Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Падение DNSSEC в зоне .RU : Сеть

14.11.2024 0:27


30.01.2024 21:06
Нехило так развлеклись...

Полный текст заявления Минцифры по сбою:

Возникла техническая проблема, затронувшая зону .RU, связанная с глобальной инфраструктурой DNSSEC (это набор расширений протокола DNS, благодаря которому гарантируется целостность и достоверность данных). Специалисты Технического центра Интернет и МСК-IX работают над её устранением.

В настоящее время для абонентов Национальной системы доменных имен проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации.

В итоге не работало вообще ничего, от слова совсем. Я не мог открыть olegon.ru, NS-сервера которого стоят - руку протянуть.

Подозреваю попытку что-то в очередной раз заблокировать или подменить для контроля. И, как сама идея, так и реализация была от рукожопов.
Все легло.
30.01.2024 21:11
Если кому-то интересно, какие сервера, скорее всего, не будут блокировать, то это сервера Национальной Системы Доменных Имен.
195.208.4.1
195.208.5.1
Только не сочтите это за рекомендацию ими пользоваться.
31.01.2024 09:16
🤔 Интересный таймлайн событий 2024-01-30. Зона RU, время по Москве.

15:29:44: последний отмеченный корректный ответ
серийный номер SOA: 4058855


18:27:27: первый отмеченный сбойный ответ
серийный номер SOA: 4058857


20:27:35: отмечена попытка переподписать зону
серийные номера SOA: 4058857 и 4058858


20:59:46: начало процесса восстановления
серийные номера SOA: 4058856, 4058857 и 4058858


22:07:29: первый отмеченный полностью корректный ответ
серийный номер SOA: 4058856
31.01.2024 09:40
Цитата:
OlegON не сочтите это за рекомендацию ими пользоваться
По слухам, эти молодцы просто отключили проверку DNSSEC, потому и заработало. Как я понял, отключить эту проверку было еще и рекомендацией Роскомнадзора.
Собственно, оно и вообще работало у тех, кто не заморачивается этой самой проверкой. Опять по слухам - у некоторых сегментов Ростелекома и Билайна.

DNSSEC, если по простому - это то, что мешает серверу подсунуть вам вместо правильного IP какой-то нужный злоумышленникам.

То есть в качестве решения неработающего DNS было предложено отключить проверку, что он правильный. На пальцах это пример вроде "раз вы не можете перевести деньги через интернет магазину, то переведите их хоть куда-нибудь". Пример, конечно, не 100%, поскольку для такой подстановки нужна подготовка, но в целом и совсем ненулевая вероятность. Что самое поганое, сама компрометация ресурсов может распространяться не только на период, когда не работал DNS.

Что касается того, что это козни спецслужб и тестирование чего-то страшного на горизонте - может быть, но больше похоже на рукожопие низкоквалифицированных людей или просто халатность.

Мое мнение - DNSSEC отключать ни в коем случае нельзя (я про тех, у кого свой DNS-сервер, а его "свой" рекомендую не только организации, но и дома, вот ссылка на хороший), а помимо этого еще хорошо бы и DoT делать, либо, как в Firefox есть, DoH.
31.01.2024 14:09
Сейчас на серверах всё ещё лежит старая зона с серийным номером 4058856. Домены .ru регистрируются, но на серверах не появляются и пользоваться ими нельзя. Нельзя так же сменить NS или ключи DNSSEC для своих доменов второго уровня в .ru

Ничего пока не закончилось
31.01.2024 20:22
По статусу. 2024-01-31 примерно в 17:17 по Москве серийный номер SOA зоны RU сменился на 4058860. Подписи стали производиться другим ключом DNSSEC. произошла ротация:

Видимо, починили.
31.01.2024 20:39
Точнее накатили резрв до рукожопства)))
01.02.2024 10:55
Не знаю, что там по настройкам софта и инфраструктуры, но номер зоны после остановки снова пошел вперед, полагаю, что это все же введение в штатную работу, а не просто откат.
01.02.2024 11:31
Ну как же... Откат назад... Потом пошли номера вверх.. все логично..
Пропущенные номера это как раз ... Сделали бэкап.. пока настраивали проскочили еще несколько... Потом отключили и влепили свои сертификаты ... Потом поняли что сломали... Пытались починить... Не вышло...rollback
01.02.2024 16:13
С четвёртым энергоблоком так же игрались
Часовой пояс GMT +3, время: 00:27.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.