Një nga 13 serverët rrënjë DNS (c.root-servers.net), i cili siguron funksionimin e zonës rrënjësore DNS (lidhja fillestare në zinxhirin e zgjidhjes së emrave të domenit, duke ofruar informacion rreth serverëve DNS që shërbejnë domenet e nivelit të parë dhe çelësat për to verifikimi duke përdorur DNSSEC ) ishte në një gjendje jashtë sinkronizimit me pjesën tjetër të serverëve DNS rrënjë për katër ditë. Funksionimi i serverit root DNS "C" (192.33.4.12) sigurohet nga 12 serverë të vendosur në vende të ndryshme. Të gjithë këta serverë nga 18 maji deri më 22 maj nuk pasqyruan ndryshime në zonën rrënjësore, shërbyen të dhëna të vjetruara dhe nuk u sinkronizuan me pjesën tjetër të infrastrukturës root DNS.
Gjatë periudhës së specifikuar, nuk u bënë ndryshime në zonën rrënjë, por ishte planifikuar puna për të përditësuar nënshkrimin dixhital DNSEC për domenin e nivelit të lartë ".gov", i kryer si pjesë e kalimit në çelësat kriptografikë bazuar në algoritmin ECDSA. Algoritmet 8 (RSA/SHA-256) dhe 13 (ECDSA P-256/SHA-256) janë përdorur së fundmi për të certifikuar zonën ".gov" në DNSSEC, por algoritmi 8 mbetet aktiv. Gjatë fundjavës, ishte planifikuar të shtohej një regjistrim DS për algoritmin 13 në zonën rrënjë, pas së cilës do të fillonte procesi i heqjes së regjistrimit DS për algoritmin 8. Një zëvendësim i ngjashëm ishte planifikuar për domenin ".int". Si rezultat, regjistrimet DS për zonat rrënjë të lidhura me mbështetjen për algoritmin 13 serverat u dorëzuan te IANA, por nuk u publikuan kurrë sepse, pasi u zbuluan problemet, procesi i zëvendësimit të çelësit u pezullua derisa të sqarohej situata me serverin rrënjë S.
Funksionimi i serverit root DNS "C" në bazë të marrëveshjeve me korporatën ICANN ofrohet nga ofruesi kryesor i nivelit të parë (Tier 1) Cogent Communications, i përfaqësuar në 53 vende. Disa ditë para incidentit, u vunë re probleme me aksesin nga rrjeti Cogent Communications në 1575 sisteme autonome për shkak të ndërprerjes së kolegëve me ofruesin indian të nivelit XNUMX Tata Communications.
Një defekt në sistemin e monitorimit përgjegjës për gjurmimin e ndryshimeve përmendet si arsyeja për ndërprerjen e përditësimeve për zonën rrënjë DNS. Defekti ndodhi pas një ndryshimi të rrugëzimit që nuk lidhet me funksionimin e serverëve DNS (informacion i detajuar rreth shkakut nuk është dhënë ende). Përveç desinkronizimit, nuk u regjistruan ndërprerje në përpunimin e kërkesave drejt serverit rrënjë DNS "C". Sinkronizimi u rivendos plotësisht më 22 maj në orën 19:00 (ora e Moskës). Ndër problemet e mundshme që mund të kenë lindur gjatë desinkronizimit të zgjatur, vihet re se është e mundur që të lëshohen të dhëna të vjetruara rreth çelësave të përdorur në DNSSEC dhe adresave të serverëve DNS që i shërbejnë atyre. domenet niveli i parë.
Burimi: opennet.ru
