Событие
Хочу прокомментировать свеженашумевший сбой DNSSEC, приведший к массовому падежу скота сайтов в доменной зоне .ru. Как обычно, знакомые мне "эксперты" заявляют, что мол это следствие случайного стечения обстоятельств, а случай-де уникальный и единичный, такого больше не будет, и вообще быть не может. Отвечу, что такой ответ есть типичное следствие невежества - принципа "этого не может быть, потому что я про это не знаю". На самом деле - очень даже может, и менее чем год назад аналогично попала под раздачу доменная зона .nz. Ещё товарищи подсказывают, что подобное происходило в Австралии и Фиджи. Так что очень даже бывает, и надеяться, что такого не случится более никогда при использовании тех же подходов - смесь оптимизма и слабоумия. Практика наглядно показала, что DNSSEC хрупок и неверные действия админов приводят к эффекту домино, выводящего из строя доменные зоны уровня страны, как то .ru, .nz, .au, .fj.
Причина
На самом деле, все эти регулярно происходящие "случайные сбои" являются следствием централизованной архитектуры DNS/DNSSEC, где решение сводится к единой точке управления зоной, которая неизбежно может становиться единой точкой отказа SPOF (Single Point Of Failure), и нарушение функционирование этой точки и приводит к лавинообразному отказу массы сайтов, которым "не повезло" быть зависимым от соответствующего доменного контроллера. И это ещё не было злого умысла при соответствующих действиях! А представьте что будет, если в соответствующих элементах сети произойдёт спланированная диверсия?
Решение
Радикально повысить надёжность системы DNS можно путём перехода на децентрализованную систему, исключающую SPOF. И нами такая технология была предложена 7 лет назад. Называется emerDNS. К сожалению, к настоящему времени она приобрела популярность только для тех, кому действительно требуюся неубиваемые сети, которые невозможно вывести из строй щелчком клавиши. Это в первую очередь - онлайн-библиотеки и торрент-трекеры, испытывающие прессинг со стороны Роскомназдора. Подробнее о состоянии дел в emerDNS можно посмотреть статью. Там же написано, как начать пользоваться.
Заключение
Говорят, что дураки учатся на чужих ошибках, а умные - на ошибках тех дураков. Опыт показал, что на чужих ошибках учатся только участники сети, которые имеют разногласия с законом - торренты и тп. Те быстро вникли и применили. Остальным же сайтоводам оно всё теория. Как говорил Жванецкий: Красный, жёлтый зелёный - это всё теория. Пока меня машина не переедет, пока грузовик на себе не почувствую - ни за что не поверю! Вот, дождались. Грузовик переехал. Сайтоводы же не показали себя умными, способными учиться на чужих ошибках (см выше про .au .fj .nz). Буду с интересом наблюдать - дойдёт ли теперь? Или уровень умственного развития дурака, обучающегося на своих ошибках - слишком высокая планка для них?
Вдогонку
Мне читатели сообщают, что стиль высказываний слишком эмоционален и не способствует распросторанению систем, ибо причастные могут обидеться и сказать "фи". Отвечу, что обращения к разуму были в 2015..2022. Кому надо - те услышали. Теперь приходится срывать покровы и взывать к эмоциям. Ибо сейчас уже нет времени жевать сопли. Сейчас вопрос стоит жёстко: адаптируйся или умри!
И ещё раз вдогонку
Не прошло и месяца с публикации оригинальной статьи, как в DNSSEC обнаружили очередную уязвимость CVE-2023-50387:
Кратко: Стандарт DNSSEC требует проверять все подписи и ключи во всех возможных комбинациях, что может привести к комбинаторному взрыву. Ещё раз: Дыра не в имлементации, а в стандарте, и просто так её не залатать.
Что по моему мнению ещё раз доказывает неуклюжесть и хрупкость DNSSEC, и неприменимость его для высоконадёжных сетевых сервисов.
И третий раз для тех, кто всё ещё в танке
Прошло полгода и вот, очередное практическое доказательство несоответствия классической доменной системы вызовам современности. Атака Sitting Ducks против классической DNS-инфраструктуры, при некоторых условиях позволяет захватить чужой домен, не имея доступа к учетной записи его владельца у DNS-провайдера или регистратора. В emerDNS такое принципиально невозможно, так как тут нет доменных регистраторов как класса. Вернее, тут каждый сам себе регистратор. Но emerDNS всё равно остаётся не нужен. Люди предпочитают регулярно огребать, а не решать проблему. Прямо по анекдоту.
Tags: #сети, #децентрализация, #DNS