Корневые серверы попали под удар после смены ключей

По сообщению компании Verisign, на корневые серверы DNS увеличилось количество запросов со стороны серверов имен после недавнего изменения криптографических мастер-ключей ICANN (KSK rollover).

Компания, которая управляет корневыми серверами A и J, заявила об увеличении количества запросов на данные DNSSEC с 15 млн в день в октябре прошлого года до 1,15 млрд в день на прошлой неделе.

Причиной тому, по мнению Verisign, стало изменение ключей подписи, состоявшееся 11 октября 2018 – первая смена, которую ICANN внесла в “якорь доверия” DNSSEC с момента его введения в 2010 году.

Сроки смены ключей переносились на год после того, как стало известно о возможных сбоях в работе интернета. Консультативный комитет по безопасности и стабильности ICANN и совет директоров корпорации не были единодушны в безопасности этого шага.

Однако, все опасения в основном были сосредоточены на том, что изменение ключей может иметь некоторое влияние на пользователей, но не на сами корневые серверы.

В настоящее время Verisign заявляет, что число запросов к данным DNSSEC выросло за ночь с 15 млн до 75 млн в день, то есть почти в пять раз.

“Серьезный рост трафика начался в январе, когда старый KSK был обозначен как “аннулированный”, – написал ведущий инженер Verisign Дуэйн Весселс (Duane Wessels). – По состоянию на 21 марта 2019 корневые серверы имен Verisign получали около 1,15 млрд запросов DNSKEY в день. Это в 75 раз выше, чем перед изменением ключей, что составляет почти 7% от общего трафика”, – написал он.

Трафик увеличивался до 22 марта, когда отозванный ключ был полностью изъят из корня. Весселс считает, что неожиданное поведение резолверов могла быть вызвана наличием в зоне недействительного ключа.

Операторы корневых серверов надеются получить ответы в ближайшие недели.

Источник: domainincite