30 января Рунет испытал один из самых масштабных сбоев, в результате которого множество сайтов и сервисов в доменной RU-зоне, включая мессенджеры, социальные сети, сайты доставок и государственных учреждений, стали недоступными. Этот инцидент не затронул всех пользователей одинаково, причём для некоторых сервисы продолжали работать как обычно.
Причиной сбоя стала проблема, связанная с технологией DNSSEC, как пояснил Координационный центр .RU/.РФ. В результате домены в RU-сегменте получили неверную цифровую подпись, что привело к недоступности сайтов.
Причины сбоя:
- Проблема с DNSSEC: DNSSEC (Domain Name System Security Extensions) — это технология, предназначенная для защиты информации о доменных именах от подделки. Ошибка в цифровых подписях, используемых в этой системе, стала причиной недоступности сайтов.
- Иерархия DNS-серверов: Интернет работает на основе сложной иерархии DNS-серверов, начиная от корневых и заканчивая локальными. Ошибка в одном из высокоуровневых серверов может привести к глобальным проблемам с доступностью доменов.
- Кэширование данных: DNS-серверы кэшируют информацию о доменах для ускорения работы. Серверы с длительным временем жизни кэша (TTL) продолжали обеспечивать доступ к сайтам дольше, так как ошибка до них дошла позже.
- Временное отключение проверок DNSSEC: Некоторые администраторы DNS-серверов временно отключили проверки подписей DNSSEC для восстановления работы сервисов. Это увеличило риск безопасности, но позволило вернуть доступ к сайтам.
Почему сбой затронул не всех:
- Разное время обновления кэша: В зависимости от настроек TTL у разных DNS-серверов время, через которое они обновляют кэшированную информацию, может сильно отличаться. Это означает, что некоторые пользователи продолжали иметь доступ к сайтам, пока их DNS-серверы не попытались обновить данные.
- Отключение проверок DNSSEC: Пользователи, чьи запросы обрабатывались серверами с временно отключёнными проверками DNSSEC, могли продолжать пользоваться интернетом без проблем.
Таким образом, сбой в Рунете 30 января затронул не всех пользователей из-за особенностей работы и взаимодействия DNS-серверов, а также различных мер, предпринятых администраторами для минимизации последствий инцидента.
Почему плохо использовать DNS-сервис с отключенным DNSSEC?
Примечание. Вы можете проверить, поддерживает ли ваш DNS-провайдер технологию безопасности DNSSEC, которая проверяет подлинность ответа от DNS-сервера, на сайтах https://dnscheck.tools/ и https://wander.science/. Если DNSSEC отключен, вы подвергаетесь рискам безопасности.
Использование DNS-сервиса с отключенным DNSSEC может представлять ряд рисков и считаться плохой практикой по нескольким причинам:
- Уязвимость для подмены DNS-запросов (DNS spoofing): Без DNSSEC легче осуществить атаки, при которых злоумышленник может перенаправить трафик с легитимного сайта на мошеннический, имитируя первый. Это может привести к краже личных данных, учетных данных входа в систему и другой конфиденциальной информации.
- Отсутствие целостности данных: DNSSEC гарантирует, что данные, полученные от DNS-сервера, не были изменены в процессе передачи. Без DNSSEC нет никакой гарантии, что данные, которые вы получили, действительно те, которые были отправлены изначально.
- Увеличение риска проведения фишинговых атак: Без проверки подлинности DNS ответов, обеспечиваемой DNSSEC, пользователям легче подвергнуться фишинговым атакам, поскольку они могут быть перенаправлены на поддельные веб-сайты без их ведома.
- Уязвимость для Man-in-the-Middle (MitM) атак: Без DNSSEC злоумышленники могут перехватывать запросы к DNS и отвечать на них, представляясь легитимным источником. Это позволяет им перехватывать и модифицировать трафик.
- Снижение доверия к онлайн-сервисам: Без механизмов, таких как DNSSEC, пользователи не могут быть уверены в том, что они действительно соединяются с предполагаемым веб-сайтом, что подрывает доверие к онлайн-транзакциям и обмену данными.
DNSSEC был разработан для решения этих и других проблем безопасности, связанных с традиционной системой DNS, путем введения цифровых подписей для проверки подлинности данных DNS. Отключение DNSSEC увеличивает уязвимость к атакам и снижает общую безопасность сетевых взаимодействий.
Обновления программ, что нового
• Обновление NVIDIA GeForce Game Ready 576.28 WHQL. Исправления для RTX 50 и улучшения стабильности работы игр
• Новые функции «Алисы» и «Яндекс Станций» за апрель 2025 года
• Релиз Chrome 136: Обновления безопасности и исправление уязвимости, которая существовала более 20 лет
• Обновление до Windows 11, версия 24H2 блокируется на старых версиях Windows 11 из-за бага в службе WSUS
• Обновление Intel Bluetooth Drivers 23.130.0 для Windows 11 и Windows 10: функциональные улучшения
• Обновление Intel Wi-Fi Drivers 23.130.1: исправления установщика и улучшенная поддержка Wi-Fi 6E и Wi-Fi 7