В ходе сбоя в Рунете пострадали сайты в доменах.ru,.дети и.tatar
Технический центр Интернет (ТЦИ), который специализируется на поддержке инфраструктуры системы доменных имен (DNS) и фактически отвечает за функционирование интернета в России, разослал российским регистраторам доменов имен письмо с разбором масштабного сбоя в Рунете 30 января.
Что такое ТЦИ
ТЦИ является техническим оператором российской национальной доменной зоны, куда входят домены верхнего уровня .ru, .рф, .su, .дети и .tatar. Обеспечивает устойчивое и защищенное функционирование реестров и системы регистрации доменных имен и сопутствующих сервисов. Входит в группу компаний «Ростелеком-ЦОД».
Из письма (копия есть у РБК) следует, что сбой длился 30 января с 18:28 до 21:00 мск и затронул сайты в доменных зонах .ru, .tatar и .дети. Сбой произошел при замене старого ключа для проверки подлинности записей в файле зоны на новый. Подобные замены — плановые, для домена .ru они производятся четыре раза в год, очередная началась 24 января. «В результате сбоя конфигурации в системе [30 января при активации нового ключа] оказались две пары ключей с одинаковым keytag (16-битный тег, который вычисляется по алгоритму от данных ключа. — РБК)», — отмечается в разъяснении ТЦИ. Коллизия с одинаковыми keytag в системе в нем объясняется «сбоем программного обеспечения».
По словам директора по информационным технологиям RU-CENTER Евгения Мартынова, все регистраторы доменных имен, и в том числе его компания, получили письмо с разбором. «Из письма следует, что с технической точки зрения произошло довольно редкое событие — в системе отобразился некорректный ключ, не тот, который должен был быть в зоне. Для DNS-инфраструктуры в целом это выглядело как ответ, которому нельзя доверять. Условно, у вас есть пароль для входа в крепость, и гонец подошел к воротам еще со вчерашним паролем, а часовой уже пускает только с сегодняшним», — объяснил он.
В разъяснении ТЦИ отмечается, что был «проведен комплекс мер» для устранения проблем в хранилище ключевой информации. «Последствия сбоя были успешно ликвидированы в течение двух с половиной часов, а его корневая причина была устранена в течение суток. С целью предотвращения повторения подобных сбоев предпринимаются шаги по доработке процессов проверки и публикации файлов зон, а также модернизации используемого программного обеспечения», — говорится в письме.
РБК направил запрос в ТЦИ.
Насколько уникальным оказался сбой
Как пояснил РБК директор по инфраструктуре облачного провайдера «EdgeЦентр» Алексей Учакин, причиной сбоя в процессе генерации подписи мог стать человеческий фактор, например инженер мог ошибиться в конфигурации софта при генерации нового ключа. Также проблема могла быть вызвана несовершенством программного обеспечения.
Учакин отметил, что домены .дети и .tatar обслуживаются DNS-серверами из зоны .ru, поэтому, когда в последней начались проблемы, это отразилось и на зависимых от нее зонах. «Раньше в интернете было только два вида доменов верхнего уровня — страновые (.ru) и международные (.com,.net,.org и др.). Несколько лет назад открыли регистрацию доменов верхнего уровня для всех желающих, появились различные коммерческие/частные домены, например .moscow, .yandex и др., но создавать под них полноценную инфраструктуру нецелесообразно — доменов в этих зонах мало, а вложений нужно много», — пояснил он. При этом Алексей Учакин указал, что у зоны .tatar есть резервные DNS-серверы, поэтому после появления проблем эта зона продолжила работать, но сайты открывались медленнее, чем обычно.
Гендиректор российского хостинг-провайдера Rusonyx Константин Анисимов также в качестве причины сбоя при замене ключа указал человеческий фактор — намеренный или случайный. Он отметил, что за время существования зоны .ru таких крупных сбоев еще не возникало. Глава хостинг-провайдера RUVDS Никита Цаплин считает, что проблема была связана с внедрением новой информационной системы регистратором, в которой формат ключей отличался от прошлой.
«Осложнило ситуацию и то, что ошибочные записи с ключами «осели» в кешах DNS-серверов. В обычных условиях для нормализации работы всей системы было бы достаточно просто перезапустить DNS-сервер. Но в нашем случае администраторам пришлось вручную очистить кэш, чтобы максимально оперативно устранить проблему», — рассуждает он. Цаплин дополнил, что ситуация нестандартная, но совсем уж редкой ее назвать нельзя. В прошлом году по такой же причине, по его словам, возникла проблема в доменной зоне .nz (Новая Зеландия).
Что произошло с Рунетом 30 января
Вечером 30 января многие сайты Рунета стали открываться медленно или вовсе не открывались из-за, как объясняли в Минцифры, технической проблемы с глобальной инфраструктурой DNSSEC (протокол, обеспечивающий надежность проверки подлинности в DNS с помощью цифровых подписей на основе криптографических ключей; без его использования существует риск подделки IP-адресов злоумышленниками: они могут направить пользователя на вредоносный сайт). Сразу после появления проблемы Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) выслал операторам связи указание отключить DNSSEC, а после устранения проблемы включить обратно.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
