https://opennet.ru/openforum/vsluhforumID3/66478.html 5 мая состоится (http://www.itnews.com.au/News/173412,warning-why-your-internet-might-fail-on-may-5.aspx) ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных DNS-серверах (их список можно получить, набрав команду "dig +bufsize=1200 +norec NS . @a.root-servers.net").<br><br><br>Обновление протокола DNS связано с тем, что в нём содержится уязвимость (http://www.opennet.ru/opennews/art.shtml?num=17101), заложенная в его спецификации, которая позволяет злоумышленнику подменить запись в DNS-кэше имён атакуемого сервера, что позволит нападающему осуществить атаку "man-in-the-middle" и получить данные пользователя, которые он пересылает в сеть (например, пароли доступа, номера кредитных карт и другую скрываемую информацию). DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы доверяете.<br><br><br>Данное обновление, однако, может послужить причиной прерывания доступа к Интернету в связ...<br><br>URL: http://www.itnews. https://opennet.ru/openforum/vsluhforumID3/66478.html#22 Wed, 05 May 2010 03:53:04 GMT он про Frame Relay<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#21 Tue, 04 May 2010 11:23:03 GMT Вообще это можно и нужно, в первую очередь, провайдерам.<br>Так как обычно клиентам прописываются DNS серверы провайдера.<br>И "отравление" кэша DNS серверов у провайдера приведет к проблемам у клиента.<br>Учитывая сложность перевода на DNSSEC вообще всех (особенно роутеры и винды), DNS общение между клиентом и провайдером можно попробовать оставить по старинке, plain-text'ом)<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#20 Tue, 04 May 2010 11:15:09 GMT &gt;Сколько надо - столько и должно передаваться. С другой стороны - я <br>&gt;не вижу необходимости в днссек. Это все слишком усложняет, имхо. <br><br>Конечно усложняет.<br>ssl шифрование тоже много чего усложняет.<br>Вашей кредиткой кто-то другой никогда "внезапно" не оплачивал iphone?<br><br>&gt;кстати на оптических магистралях MTU вообще другой.<br><br>Вы про jumbo frames?)<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#19 Tue, 04 May 2010 04:03:35 GMT не пролезет по мту - разрежут, пронумеруют, отправят. на той стороне соберут и обработают. учите матчасть. ну пожалуйста.<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#17 Mon, 03 May 2010 12:43:08 GMT Кто кого увидит? Определись, что узнать хочешь, или научись вопросы задавать.<br>Если про DNS-ответ, его могут определять по номеру порта источника для примера.<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#16 Mon, 03 May 2010 08:46:34 GMT &gt;Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь <br>&gt;параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его <br>&gt;просто дропнет как ошибочный или зловредный. <br>&gt;Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур.<br><br>КАК он его увидит ?<br><br> https://opennet.ru/openforum/vsluhforumID3/66478.html#15 Sun, 02 May 2010 18:56:21 GMT Сколько надо - столько и должно передаваться. С другой стороны - я не вижу необходимости в днссек. Это все слишком усложняет, имхо.<br><br>кстати на оптических магистралях MTU вообще другой. Эзернет это последняя миля как правило.<br> https://opennet.ru/openforum/vsluhforumID3/66478.html#14 Sun, 02 May 2010 17:09:19 GMT $ dig +bufsize=1024 rs.dns-oarc.net txt<br><br>; &lt;&lt;&gt;&gt; DiG 9.7.0-P1 &lt;&lt;&gt;&gt; +bufsize=1024 rs.dns-oarc.net txt<br>;; global options: +cmd<br>;; Got answer:<br>;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 34024<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 1280<br>;; QUESTION SECTION:<br>;rs.dns-oarc.net.INTXT<br><br>;; ANSWER SECTION:<br>rs.dns-oarc.net.60INCNAMErst.x2027.rs.dns-oarc.net.<br>rst.x2027.rs.dns-oarc.net. 59INCNAMErst.x3837.x2027.rs.dns-oarc.net.<br>rst.x3837.x2027.rs.dns-oarc.net. 58 INCNAMErst.x3843.x3837.x2027.rs.dns-oarc.net.<br>rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 3843"<br>rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"<br>rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:08:55 UTC"<br><br>;; AUTHORITY SECTION:<br>x3843.x3837.x2027.rs.dns-oarc.net. 57 IN NSns00.x3843.x3837.x2027.rs.dns-oarc.net.<br><br>;; ADDIT https://opennet.ru/openforum/vsluhforumID3/66478.html#13 Sun, 02 May 2010 17:08:39 GMT $ dig +bufsize=1024 rs.dns-oarc.net txt<br><br>; &lt;&lt;&gt;&gt; DiG 9.7.0-P1 &lt;&lt;&gt;&gt; +bufsize=1024 rs.dns-oarc.net txt<br>;; global options: +cmd<br>;; Got answer:<br>;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 6601<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 1280<br>;; QUESTION SECTION:<br>;rs.dns-oarc.net.INTXT<br><br>;; ANSWER SECTION:<br>rs.dns-oarc.net.60INCNAMErst.x1002.rs.dns-oarc.net.<br>rst.x1002.rs.dns-oarc.net. 59INCNAMErst.x1957.x1002.rs.dns-oarc.net.<br>rst.x1957.x1002.rs.dns-oarc.net. 58 INCNAMErst.x2443.x1957.x1002.rs.dns-oarc.net.<br>rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 2443"<br>rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"<br>rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:04:57 UTC"<br><br>;; AUTHORITY SECTION:<br>x2443.x1957.x1002.rs.dns-oarc.net. 57 IN NSns00.x2443.x1957.x1002.rs.dns-oarc.net.<br><br>;; ADDITI