Waarom Internet stuk kan gaan op vijf mei

Aanstaande woensdag gaat de laatste van de 13 rootservers van ICANN over op DNSSEC. Daardoor worden alle antwoorden die de servers terugsturen op verzoeken voorzien van een digitale handtekening, zodat men er zeker van kan zijn dat het antwoord ook echt van die server komt en niet van een man-in-the-middle. Dan Kaminsky heeft enkele jaren terug op Black Hat aangetoond hoe makkelijk zo'n man-in-the-middle-aanval uit te voeren is.

DNSSEC wordt dus verwelkomd, maar het heeft ook een neveneffect. Door de handtekening worden de pakketten die de servers terugsturen groter. Het is niet zo dat daardoor het dataverkeer dramatisch toeneemt, maar wat oudere netwerkapparatuur kan er toch moeite mee hebben, hierop wijst Bruce Tonkin van ICANN Australië nog eens tegenover ITNews.

Een antwoord van een DNS-server is over het algemeen een UDP pakket van minder dan 512 bytes, maar met DNSSEC wordt het groter. Oudere apparatuur kan zo zijn ingesteld dat het grotere pakketjes ziet als abnormaal, waardoor ze worden geblokkeerd.

Op dit moment zijn al 12 servers over op DNSSEC, maar dat heeft geen gevolgen doordat die laatste server het antwoord altijd nog kan geven. Maar vanaf woensdag 7 uur zullen de pakketten tot vier keer zo groot worden, tot zelfs 2 KB. Tonkin denkt dat de grotere ISP's dit probleem hebben afgedekt, maar hij is er niet zeker van of iedereen er op is voorbereid. Zeker in organisaties die zelf hun DNS-server draaien kunnen er problemen ontstaan. Eerst zijn de pakketjes overigens nog dummies, maar vanaf 1 juli zullen ze de handtekeningen bevatten

Tonkin verwacht geen grote problemen, maar hij denkt zeker dat er hier en daar problemen zullen ontstaan, en dat men dan geen idee heeft wat er aan de hand is. Ben je er niet zeker van of je infrastructuur klaar is voor DNSSEC, draai dan een paar simpele tests.

Bron: Techworld