近日由ICANN、美國(guó)政府和Verisign領(lǐng)導(dǎo)的全球13臺(tái)根域名服務(wù)器將會(huì)迎來(lái)DNSSEC(Domain Name System Security Extensions，域名系統(tǒng)安全擴(kuò)展)升級(jí)，DNSSEC升級(jí)將會(huì)在反饋給互聯(lián)網(wǎng)用戶的DNS請(qǐng)求響應(yīng)中插入數(shù)字簽名，確保返回的域名地址是未經(jīng)篡改的。

　　DNSSEC是為阻止中間人攻擊而設(shè)計(jì)的，利用中間人攻擊，黑客可以劫持DNS請(qǐng)求，并返回一個(gè)假地址給請(qǐng)求方，這種攻擊手段類(lèi)似于正常的DNS重定向，人們?cè)诓恢�不覺(jué)中被轉(zhuǎn)到另一個(gè)URL。(51CTO.com注：實(shí)際上域名劫持技術(shù)和DNS緩存投毒攻擊相當(dāng)廣泛，這也是互聯(lián)網(wǎng)最大的漏洞——DNS緩存漏洞造成的，DNSSEC可以解決這類(lèi)問(wèn)題，今年年初，百度事件就是因?yàn)镈NS服務(wù)器被攻擊造成的。)

　　據(jù)Melbourne IT首席戰(zhàn)略官，ICANN董事Bruce Tonkin說(shuō)，本次升級(jí)將會(huì)給那些毫無(wú)準(zhǔn)備的網(wǎng)絡(luò)管理員一個(gè)措手不及，響應(yīng)標(biāo)準(zhǔn)DNS請(qǐng)求往往只有一個(gè)單一的數(shù)據(jù)包(UDP協(xié)議)，大小一般不會(huì)超過(guò)521字節(jié)，在某些較舊的網(wǎng)絡(luò)設(shè)備中，比這個(gè)大的請(qǐng)求將會(huì)被出廠默認(rèn)配置阻止掉，它會(huì)認(rèn)為超過(guò)這個(gè)大小的數(shù)據(jù)包是異常的。

　　截至UTC 5月5日17:00點(diǎn)，所有發(fā)送給用戶DNS解析器的DNSSEC簽名的消息將會(huì)變大到2KB，是原來(lái)的4倍，但這么大的數(shù)據(jù)包可能會(huì)被許多網(wǎng)絡(luò)設(shè)備拒絕接收，因此這個(gè)響應(yīng)消息很可能會(huì)通過(guò)TCP分成多個(gè)數(shù)據(jù)包進(jìn)行發(fā)送。

　　Tonkin有點(diǎn)擔(dān)心，雖然DNSSEC已經(jīng)提上日程有一段時(shí)間了，但許多IT和網(wǎng)絡(luò)管理員還沒(méi)有測(cè)試他們的舊路由器和防火墻，如果不能處理更大的DNS響應(yīng)數(shù)據(jù)包就麻煩了。

　　他說(shuō)：“企業(yè)網(wǎng)絡(luò)中的設(shè)備可能會(huì)阻止比以往更大的DNS請(qǐng)求響應(yīng)數(shù)據(jù)包”。

　　DNSSEC其實(shí)早在2009年11月就在全球13臺(tái)根服務(wù)器上準(zhǔn)備好了，到目前為止，它只會(huì)導(dǎo)致許多舊網(wǎng)絡(luò)設(shè)備載入網(wǎng)頁(yè)略有延遲。

　　不是所有DNS根服務(wù)器都會(huì)響應(yīng)每一個(gè)請(qǐng)求，用戶機(jī)器上的DNS解析器會(huì)逐個(gè)請(qǐng)求這13臺(tái)根服務(wù)器，直到返回一個(gè)滿意的答復(fù)。當(dāng)13臺(tái)具有DNSSEC簽名功能的根服務(wù)器全部上線后，所有的響應(yīng)不會(huì)抵達(dá)舊設(shè)備的企業(yè)網(wǎng)絡(luò)，Tonkin希望大型ISP能解決這個(gè)問(wèn)題，讓家庭用戶不受影響。

　　他說(shuō)：“我不能保證所有ISP都準(zhǔn)備好了，ISP會(huì)為你翻譯DNS，但企業(yè)網(wǎng)絡(luò)可能影響比較大，因?yàn)槠髽I(yè)可能運(yùn)行了自己的DNS服務(wù)器”。

　　從這個(gè)意義上來(lái)說(shuō)，5月5日可與千年蟲(chóng)危機(jī)匹敵。Tonkin預(yù)計(jì)會(huì)有大量的組織遇到互聯(lián)網(wǎng)接入問(wèn)題，大量的網(wǎng)絡(luò)管理員將會(huì)抓破頭皮尋找問(wèn)題的根源。

　　這個(gè)問(wèn)題可能需要數(shù)天時(shí)間才能完全消除，晚上未關(guān)機(jī)的用戶可能會(huì)訪問(wèn)到一些緩存頁(yè)面內(nèi)容，Tonkin建議網(wǎng)絡(luò)管理員盡快運(yùn)行一系列簡(jiǎn)單的測(cè)試，確保他們的網(wǎng)絡(luò)可以處理更大的DNS響應(yīng)包。