Как сказал представитель Microsoft, в сбое виноваты DNS-серверы корпорации, но что именно произошло, выяснить так и не удалось.

По мнению независимых специалистов, проблема усугубилась тем, что все DNS-серверы Microsoft находятся в одной сети.

DNS-серверы транслируют доменные имена (типа Microsoft.com и др.) в IP-адреса, которые, в свою очередь, используются для обнаружения серверов в сети. При отключении DNS-системы сайты становятся для пользователей недоступными.

После отключения DNS-серверов принадлежащие корпорации сайты Microsoft.com, MSN.com, Expedia.com, CarPoint.com и Encarta.com были недоступными или эпизодически доступными в течение почти суток.

Microsoft не исключает возможности атаки типа «отказ в обслуживании», но вполне вероятно, что по крайней мере частично проблема была связана с особенностями используемой в корпорации сетевой архитектуры, а именно с тем, что все четыре DNS-сервера Microsoft находятся в одной сети.

«Если это правда, то это чудовищная глупость, — сказал пожелавший остаться неизвестным сетевой администратор (в его ведении тоже находятся DNS-серверы). — Дополнительные DNS-серверы нужны для того, чтобы вступить в работу, когда отключатся основные. Резервные серверы, безусловно, необходимо размещать в разных сетях на случай, если какая-то из них выйдет из строя».

По словам представителя Microsoft Адама Зона, DNS-система корпорации действительно функционирует в единой сети, но она является «отказоустойчивой, имеет избыточные маршрутизаторы и резерв пропускной способности».

«Наши техники говорят, что такая архитектура применяется специально, и что разделение сети в данном случае не помогло бы, — добавил Зон. — Возможно, окончательный анализ и покажет, что архитектуру следует изменить, но пока все усилия брошены на то, чтобы обнаружить причину сбоя».

Простой запуск Unix-команды Dig показывает, что DNS-серверы Microsoft размещены в одной сети. Все IP-адреса корпорации начинаются с 207.46.138. При этом известно, что Microsoft принадлежат все адреса блока 207.46, а это значит, что произошедшее касается именно ее сети.

Разместив все DNS-серверы в одной сети, Microsoft игнорирует настоятельную рекомендацию IETF, а именно: «Серверы зоны не следует располагать в одном и том же сегменте локальной сети, и даже в одном и том же здании. В противном случае польза от применения нескольких серверов практически сводится на нет».

Как показало несложное исследование, проведенное с применением Dig, многие компании списка Fortune 500 разместили свои DNS-серверы в разных сетях. IBM, к примеру, содержит один из DNS-серверов в Цюрихе (Швейцария). Но у некоторых, в частности у Dell Computer, все DNS-серверы находятся в одной сети, как у Microsoft.

Утилита Ping (она позволяет выяснить существование и работоспособность заданного адреса Internet) показывает, что DNS-серверы Microsoft в течение всего дня на короткие периоды времени «оживали».

Это говорит о том, что сайты Microsoft отключались не из-за обрыва кабеля (последствия подобной аварии были бы куда более масштабными), а из-за проблем с маршрутизаторами или DNS-серверами.

«Если дело в маршрутизаторе, то Microsoft помогло бы разнесение DNS-серверов по разным сетям», — заметил упомянутый выше сетевой администратор.

Быть может, инцидент каким-то образом связан с обновлениями таблиц доменных имен. Как показало зондирование DNS-серверов Microsoft, проведенное с помощью утилиты Ping, в день отказа сайтов таблицы были обновлены шесть раз.

Зон оставил все наши предположения без комментариев, а проинтервьюированный нами сетевой администратор сказал, что ему представляется немыслимым, чтобы «в компании, подобной Microsoft, не позаботились о подстраховке, прежде чем что-то делать с DNS-серверами».

Поделитесь материалом с коллегами и друзьями