Что такое DNSSEC, из-за которого произошел масштабный сбой в Рунете
Во вторник, 30 января, вечером по Москве в Рунете случился масштабный сбой: многие сайты медленно открывались или не открывались вовсе. Согласно информации портала «сбой.рф», абоненты МТС массово жаловались на отсутствие мобильного интернета, о проблемах также сообщали клиенты «МегаФона» и «ВымпелКома» (бренд «Билайн»). Большинство сбоев было зафиксировано в Москве, Санкт-Петербурге, Краснодарском крае, Башкирии и Костромской области. Также проблемы возникали при использовании российских приложений за рубежом.
В Координационном центре доменов .ru и .рф объяснили сбой технической проблемой, «связанной с глобальной инфраструктурой DNSSEC».
DNSSEC — это протокол для повышения безопасности системы доменных имен (DNS). Чтобы посетить любой сайт, отправить сообщение по электронной почте или в соцсетях, понятные человеку доменные имена (например, rbc.ru) должны быть преобразованы в состоящие из цифр IP-адреса — их используют серверы, маршрутизаторы и другие устройства для передачи трафика в нужном направлении. DNS разрабатывалась в 1980-х годах, в тот момент интернет был не таким масштабным и его безопасность не являлась основным приоритетом. Как следствие, при запросах друг другу DNS-серверы не имеют возможности проверить подлинность ответа. Такой сервер может лишь проверить, поступает ли ответ с того же IP-адреса, по которому был отправлен исходный запрос. Но IP-адреса легко подделать или подменить, из-за чего злоумышленники могут направить пользователя не на тот сайт, на который он хотел зайти, а на потенциально вредоносный. И пользователь может этого не заметить.
DNSSEC позволяет повысить надежность проверки подлинности в DNS при помощи цифровых подписей, основанных на криптографических ключах, убедиться в том, что записи не подменили.
В момент начала сбоя в Рунете несколько участников телекоммуникационного рынка рассказали РБК, что операторы начали решать проблему, отключая проверку DNSSEC. В 22:20 Минцифры сообщило, что техническая проблема, связанная с глобальной инфраструктурой DNSSEC, вызвавшая недоступность сайтов в зоне .ru, устранена. В то же время министерство предупредило, что неполадки в работе DNS могут наблюдаться еще некоторое время, пока обновленные данные не разойдутся по системе.
Ранее эксперты предупреждали, что без защиты DNSSEC пользователи различных сайтов могут столкнуться с мошенничеством. Например, в блоге Timeweb Cloud (облачная платформа одного из крупнейших хостинг-провайдеров России и СНГ Timeweb) описывалась такая схема:
— Есть сайт банка — bank.com. Когда пользователь вводит этот домен в адресной строке браузера, DNS-система перенаправляет его на IP-адрес 172.168.0.15. Это IP-адрес сервиса онлайн-банкинга. Для авторизации и аутентификации на нем пользователь вводит логин и пароль. Если домен не защищен с помощью DNSSEC, то злоумышленники могут подменить IP-адрес в кэше на свой — например, 183.168.0.66. На этом адресе будет размещен поддельный сервис онлайн-банкинга, который внешне выглядит так же, как реальный. Пользователь вводит на поддельном портале логин и пароль. Они оказываются в руках у злоумышленников. С этими данными они могут авторизоваться на настоящем сайте и получить доступ к счетам жертвы.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
