DNS根服务器开始为DNS请求添加数字签名

yecho

　　新浪科技讯 北京时间5月5日下午消息，据国外媒体报道，以ICANN(互联网域名与数字地址分配机构)为首的全球顶级域名授权商将在全球互联网的13个根服务器上完成DNSSEC(DNS安全扩展)协议的第一阶段部署。
　　DNSSEC为每一个DNS请求都添加了一个数字签名，从而为网民提供了额外的保障，确保通过域名可以访问到正确的网站或邮箱。
　　DNSSEC是为了防范“中间人”攻击而开发的。在这种攻击中，黑客会拦截域名请求，并返回虚假信息诱骗用户的系统访问错误的网站。
　　ICANN理事兼Melbourne IT公司首席战略官布鲁斯·托金(Bruce Tonkin)表示，这一协议虽然受到业内的广泛欢迎，但是却有可能对尚未做好准备的网络管理人员产生不利的副作用。
　　对标准DNS请求的响应通常会通过一个UDP协议的数据包发送，大小则会限制在512字节以内。在一些较老的网络设备中，根据出厂设置，任何大于这一容量的数据包都会被屏蔽。之因此采用这一设置，是由于厂商认为大于这一容量的数据包都代表某种异常情况。
　　自协调世界时间(UTC)5月5日17:00(北京时间5月6日1:00)起，所有传回给用户的DNS解析器的DNSSEC签名载入信息容量都将达到以往的4倍，最高达到2KB。一旦这一大小的数据包被拒绝，上述信息有可能会通过TCP协议以多个数据包的形式传送。
　　托金担心，尽管DNSSEC的部署时间已经确定了一段时间，但许多IT和网络管理者尚未对旧的路由器和防火墙进行测试，以确保能够处理更大容量的DNS响应，所以届时有可能会出现故障。(鼎宏)