据国外媒体报道,以ICANN(互联网域名与数字地址分配机构)为首的全球顶级域名授权商将在全球互联网的13个根服务器上完成 DNSSEC(DNS安全扩展)协议的第一阶段部署。
DNSSEC为每一个DNS请求都添加了一个数字签名,从而为网民提供了额外的保障,确保通过域名可以访问到正确的网站或邮箱。
DNSSEC是为了防范“中间人”攻击而开发的。在这种攻击中,黑客会拦截域名请求,并返回虚假信息诱骗用户的系统访问错误的网站。
ICANN理事兼Melbourne IT公司首席战略官布鲁斯·托金(Bruce Tonkin)表示,这一协议虽然受到业内的广泛欢迎,但是却有可能对尚未做好准备的网络管理人员产生不利的副作用。
对标准DNS请求的响应通常会通过一个UDP协议的数据包发送,大小则会限制在512字节以内。在一些较老的网络设备中,根据出厂设置,任何大于这一容量的数据包都会被屏蔽。之所以采用这一设置,是因为厂商认为大于这一容量的数据包都代表某种异常情况。
自协调世界时间(UTC)5月5日17:00(北京时间5月6日1:00)起,所有传回给用户的DNS解析器的DNSSEC签名载入信息容量都将达到以往的4倍,最高达到2KB。一旦这一大小的数据包被拒绝,上述信息有可能会通过TCP协议以多个数据包的形式传送。
托金担心,尽管DNSSEC的部署时间已经确定了一段时间,但许多IT和网络管理者尚未对旧的路由器和防火墙进行测试,以确保能够处理更大容量的DNS响应,因此届时有可能会出现故障。(鼎宏)