Вчера заметил странное поведение DNS в нашей сети. Некоторые, если не многие, домены отзывались не сразу, а только на второй-третий раз. Причем, глючили даже гугл-сервисы, например, Пикаса. Пришел к выводу, что виновата старая машинка, которая юзается в качестве DNS, и /почему-то/ выросший трафик запросов, с которым она просто не справляется.
Решать эту проблему на корпоративном уровне - дело почти безнадежное: денег не дадут. Хе-хе. Для себя решил проблему прописыванием вторичного DNS на своей машине.
Сегодня просто ради интереса отрубил вторичку и проверил около 50 урлов (тупо взял из серч-резалта гугла); результат - все в норме, за исключеним одного домена, который просто-напросто экспайрился.
К чему это я.. Ах, да! Сегодня узнал о том, что как раз сутки назад (08.07) началось "пропатчивание" тырнета. А точнее, одной из фундаментальных составляющих современного интернета - системы доменных имен (DNS).
Если еще точнее, то модернизации подверглась реализация обмена данными между вышестоящим и нижестоящим DNS-серверами, которые для идентификации входящих данных используют числовые метрики, вычисляемые по псевдо-случайному алгоритму. Кроме того, количество этих метрик конечно и составляет всего 65000. Псевдо-случайность и относительно небольшое количество этих метрик теоретически могут обеспечивать уязвимость, известную как "DNS cache poisoning" ("отравление DNS-кеша"), при котором целевому серверу можно подсунуть пакет, прожевав который, он будет все запросы к Гуглу перенаправлять на vasya.laodzy.cn, например. Ну, после того, как все (все) DNS-сервера обновят свои BIND`ы и прочие иисы, Василий Лаодзы уже не сможет ничего сделать. :)
От так.
Решать эту проблему на корпоративном уровне - дело почти безнадежное: денег не дадут. Хе-хе. Для себя решил проблему прописыванием вторичного DNS на своей машине.
Сегодня просто ради интереса отрубил вторичку и проверил около 50 урлов (тупо взял из серч-резалта гугла); результат - все в норме, за исключеним одного домена, который просто-напросто экспайрился.
К чему это я.. Ах, да! Сегодня узнал о том, что как раз сутки назад (08.07) началось "пропатчивание" тырнета. А точнее, одной из фундаментальных составляющих современного интернета - системы доменных имен (DNS).
Если еще точнее, то модернизации подверглась реализация обмена данными между вышестоящим и нижестоящим DNS-серверами, которые для идентификации входящих данных используют числовые метрики, вычисляемые по псевдо-случайному алгоритму. Кроме того, количество этих метрик конечно и составляет всего 65000. Псевдо-случайность и относительно небольшое количество этих метрик теоретически могут обеспечивать уязвимость, известную как "DNS cache poisoning" ("отравление DNS-кеша"), при котором целевому серверу можно подсунуть пакет, прожевав который, он будет все запросы к Гуглу перенаправлять на vasya.laodzy.cn, например. Ну, после того, как все (все) DNS-сервера обновят свои BIND`ы и прочие иисы, Василий Лаодзы уже не сможет ничего сделать. :)
От так.
2 комментария:
Кстати, бага касается только те DNS-серверы, которые работают в режиме рекурсивного обработчика. Если же у вас просто свой личный серверочек без рекурсии, то вам ничего не страшно. Но обновиться стОит.
Я имел в виду не наш внутриофисный ДНС (его просто нет :) ), а корпоративный DNS, который обслуживает клиентов компании "Очень Большое Полено"/ А там рекурсивный кеширующий...
Отправить комментарий