web-dev-qa-db-ja.com

現在DURZを公開しているLルートサーバーの影響は何ですか?

Lルートサーバーの実際の効果がどうなるのか興味があります 今日DURZを公開 。 nanogメーリングリストでは、 誰かが言った DNSSECを使用していない場合でも、署名されたゾーンを公開するルートネームサーバーのシステム効果を評価することが重要です。一方、Kルートサーバーへの変更に関するRIPE自身の公開情報によると、 リゾルバーがDNSSECを使用していなくても問題ありません 。誰かがこれを片付けてもらえますか? DNSSECは、乱雑で絡み合ったWebのようです。

リゾルバーでDNSSECを有効にしない場合、ルートサーバーへの今後の変更について心配することはありますか?

6
brent

あなたは何かを見るかもしれませんが、ある程度はあなたが実行しているDNSソフトウェアに依存します。

特に、BINDは、DNSSECレコードを特に要求したり、DNSSEC検証を実行したりしない場合でも、アップストリームクエリに「DNSSECOK」(別名DO)ビットを設定します。

そのような状況では、ルートサーバーが追加のDNSSECレコードを送り返す可能性があります。これにより、ネットワークギアが壊れたり、構成が誤ったりした場合に、可能性があります問題が発生する可能性があります。パス内のファイアウォール。

これらの問題は主にパケットサイズに関連しています。一部のキットは、バグのあるファームウェアまたはベンダーからの誤った推奨構成のいずれかにより、長さが512バイトを超えるDNSUDPパケットを好みません。詳細については、my RFC 5625 を参照してください。ただし、RFCで報告するDNSSEC関連の問題のほとんどは、コンシューマークラスのギアに関連しており、異常な構成でのみ発生することに注意してください。

キットに大きなUDPパケットで問題がある場合、フォールバックはTCPを使用することであることに注意してください。ただし、一部の(誤った)セキュリティ担当者は、TCPを介したアウトバウンドDNSを無効にするようにファイアウォールを構成しているため、フォールバックが中断されます。 DNS over TCPの詳細については、 this IETFドラフトを参照してください。

ちなみに、DNSの癖の可能性についてネットワークの構成をテストするには、ICSIのexcellentNetalyzr Webサイトを強くお勧めします。カリフォルニア大学バークレー校で。

ただし、明確にするために、ほとんどのDNSエキスパートは、DNSSECの導入により、重大な問題を期待していません。いくつかのTLD(.orgと.seを含む)はすでに署名されており、それが原因でインターネットが崩壊することはありませんでした。

DURZは、DNSSECが必然的に生成するより大きな応答を段階的に段階的に導入する意図的な試みであり、夏にルートゾーン全体がDNSSECに移行する前に、ネットワークの問題があるまれなサイトがそれらを解決できるようにします。

10
Alnitak

Netalyzrよりもはるかに簡単だと思うセットアップをテストする別の解決策は OARC応答サイズテスト です。

1
bortzmeyer