Один из корневых DNS-серверов 4 дня находился в рассинхронизированном состоянии

Один из 13 корневых серверов DNS (c.root-servers.net), обеспечивающих работу корневой зоны DNS (начальное звено в цепочке резолвинга доменных имён, отдающее сведения о DNS-серверах, обслуживающих домены первого уровня, и ключах для их верификации при помощи DNSSEC) четыре дня находился в состоянии, не синхронизированном с остальными корневыми DNS-серверами. Работу корневого DNS-сервера «С» (192.33.4.12) обеспечивает 12 серверов, размещённых в разных странах. Все эти серверы c 18 по 22 мая не отражали изменения в корневой зоне, отдавали устаревшие данные и не синхронизировались с остальной корневой инфраструктурой DNS.

В указанный период в корневую зону не вносились изменения, но была запланирована работа по обновлению цифровой подписи DNSEC для домена первого уровня «.gov», проводимая в рамках перехода на криптографические ключи на базе алгоритма ECDSA. Для заверения зоны «.gov» в DNSSEC с недавних пор используются алгоритмы 8 (RSA/SHA-256) и 13 (ECDSA P-256/SHA-256), но активным остаётся алгоритм 8. В выходные планировалось добавить в корневую зону DS-запись для алгоритма 13, после чего начать процесс удаления DS-записи для алгоритма 8. Аналогичную замену планировалось провести и для домена «.int«. В итоге, связанные с поддержкой алгоритма 13 DS-записи для корневых серверов были переданы в IANA, но так и не были опубликованы, так как после выявления проблем процесс замены ключей был приостановлен до прояснения ситуации с корневым сервером «С».

Работу корневого DNS-сервера «С» на основании соглашений с корпорацией ICANN обеспечивает магистральный провайдер первого уровня (Tier 1) Cogent Communications, представленный в 53 странах. За несколько дней до инцидента отмечалось появление проблем с доступом из сети Cogent Communications к 1575 автономным системам из-за прекращения пиринга с индийским провайдером первого уровня Tata Communications.

В качестве причины прекращения получения обновлений для корневой DNS-зоны называется сбой в системе мониторинга, отвечавшей за отслеживание изменений. Сбой произошёл после изменения маршрутизации, не связанного с работой DNS-серверов (детальная информация о причинах пока не приводится). Кроме рассинхронизации, нарушений в обработке запросов к корневому DNS-серверу «C» не зафиксировано. Синхронизация полностью была восстановлена 22 мая в 19 часов (MSK). Из возможных проблем, которые могли возникнуть в процессе длительной рассинхронизации, отмечается возможность выдачи потерявших актуальность данных о ключах, используемых в DNSSEC, и адресах DNS-серверов, обслуживающих домены первого уровня.

Источник: http://www.opennet.ru/opennews/art.shtml?num=61249