近日由ICANN、美國政府和Verisign領導的全球13臺根域名服務器將會迎來DNSSEC(Domain Name System Security Extensions，域名系統安全擴展)升級，DNSSEC升級將會在反饋給互聯網用戶的DNS請求響應中插入數字簽名，確保返回的域名地址是未經篡改的。

　　DNSSEC是為阻止中間人攻擊而設計的，利用中間人攻擊，黑客可以劫持DNS請求，并返回一個假地址給請求方，這種攻擊手段類似于正常的DNS重定向，人們在不知不覺中被轉到另一個URL。(51CTO.com注：實際上域名劫持技術和DNS緩存投毒攻擊相當廣泛，這也是互聯網最大的漏洞——DNS緩存漏洞造成的，DNSSEC可以解決這類問題，今年年初，百度事件就是因為DNS服務器被攻擊造成的。)

　　據Melbourne IT首席戰略官，ICANN董事Bruce Tonkin說，本次升級將會給那些毫無準備的網絡管理員一個措手不及，響應標準DNS請求往往只有一個單一的數據包(UDP協議)，大小一般不會超過521字節，在某些較舊的網絡設備中，比這個大的請求將會被出廠默認配置阻止掉，它會認為超過這個大小的數據包是異常的。

　　截至UTC 5月5日17:00點，所有發送給用戶DNS解析器的DNSSEC簽名的消息將會變大到2KB，是原來的4倍，但這么大的數據包可能會被許多網絡設備拒絕接收，因此這個響應消息很可能會通過TCP分成多個數據包進行發送。

　　Tonkin有點擔心，雖然DNSSEC已經提上日程有一段時間了，但許多IT和網絡管理員還沒有測試他們的舊路由器和防火墻，如果不能處理更大的DNS響應數據包就麻煩了。

　　他說：“企業網絡中的設備可能會阻止比以往更大的DNS請求響應數據包”。

　　DNSSEC其實早在2009年11月就在全球13臺根服務器上準備好了，到目前為止，它只會導致許多舊網絡設備載入網頁略有延遲。

　　不是所有DNS根服務器都會響應每一個請求，用戶機器上的DNS解析器會逐個請求這13臺根服務器，直到返回一個滿意的答復。當13臺具有DNSSEC簽名功能的根服務器全部上線后，所有的響應不會抵達舊設備的企業網絡，Tonkin希望大型ISP能解決這個問題，讓家庭用戶不受影響。

　　他說：“我不能保證所有ISP都準備好了，ISP會為你翻譯DNS，但企業網絡可能影響比較大，因為企業可能運行了自己的DNS服務器”。

　　從這個意義上來說，5月5日可與千年蟲危機匹敵。Tonkin預計會有大量的組織遇到互聯網接入問題，大量的網絡管理員將會抓破頭皮尋找問題的根源。

　　這個問題可能需要數天時間才能完全消除，晚上未關機的用戶可能會訪問到一些緩存頁面內容，Tonkin建議網絡管理員盡快運行一系列簡單的測試，確保他們的網絡可以處理更大的DNS響應包。