Actions

Journaux











Est-ce que internet va s'arrêter le 5 mai?

Écrit le 30/04/2010 @ 10:45 par blanalex

Informatique - Internet / RéseauÀ partir du 5 mai, tous les serveurs DNS primaires (dns root servers, les serveurs pour les domaines .com, .net, .ca, .fr, etc) vont signer leur paquets pour éviter des attaques de redirections. Le gros problème est que cette signature va faire passer la grosseur des paquets DNS de 512 octets à environs 4Ko. Plusieurs serveurs DNS, routeurs d'entreprise et routeur de maison ignorent tout simplement ces paquets.

Donc, si vous avez des clients et qu'ils commencent à se plaindre qu'internet ne marche plus mercredi prochain, ne cherchez pas plus loin!

Voici l'utilitaire pour tester: http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues

Article source: http://www.theregister.co.uk/2010/04/13/dnssec/

Commentaires

Commentaire par Drizzt  Score: 2
Écrit le: 30/04/2010 @ 10:58

J'ai vu l'article sur SlashDot ce matin.
Je sais que j'ai du modifier des clés de registres de nos serveurs DNS parce que notre Cisco bloquait les packets de plus de 512 bytes. Je vais donc devoir travailler du côté de notre Cisco et des DC.. fun fun fun! Woot!

Belle semaine prochaine en perspective Roll Eyes

Commentaire par Drizzt  Score: 2
Écrit le: 30/04/2010 @ 14:05

Voici un article qui explique ce qui se passe, et pourquoi ça ne devrait pas avoir d'impact.

En gros, du DNS plus gros que 512byte ne passera pas, mais DNSSEC c'est du eDNS. C'est requêtes là passent.

Vous pouvez tester avec un poste unix avec cette commande : 

dig @158.43.128.1 +short rs.dns-oarc.net txt



Il me reste à vérifier mes chers serveurs Windows 2003...

Commentaire par Drizzt  Score: 2
Écrit le: 30/04/2010 @ 14:41

Après avoir installé les Support Tools du CD de Windows 2003, faire cette commande pour activer le eDNS. 

dnscmd /config /enableednsprobes 1



Basé sur cet article du KB de Microsoft.

J'ai testé mes 4 serveurs interne, ça fonctionne numero uno!

Commentaire par blanalex  Score: 2
Écrit le: 30/04/2010 @ 14:05

Après avoir approfondi ma lecture, finalement ce n'est pas aussi grave que ce que l'article laisse présager.

DSL Reports: No DNSSEC Upgrades Won't Break The Internet Next Week

Il semblerait plutôt que les serveurs ne vont pas commencer à signer tous les paquets DNS. Ils vont pouvoir signer les paquets si le client le demande explicitement, ce qui est encore rare aujourd'hui.

Commentaire par Drizzt  Score: 2
Écrit le: 05/05/2010 @ 14:44

Ouain ben.. jusqu'à maintenant tout va bien Smart!


Tous les blogs
<< Mon script de backup de MySQL | Retour aux blogs | Pépins avec le serveur >>
Blogs de la même catégorie
<< Plus d'Apache 1.3 et 2.0 | VP8 - WebM >>