ProHoster > Blog > podávání > Co se stane 1. února 2020?

Co se stane 1. února 2020?

TL;DR: Od února 2020 mohou přestat fungovat servery DNS, které nepodporují zpracování dotazů DNS přes UDP i TCP.

Toto je pokračování příspěvku "Co-co se stane 1. února?" ze dne 24. ledna 2019 Čtenáři se doporučuje, aby si první část příběhu přelouskal, aby pochopil souvislosti.

Co se stane 1. února 2020?Bangkok je obecně místem pro každého. Samozřejmě je tam teplo, levně a kuchyně je zajímavá a chodí tam víza pro polovinu světové populace není třeba si to shánět předem, nicméně na pachy je potřeba si ještě zvyknout a městské ulice nutí vzpomenout si v lepším případě na klasiku kyberpunku.

Zejména krajina vlevo se nachází v blízkosti centra hlavního města Thajska, jednu ulici od hotelu Shangri-La, kde se koná 12. zasedání DNS-OARC, neziskové organizace věnované bezpečnosti, stabilitě a vývoj systému doménových jmen DNS, se konal ve dnech 13. – 30. května.

Snímky z programu DNS-OARC 30 v zásadě je obecně doporučují ke studiu všichni, kdo se o práci DNS zajímají, ale asi nejzajímavější je to, co ve slidech nebylo. Konkrétně jde o 45minutový kulatý stůl o výsledcích DNS Flag Day, co se stalo 1 únor 2019 rok.

A nejzajímavější na kulatém stole bylo rozhodnutí, že praxe Den příznaků DNS bude pokračovat.

Problémový důstojník?

Co se stane 1. února 2020?Jak ukazují různé výzkum, byl efekt prvního dne příznaků DNS minimalizován. Ano, pro některé je to adaptační proces mohla být bolestivá, ale nakonec byly aktualizovány téměř všechny starší servery DNS a nesprávně nakonfigurované brány firewall byly správně nakonfigurovány.

Organizátoři Dne vlajky proto vnímají to, co se stalo, jako velké vítězství a inspirováni úspěchem se tím nezastaví.

Během kulatého stolu se diskutovalo o následujícím úkoly, které nadcházející „dny vlajky“ mohou pomoci splnit:

  • Podpora Vyjednávání verze EDNS na veřejných serverech DNS;
  • Podpora randomizace velkých a malých písmen v DNS dotazech za účelem zvýšení entropieobsažené v žádostech a odpovědích;
  • Podpora DNS přes TCP na DNS serverech (jak autoritativních, tak rekurzivních);
  • uskutečnění RFC 8020, instruující rekurzivní resolvery, aby zastavily přístup k doméně a všem jejím subdoménám, pokud obdrží odpověď typu NXDOMAIN;
  • Nedostatek podpory IPv6 atd.

Nakonec padlo rozhodnutí, které bylo oznámeno na plenárním zasedání RIPE 78 současně s uveřejněním tohoto příspěvku.

Opakujeme: od února 2020 mohou přestat fungovat servery DNS, které nepodporují zpracování dotazů DNS přes UDP i TCP.

Co se stane 1. února 2020?Konkrétní datum ale zatím nebylo stanoveno. S největší pravděpodobností to bude 1. února, ale datum se může změnit. Podle organizátorů DNS Flag Day 2020 (a jedná se o stejné osoby a společnosti jako letos) je však devět měsíců na implementaci podpory TCP do stávajících instalací DNS docela dost, takže odkládání akce sotva dává smysl.

Přes TCP

Dnes je TCP v DNS obecně podporován.

Provoz systému doménových jmen pomocí TCP je nezbytný z několika důvodů:

  1. Doručení odpovědí větších než cesta MTUbez použití nespolehlivé fragmentace IP;
  2. podpora DNSSEC;
  3. Boj proti DDoS útokům atd.

Co se stane 1. února 2020?Na straně klienta je DNS přes TCP podporováno již dlouhou dobu téměř všude, včetně Windows.

Ve skutečnosti DNS přes TCP nebylo možné po velmi dlouhou dobu. Jak oznámení Mark Andrews, vývojář serveru Bind DNS, RFC umožňuje vynechat zpracování dotazů a odpovědí DNS přes TCP pouze v případě, že provozovatel serveru jasně rozumí důsledkům a je schopen podporovat plnou funkčnost protokolu DNS bez protokolu TCP. Dnes je to druhé prostě nemožné.

Analýza 34 milionů domén z 59 TLD ukazuje, že požadavek na použití TCP způsobuje problémy asi 7 % domén. Pro srovnání, v listopadu 2018 – 3 měsíce před prvním dnem příznaků DNS – mělo problémy s EDNS 5,68 % testovaných webů.

Z těchto 7 %:

  • 90 % problémů souvisí s provozem autoritativních serverů 10 společností;
  • 68 % problémů je omezeno na servery jedna jediná společnost — čínský operátor Hichina;
  • Spolu s dalšími problematickými čínskými poskytovateli – AliDNS a Xinnet – je tento podíl již 72 %;
  • Polovina seznamu měla také problémy s EDNS v listopadu 2018, ale úspěšně je vyřešila.

Organizátoři Flag Day dosáhli konsensu, že tisíce operátorů, kteří tvoří komunitu DNS, by již neměly platit za podporu berliček kvůli několika desítkám společností, které neaktualizují své servery.

Důležitým bodem, stejně jako minule, mohou být důsledky nejen pro vlastníky DNS serverů, ale také pro správce sítě, kteří blokují přístup k portu 53/TCP na firewallu.
Do února 2020 by měl fungovat port 53/TCP přístup k serverům DNS.

A co potom?

Organizátoři Dne vlajky budou samozřejmě aktualizovat vaše stránky a přidá informace o DNS Flag Day 2020 a nástrojích pro kontrolu kompatibility domén s požadavky pro rok 2020.

Nezapomeňte na tuto kontrolu do konce roku, abyste se ujistili, že nemáte nějaké problémy.

Libor Peltán z CZ.NIC upřesní plány na nadcházející DNS Flag Day 2020 setkání euroasijské skupiny síťových operátorů ENOG v Tbilisi 3.–4. června. Vysílání s překladem do ruštiny bude dostupné v reálném čase na webu, tam (a v chatu Telegram ENOG Talk) můžete klást otázky.

Můžete také sledovat, co se děje na Twitteru.

DNS Flag Day 2021 bude s největší pravděpodobností následovat podobný plán, počínaje DNS-OARC 32 na jaře 2020. Přijímají se a shromažďují žádosti o berle, které měly být již dávno pohřbeny na Github.

Zdroj: www.habr.com

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster