No és que ho fos, és clar . Tanmateix, fins ara, s'han parlat principalment de les conseqüències, mentre que, al nostre parer, les causes d'arrel són molt més interessants.
Per tant, està previst per a l'1 de febrer . Els efectes d'aquest esdeveniment es produiran de manera gradual, però encara més ràpid del que algunes empreses podran adaptar-s'hi.
Què és això? En termes senzills, això és principals desenvolupadors mundials de servidors DNS: empreses CZ.NIC, ISC, NLnet Labs i PowerDNS.
Els fabricants de programari DNS s'han enfrontat durant molt de temps a un problema: desenvolupar el sistema de noms de domini, afegir-hi noves funcions que els clients requereixen, resoldre problemes de seguretat; tots aquests processos s'alenteixen radicalment a causa de l'estructura cooperativa del sistema DNS i la necessitat. mantenir servidors arcaics que implementen versions obsoletes de protocols (i fins i tot això sovint es fa amb errors).
Situació excepcional
Segons , l'especificació actual conté, a 21 de gener de 2018, 3248 pàgines. Inclouen tots els RFC rellevants als estats "estàndard d'Internet", "estàndard proposat" (que avui és essencialment el mateix), "millors pràctiques actuals" и "informatiu". En comparació, el protocol HTTP, que ofereix contingut a tots els llocs web d'Internet, cobreix un total de 672 pàgines.
Com diuen, si els termes de referència del vostre projecte no semblen així, ni tan sols intenteu convidar-me.
La necessitat d'implementar el processament de totes les funcions i situacions d'excepció descrites a les 3 pàgines és un treball dur en si mateix i, a més, diversos servidors DNS implementen aquesta o aquella funcionalitat de manera incorrecta, la qual cosa comporta la necessitat de gestionar addicionalment no comportament estàndard. En alguns dels RFC esmentats, la desesperació de les persones que treballen amb el protocol s'agreuja .
Segons els principals desenvolupadors de DNS, la situació amb la complexitat del codi del programa ja és prou greu com per prendre mesures radicals. L'1 de febrer, com a part d'una acció coordinada, es publicaran versions actualitzades de tots els principals servidors DNS, en què el suport per a determinats comportaments incorrectes s'aturarà ara i per sempre.
Què passa amb més detalls?
Per aclarir què exactament ja no es donarà suport, faré una analogia. Imagineu-vos que fins a l'any 1999 no es permetia la gent en avions amb equipatge, però l'any 1999, per decisió oficial de l'autoritat reguladora, els passatgers podien portar bosses (d'un pes i dimensions determinats) a bord. Molt convenient, oi? Podeu transportar moltes coses útils.
Imagina't ara que el 2019 encara hi ha avions en els quals no es permeten les bosses, i fins a l'embarcament no tens manera de saber si pots portar l'equipatge amb tu.
Això és aproximadament com estan les coses , la manca de suport per la qual a partir de l'1 de febrer comportarà la inaccessibilitat d'una sèrie de webs. A grans trets, els avions que no poden portar l'equipatge a bord (almenys mínim) al febrer en relació al seu vintè aniversari Ja no se'ls permetrà entrar a diversos aeroports.
L'anunci al respecte es va publicar força aviat: entre març i maig de 2018, els principals organitzadors del DNS Flag Day van informar al públic sobre . A més, el llançament de versions actualitzades dels servidors DNS per si sol no comportarà problemes immediatament, ja que els operadors encara han de canviar a aquestes versions, i això requereix temps. Però, el que és més significatiu, diversos proveïdors de serveis de DNS al núvol també es van unir al Dia de la bandera del DNS. Aquests inclouen gegants com Google (i el seu famós servidor DNS amb adreça IP 8.8.8.8), Cloudflare, Facebook i Cisco.
Com a resultat, els llocs que utilitzen servidors DNS sense suport EDNS (és a dir, "avions" que no poden "emportar l'equipatge a bord") deixaran de funcionar a partir de l'1 de febrer per a tots els que utilitzen servidors DNS oberts 8.8.8.8, 9.9.9.9, 1.1.1.1 i una sèrie d'altres. A mesura que els proveïdors de comunicacions actualitzen els seus servidors DNS, la llista augmentarà.
La particularitat del funcionament d'un servidor DNS en una infraestructura corporativa és que normalment no ho demana, funciona i funciona, per la qual cosa sovint ningú l'actualitza mai. Els administradors del sistema de la vella escola fins i tot temps de funcionament a llarg termini d'aquestes màquines. El problema és que quan sorgeix la necessitat d'actualitzar, resulta que això requereix, per exemple, passar també de FreeBSD 5 a FreeBSD 10 (un cas real), que, entre altres problemes, requerirà un reinici, i des del reinici. l'antic servidor ja està. Pot ser que simplement no surti.
El més desagradable és que la solució al problema en el cas general no es redueix simplement a actualitzar els servidors DNS. Algunes organitzacions utilitzen tallafocs (tant programari com maquinari) que obliguen a eliminar tots els paquets DNS amb funcionalitat EDNS. Entre altres coses, ho van fer els antics models Juniper SRX, però la qüestió no es limita a ells. En principi, si parlem de tallafocs i solucions DPI en general, fa temps que es coneix el nivell de qualitat més aviat baix en el desenvolupament d'algunes d'aquestes solucions. Durant tots aquests anys, els desenvolupadors del protocol DNS han patit els problemes que provocaven objectivament, i ara han decidit contraatacar.
Però l'actualització d'aquestes solucions pot trigar un temps important i, en alguns casos, probablement serà necessari llençar a les escombraries equips que abans era car i comprar-ne de nous, cosa que provocarà moltes dificultats, per exemple, en el marc del cicle pressupostari rus. (especialment si l'equip rebutjat es va produir durant l'estranger, però no hi ha més oportunitat de comprar productes estrangers a una organització per una raó o una altra: financera, política, ideològica).
Per tant, per a aquells que tenen aquest problema, és hora de començar a resoldre'l. Tingueu en compte que només aquells problemes que requereixen solucions immediates es mostra amb senyals vermells "STOP" o "SLOW". El signe d'exclamació del triangle groc només és un avís per ara i no causarà problemes l'1 de febrer (tot i que aquest problema s'haurà de solucionar a llarg termini).
I llavors què?
En primer lloc, el Dia de la bandera de DNS no hauria de provocar cap desastre important.
Podeu escoltar crítiques en diferents debats Alexey Lukatsky a Habré: diuen que l'autor va prendre un to massa alarmista. Tanmateix, és impossible no notar que Alexey és la persona que sap molt bé com s'estructura de vegades la infraestructura de xarxa de les grans organitzacions i agències governamentals russes i quins equips hi estan connectats. Segons un estudi els resultats del qual semblen Centre de coordinació per als dominis .RU i .РФ, un problema que es va registrar en una sèrie de llocs coneguts abans de la publicació de Lukatsky, avui ja es manifesta en quantitats rastres, és a dir, una entrada al bloc de Cisco (i notes posteriors, dir, al blog ) va tenir l'efecte desitjat.
Tanmateix, l'èxit del DNS Flag Day, òbviament, comportarà conseqüències, la principal de les quals és que aquests esdeveniments es continuaran celebrant en el futur. En el sistema DNS encara hi ha , que els desenvolupadors voldrien ampliar el més ràpidament possible; A més, el DNS no és l'únic protocol en què hi ha alguna cosa per desmuntar. L'exemple amb l'atribut BGP 0xFF, que parlarem en el següent article, mostra clarament que de vegades Internet es pot beneficiar de la vacunació.
El que, avui, deixa als administradors del sistema amb un dilema força clar:
- O bé l'administrador del servidor DNS ha de supervisar la vida de la comunitat d'Internet, en particular, les notícies de la comunitat professional de desenvolupadors de DNS i, en particular, prestar atenció i temps a les actualitzacions del servidor;
- O la gestió de la vostra zona de domini s'hauria de transferir a un proveïdor extern especialitzat en aquest tipus de treballs (dels quals, en principi, n'hi ha molts al món).
Tanmateix, probablement tornarem a aquest tema més endavant.
Font: www.habr.com
