng)接入問(wèn)題，大量的網(wǎng)絡(luò )管理員將會(huì )抓破頭皮尋找問(wèn)題的根源。

　　這個(gè)問(wèn)題可能需要數天時(shí)間才能完全消除，晚上未關(guān)機的用戶(hù)可能會(huì )訪(fǎng)問(wèn)到一些緩存頁(yè)面內容，Tonkin建議網(wǎng)絡(luò )管理員盡快運行一系列簡(jiǎn)單的測試，確保他們的網(wǎng)絡(luò )可以處理更大的DNS響應包。