Bu gün bir sıra iri DNS xidmətləri və DNS server istehsalçıları birgə tədbir keçirəcək diqqət yetirmək üçün nəzərdə tutulmuşdur böyük DNS mesajlarını emal edərkən IP parçalanması ilə. Bu, ikinci belə hadisədir, keçən il “DNS bayraq günü” EDNS sorğularının düzgün işlənməsi haqqında.
DNS bayraq günü 2020 təşəbbüsünün iştirakçıları EDNS üçün tövsiyə olunan bufer ölçülərinin 1232 bayta (başlıqlar üçün MTU ölçüsü 1280 mənfi 48 bayt) sabitlənməsini tələb edirlər. TCP vasitəsilə sorğuların işlənməsi serverlərdə mütləq olmalıdır. IN Yalnız UDP vasitəsilə sorğuların işlənməsi üçün dəstək məcburi olaraq qeyd olunur və TCP arzuolunan kimi qeyd olunur, lakin əməliyyat üçün tələb olunmur. Yeni и TCP-ni DNS-in düzgün işləməsi üçün tələb olunan qabiliyyət kimi açıq şəkildə təsnif edin. Təşəbbüs müəyyən edilmiş EDNS bufer ölçüsünün qeyri-kafi olduğu hallarda UDP üzərindən sorğu göndərməkdən TCP-dən istifadəyə keçidi məcbur etməyi təklif edir.
Təklif olunan dəyişikliklər EDNS bufer ölçüsünü seçməkdə çaşqınlığı aradan qaldıracaq və işlənməsi çox vaxt paket itkisinə və müştəri tərəfində fasilələrə səbəb olan böyük UDP mesajlarının parçalanması problemini həll edəcək. Müştəri tərəfində EDNS bufer ölçüsü sabit olacaq və böyük cavablar dərhal TCP üzərindən müştəriyə göndəriləcək. UDP üzərindən böyük mesajların göndərilməsinin qarşısını almaq, bəzi firewalllara böyük paketlərin atılması ilə bağlı problemləri də həll edəcək və bloklamağa imkan verəcək. parçalanmış UDP paketlərinin manipulyasiyasına əsaslanan DNS keşinin zəhərlənməsi üzrə (fraqmentlərə bölündükdə ikinci fraqment identifikatoru olan başlığı ehtiva etmir, ona görə də saxtalaşdırıla bilər, bunun üçün yoxlama məbləğinə uyğun gəlmək kifayətdir).
Bu gündən etibarən CloudFlare, Quad 9, Cisco (OpenDNS) və Google daxil olmaqla, iştirak edən DNS provayderləri, DNS serverlərində EDNS bufer ölçüsü 4096-dan 1232 bayta qədərdir (EDNS dəyişikliyi 4-6 həftə ərzində yayılacaq və zamanla artan sayda sorğuları əhatə edəcək). Yeni limitə uyğun gəlməyən UDP sorğularına cavablar TCP vasitəsilə göndəriləcək. BIND, Unbound, Knot, NSD və PowerDNS daxil olmaqla DNS server təchizatçıları defolt EDNS bufer ölçüsünü 4096 baytdan 1232 bayta dəyişdirmək üçün yeniləmələr buraxacaq.
Nəhayət, bu dəyişikliklər UDP DNS cavabları 1232 baytdan çox olan və TCP cavabı göndərə bilməyən DNS serverlərinə daxil olarkən həll problemlərinə səbəb ola bilər. Google-da aparılan təcrübə göstərdi ki, EDNS bufer ölçüsünün dəyişdirilməsi uğursuzluq dərəcəsinə faktiki olaraq heç bir təsir göstərmir - 4096 bayt buferlə kəsilmiş UDP sorğularının sayı 0.345%, TCP üzərindən əlçatmaz təkrar cəhdlərin sayı isə 0.115% təşkil edir. 1232 bayt buferlə bu rəqəmlər 0.367% və 0.116% təşkil edir. TCP dəstəyini tələb olunan DNS funksiyasına çevirmək DNS serverlərinin təxminən 0.1%-də problemlər yaradacaq. Qeyd olunur ki, müasir şəraitdə TCP olmadan bu serverlərin işi artıq qeyri-sabitdir.
Nüfuzlu DNS serverlərinin administratorları onların serverinin 53 saylı şəbəkə portunda TCP vasitəsilə cavab verməsini və bu TCP portunun firewall tərəfindən bloklanmamasını təmin etməlidir. Nüfuzlu DNS serveri də ondan böyük olan UDP cavablarını göndərməməlidir
tələb olunan EDNS bufer ölçüsü. Serverin özündə EDNS bufer ölçüsü 1232 bayta təyin edilməlidir. Həlledicilərin təxminən eyni tələbləri var - TCP vasitəsilə cavab vermək üçün məcburi qabiliyyət, kəsilmiş UDP cavabı alarkən TCP vasitəsilə təkrar sorğuların göndərilməsi üçün məcburi dəstək və EDNS buferini 1232 bayta təyin etmək.
Aşağıdakı parametrlər müxtəlif DNS serverlərində EDNS bufer ölçüsünü təyin etmək üçün cavabdehdir:
seçimlər {
edns-udp ölçüsü 1232;
maksimum udp ölçüsü 1232;
};
maksimum udp yükü: 1232
net.bufsize(1232)
udp-kırılma həddi=1232
edns-outgoing-bufsize=1232
udp-kırılma həddi=1232
edns-bufer ölçüsü: 1232
ipv4-edns ölçüsü: 1232
ipv6-edns ölçüsü: 1232
Mənbə: opennet.ru