Почему массовый сбой в Рунете не коснулся всех?

2024-02-01 7230 комментарии
30 января Рунет пережил масштабный сбой: множество RU-сайтов и сервисов стали недоступны, но не для всех

30 января Рунет испытал один из самых масштабных сбоев, в результате которого множество сайтов и сервисов в доменной RU-зоне, включая мессенджеры, социальные сети, сайты доставок и государственных учреждений, стали недоступными. Этот инцидент не затронул всех пользователей одинаково, причём для некоторых сервисы продолжали работать как обычно.

Причиной сбоя стала проблема, связанная с технологией DNSSEC, как пояснил Координационный центр .RU/.РФ. В результате домены в RU-сегменте получили неверную цифровую подпись, что привело к недоступности сайтов.

Причины сбоя:

  • Проблема с DNSSEC: DNSSEC (Domain Name System Security Extensions) — это технология, предназначенная для защиты информации о доменных именах от подделки. Ошибка в цифровых подписях, используемых в этой системе, стала причиной недоступности сайтов.
  • Иерархия DNS-серверов: Интернет работает на основе сложной иерархии DNS-серверов, начиная от корневых и заканчивая локальными. Ошибка в одном из высокоуровневых серверов может привести к глобальным проблемам с доступностью доменов.
  • Кэширование данных: DNS-серверы кэшируют информацию о доменах для ускорения работы. Серверы с длительным временем жизни кэша (TTL) продолжали обеспечивать доступ к сайтам дольше, так как ошибка до них дошла позже.
  • Временное отключение проверок DNSSEC: Некоторые администраторы DNS-серверов временно отключили проверки подписей DNSSEC для восстановления работы сервисов. Это увеличило риск безопасности, но позволило вернуть доступ к сайтам.

Почему сбой затронул не всех:

  • Разное время обновления кэша: В зависимости от настроек TTL у разных DNS-серверов время, через которое они обновляют кэшированную информацию, может сильно отличаться. Это означает, что некоторые пользователи продолжали иметь доступ к сайтам, пока их DNS-серверы не попытались обновить данные.
  • Отключение проверок DNSSEC: Пользователи, чьи запросы обрабатывались серверами с временно отключёнными проверками DNSSEC, могли продолжать пользоваться интернетом без проблем.

Таким образом, сбой в Рунете 30 января затронул не всех пользователей из-за особенностей работы и взаимодействия DNS-серверов, а также различных мер, предпринятых администраторами для минимизации последствий инцидента.

Почему плохо использовать DNS-сервис с отключенным DNSSEC?

Примечание. Вы можете проверить, поддерживает ли ваш DNS-провайдер технологию безопасности DNSSEC, которая проверяет подлинность ответа от DNS-сервера, на сайтах https://dnscheck.tools/ и https://wander.science/. Если DNSSEC отключен, вы подвергаетесь рискам безопасности.

Использование DNS-сервиса с отключенным DNSSEC может представлять ряд рисков и считаться плохой практикой по нескольким причинам:

  • Уязвимость для подмены DNS-запросов (DNS spoofing): Без DNSSEC легче осуществить атаки, при которых злоумышленник может перенаправить трафик с легитимного сайта на мошеннический, имитируя первый. Это может привести к краже личных данных, учетных данных входа в систему и другой конфиденциальной информации.
  • Отсутствие целостности данных: DNSSEC гарантирует, что данные, полученные от DNS-сервера, не были изменены в процессе передачи. Без DNSSEC нет никакой гарантии, что данные, которые вы получили, действительно те, которые были отправлены изначально.
  • Увеличение риска проведения фишинговых атак: Без проверки подлинности DNS ответов, обеспечиваемой DNSSEC, пользователям легче подвергнуться фишинговым атакам, поскольку они могут быть перенаправлены на поддельные веб-сайты без их ведома.
  • Уязвимость для Man-in-the-Middle (MitM) атак: Без DNSSEC злоумышленники могут перехватывать запросы к DNS и отвечать на них, представляясь легитимным источником. Это позволяет им перехватывать и модифицировать трафик.
  • Снижение доверия к онлайн-сервисам: Без механизмов, таких как DNSSEC, пользователи не могут быть уверены в том, что они действительно соединяются с предполагаемым веб-сайтом, что подрывает доверие к онлайн-транзакциям и обмену данными.

DNSSEC был разработан для решения этих и других проблем безопасности, связанных с традиционной системой DNS, путем введения цифровых подписей для проверки подлинности данных DNS. Отключение DNSSEC увеличивает уязвимость к атакам и снижает общую безопасность сетевых взаимодействий.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте