Почему массовый сбой в Рунете не коснулся всех?

30 января Рунет испытал один из самых масштабных сбоев, в результате которого множество сайтов и сервисов в доменной RU-зоне, включая мессенджеры, социальные сети, сайты доставок и государственных учреждений, стали недоступными. Этот инцидент не затронул всех пользователей одинаково, причём для некоторых сервисы продолжали работать как обычно.

Причиной сбоя стала проблема, связанная с технологией DNSSEC, как пояснил Координационный центр .RU/.РФ. В результате домены в RU-сегменте получили неверную цифровую подпись, что привело к недоступности сайтов.

Причины сбоя:

• Проблема с DNSSEC: DNSSEC (Domain Name System Security Extensions) — это технология, предназначенная для защиты информации о доменных именах от подделки. Ошибка в цифровых подписях, используемых в этой системе, стала причиной недоступности сайтов.
• Иерархия DNS-серверов: Интернет работает на основе сложной иерархии DNS-серверов, начиная от корневых и заканчивая локальными. Ошибка в одном из высокоуровневых серверов может привести к глобальным проблемам с доступностью доменов.
• Кэширование данных: DNS-серверы кэшируют информацию о доменах для ускорения работы. Серверы с длительным временем жизни кэша (TTL) продолжали обеспечивать доступ к сайтам дольше, так как ошибка до них дошла позже.
• Временное отключение проверок DNSSEC: Некоторые администраторы DNS-серверов временно отключили проверки подписей DNSSEC для восстановления работы сервисов. Это увеличило риск безопасности, но позволило вернуть доступ к сайтам.

Почему сбой затронул не всех:

• Разное время обновления кэша: В зависимости от настроек TTL у разных DNS-серверов время, через которое они обновляют кэшированную информацию, может сильно отличаться. Это означает, что некоторые пользователи продолжали иметь доступ к сайтам, пока их DNS-серверы не попытались обновить данные.
• Отключение проверок DNSSEC: Пользователи, чьи запросы обрабатывались серверами с временно отключёнными проверками DNSSEC, могли продолжать пользоваться интернетом без проблем.

Таким образом, сбой в Рунете 30 января затронул не всех пользователей из-за особенностей работы и взаимодействия DNS-серверов, а также различных мер, предпринятых администраторами для минимизации последствий инцидента.

Почему плохо использовать DNS-сервис с отключенным DNSSEC?

Использование DNS-сервиса с отключенным DNSSEC может представлять ряд рисков и считаться плохой практикой по нескольким причинам:

• Уязвимость для подмены DNS-запросов (DNS spoofing): Без DNSSEC легче осуществить атаки, при которых злоумышленник может перенаправить трафик с легитимного сайта на мошеннический, имитируя первый. Это может привести к краже личных данных, учетных данных входа в систему и другой конфиденциальной информации.
• Отсутствие целостности данных: DNSSEC гарантирует, что данные, полученные от DNS-сервера, не были изменены в процессе передачи. Без DNSSEC нет никакой гарантии, что данные, которые вы получили, действительно те, которые были отправлены изначально.
• Увеличение риска проведения фишинговых атак: Без проверки подлинности DNS ответов, обеспечиваемой DNSSEC, пользователям легче подвергнуться фишинговым атакам, поскольку они могут быть перенаправлены на поддельные веб-сайты без их ведома.
• Уязвимость для Man-in-the-Middle (MitM) атак: Без DNSSEC злоумышленники могут перехватывать запросы к DNS и отвечать на них, представляясь легитимным источником. Это позволяет им перехватывать и модифицировать трафик.
• Снижение доверия к онлайн-сервисам: Без механизмов, таких как DNSSEC, пользователи не могут быть уверены в том, что они действительно соединяются с предполагаемым веб-сайтом, что подрывает доверие к онлайн-транзакциям и обмену данными.

DNSSEC был разработан для решения этих и других проблем безопасности, связанных с традиционной системой DNS, путем введения цифровых подписей для проверки подлинности данных DNS. Отключение DNSSEC увеличивает уязвимость к атакам и снижает общую безопасность сетевых взаимодействий.