30 января Рунет испытал один из самых масштабных сбоев, в результате которого множество сайтов и сервисов в доменной RU-зоне, включая мессенджеры, социальные сети, сайты доставок и государственных учреждений, стали недоступными. Этот инцидент не затронул всех пользователей одинаково, причём для некоторых сервисы продолжали работать как обычно.
Причиной сбоя стала проблема, связанная с технологией DNSSEC, как пояснил Координационный центр .RU/.РФ. В результате домены в RU-сегменте получили неверную цифровую подпись, что привело к недоступности сайтов.
Причины сбоя:
- Проблема с DNSSEC: DNSSEC (Domain Name System Security Extensions) — это технология, предназначенная для защиты информации о доменных именах от подделки. Ошибка в цифровых подписях, используемых в этой системе, стала причиной недоступности сайтов.
- Иерархия DNS-серверов: Интернет работает на основе сложной иерархии DNS-серверов, начиная от корневых и заканчивая локальными. Ошибка в одном из высокоуровневых серверов может привести к глобальным проблемам с доступностью доменов.
- Кэширование данных: DNS-серверы кэшируют информацию о доменах для ускорения работы. Серверы с длительным временем жизни кэша (TTL) продолжали обеспечивать доступ к сайтам дольше, так как ошибка до них дошла позже.
- Временное отключение проверок DNSSEC: Некоторые администраторы DNS-серверов временно отключили проверки подписей DNSSEC для восстановления работы сервисов. Это увеличило риск безопасности, но позволило вернуть доступ к сайтам.
Почему сбой затронул не всех:
- Разное время обновления кэша: В зависимости от настроек TTL у разных DNS-серверов время, через которое они обновляют кэшированную информацию, может сильно отличаться. Это означает, что некоторые пользователи продолжали иметь доступ к сайтам, пока их DNS-серверы не попытались обновить данные.
- Отключение проверок DNSSEC: Пользователи, чьи запросы обрабатывались серверами с временно отключёнными проверками DNSSEC, могли продолжать пользоваться интернетом без проблем.
Таким образом, сбой в Рунете 30 января затронул не всех пользователей из-за особенностей работы и взаимодействия DNS-серверов, а также различных мер, предпринятых администраторами для минимизации последствий инцидента.
Почему плохо использовать DNS-сервис с отключенным DNSSEC?
Примечание. Вы можете проверить, поддерживает ли ваш DNS-провайдер технологию безопасности DNSSEC, которая проверяет подлинность ответа от DNS-сервера, на сайтах https://dnscheck.tools/ и https://wander.science/. Если DNSSEC отключен, вы подвергаетесь рискам безопасности.
Использование DNS-сервиса с отключенным DNSSEC может представлять ряд рисков и считаться плохой практикой по нескольким причинам:
- Уязвимость для подмены DNS-запросов (DNS spoofing): Без DNSSEC легче осуществить атаки, при которых злоумышленник может перенаправить трафик с легитимного сайта на мошеннический, имитируя первый. Это может привести к краже личных данных, учетных данных входа в систему и другой конфиденциальной информации.
- Отсутствие целостности данных: DNSSEC гарантирует, что данные, полученные от DNS-сервера, не были изменены в процессе передачи. Без DNSSEC нет никакой гарантии, что данные, которые вы получили, действительно те, которые были отправлены изначально.
- Увеличение риска проведения фишинговых атак: Без проверки подлинности DNS ответов, обеспечиваемой DNSSEC, пользователям легче подвергнуться фишинговым атакам, поскольку они могут быть перенаправлены на поддельные веб-сайты без их ведома.
- Уязвимость для Man-in-the-Middle (MitM) атак: Без DNSSEC злоумышленники могут перехватывать запросы к DNS и отвечать на них, представляясь легитимным источником. Это позволяет им перехватывать и модифицировать трафик.
- Снижение доверия к онлайн-сервисам: Без механизмов, таких как DNSSEC, пользователи не могут быть уверены в том, что они действительно соединяются с предполагаемым веб-сайтом, что подрывает доверие к онлайн-транзакциям и обмену данными.
DNSSEC был разработан для решения этих и других проблем безопасности, связанных с традиционной системой DNS, путем введения цифровых подписей для проверки подлинности данных DNS. Отключение DNSSEC увеличивает уязвимость к атакам и снижает общую безопасность сетевых взаимодействий.
Обновления программ, что нового
• Роскомнадзор может ограничить работу 8 зарубежных хостинг-провайдеров в России
• Приложение Газпромбанка для Android удалено из Google Play
• Samsung One UI 7 сравнили с iOS 18: Что нового на экране блокировки и в панели быстрого запуска
• Обновление Intel ARC Game On Driver 32.0.101.6319 Non-WHQL. Поддержка Indiana Jones and The Great Circle, Marvel Rivals и Path of Exile 2
• OpenAI представила ChatGPT Pro с эксклюзивной моделью o1 за 200$ в месяц
• Samsung выпустила бета-версию One UI 7 с редизайном интерфейса и Now Bar