Ի՞նչ է լինելու 1 թվականի փետրվարի 2020-ին.

TL;DR: Սկսած 2020 թվականի փետրվարից, DNS սերվերները, որոնք չեն աջակցում DNS հարցումների մշակումը ինչպես UDP-ի, այնպես էլ TCP-ի միջոցով, կարող են դադարել աշխատել:

Սա գրառման շարունակությունն է «Ի՞նչ է լինելու փետրվարի 1-ին». 24 թվականի հունվարի 2019-ին թվագրված Ընթերցողին խորհուրդ է տրվում շրջանցել պատմության առաջին մասը՝ համատեքստը հասկանալու համար:

Բանգկոկը, ընդհանուր առմամբ, բոլորի համար տեղ է։ Իհարկե, դա տաք է, էժան, և խոհանոցը հետաքրքիր է, և աշխարհի բնակչության կեսի համար վիզաներ են գնում այնտեղ: կարիք չկա այն նախապես ստանալ, սակայն, դեռ պետք է ընտելանալ հոտերին, իսկ քաղաքի փողոցները ստիպում են հիշել լավագույն դեպքում կիբերփանկի դասականները։

Մասնավորապես, ձախ կողմում գտնվող լանդշաֆտը գտնվում է Թաիլանդի մայրաքաղաքի կենտրոնի մոտ, Շանգրի-Լա հյուրանոցից մեկ փողոց, որտեղ տեղի է ունեցել DNS-OARC ոչ առևտրային կազմակերպության 12-րդ հանդիպումը, որը նվիրված է անվտանգության, կայունության և անվտանգությանը: մայիսի 13-30-ը կայացել է DNS դոմենային անունների համակարգի մշակումը։

Սլայդներ DNS-OARC 30 ծրագրից սկզբունքորեն դրանք սովորաբար առաջարկվում են ուսումնասիրելու բոլոր նրանց, ովքեր հետաքրքրված են DNS-ի աշխատանքով, բայց թերևս ամենահետաքրքիրն այն է, ինչ չկար սլայդներում: Մասնավորապես, 45 րոպեանոց կլոր սեղան, որը քննարկում էր DNS Flag Day-ի արդյունքները, ինչ է պատահել 1 փետրվարի 2019 տարի:

Իսկ կլոր սեղանի հետ կապված ամենահետաքրքիրն այն որոշումն էր, որ պրակտիկա DNS դրոշի օր կշարունակվի.

Խնդիրների սպա?

Ինչպես ցույց են տալիս տարբեր հետազոտություն, առաջին DNS Flag Day-ի ազդեցությունը նվազագույնի հասցվեց: Այո, ոմանց համար դա հարմարվողական գործընթաց է կարող է ցավոտ դառնալ, բայց ի վերջո գրեթե բոլոր ժառանգական DNS սերվերները թարմացվեցին, և սխալ կազմաձևված firewalls-ը ճիշտ կազմաձևվեցին:

Ըստ այդմ՝ Դրոշի օրվա կազմակերպիչներն ընկալում են տեղի ունեցածը որպես մեծ հաղթանակ և, ոգեշնչված հաջողությունից, չեն պատրաստվում դրանով կանգ առնել։

Կլոր սեղանի ընթացքում քննարկվեցին հետևյալը առաջադրանքներ, որոնք առաջիկա «դրոշի օրերը» կարող են օգնել իրականացնել.

• Աջակցություն EDNS տարբերակի բանակցություններ հանրային DNS սերվերների վրա;
• Աջակցություն DNS հարցումներում մեծատառ և փոքրատառ նիշերի պատահականացմանը էնտրոպիան մեծացնելու նպատակովպարունակվող հարցումներում և պատասխաններում.
• DNS-ի աջակցություն TCP-ի միջոցով DNS սերվերների վրա (ինչպես հեղինակավոր, այնպես էլ ռեկուրսիվ);
• Իրականացման RFC 8020, հրահանգելով ռեկուրսիվ լուծողներին դադարեցնել մուտքը տիրույթ և նրա բոլոր ենթադոմեյնները, եթե նրանք ստանան NXDOMAIN տիպի պատասխան;
• IPv6 աջակցության բացակայություն և այլն:

Ի վերջո, որոշում կայացվեց, որը հայտարարվեց լիագումար նիստում ՀԱՍԱԾ 78 այս գրառման հրապարակման հետ միաժամանակ։

Կրկնում ենք՝ սկսած 2020 թվականի փետրվարից, DNS սերվերները, որոնք չեն աջակցում DNS հարցումների մշակումը ինչպես UDP-ի, այնպես էլ TCP-ի միջոցով, կարող են դադարել աշխատել:

Կոնկրետ ամսաթիվը, սակայն, դեռ որոշված ​​չէ։ Ամենայն հավանականությամբ դա կլինի փետրվարի 1-ը, սակայն ամսաթիվը կարող է փոխվել։ Այնուամենայնիվ, ըստ DNS Flag Day 2020-ի կազմակերպիչների (և սրանք նույն անհատներն ու ընկերություններն են, ինչ այս տարի), ինը ամիսը բավականին բավարար է գոյություն ունեցող DNS տեղադրումներում TCP աջակցությունն իրականացնելու համար, ուստի իրադարձությունը հետաձգելը դժվար թե իմաստ ունենա:

TCP-ով

Այսօր DNS-ում TCP-ն ընդհանուր առմամբ աջակցվում է:

TCP-ով դոմենային անունների համակարգի գործարկումը անհրաժեշտ է մի շարք պատճառներով.

1. Ճանապարհից ավելի մեծ պատասխանների առաքում MTU, առանց IP-ի անվստահելի մասնատման օգտագործման;
2. DNSSEC աջակցություն;
3. DDoS հարձակումների դեմ պայքար և այլն:

Հաճախորդի կողմից DNS-ը TCP-ով երկար ժամանակ աջակցվում է գրեթե ամենուր, ներառյալ Windows-ը:

Փաստորեն, DNS-ը TCP-ի միջոցով շատ երկար ժամանակ տարբերակ չէր: Ինչպես ծանուցումներ Մարկ Էնդրյուսը, Bind DNS սերվերի մշակողը, RFC-ն թույլ է տալիս բաց թողնել միայն DNS հարցումների և պատասխանների մշակումը TCP-ով, եթե սերվերի օպերատորը հստակ հասկանում է հետևանքները և ի վիճակի է աջակցել ոչ TCP DNS արձանագրության ամբողջական գործառույթին: Այսօր վերջինս ուղղակի անհնար է։

34-ից 59 միլիոն դոմենների վերլուծություն TLD ցույց է տալիս, որ TCP-ի օգտագործման պահանջը խնդիրներ է առաջացնում տիրույթների մոտ 7%-ի համար։ Համեմատության համար նշենք, որ 2018 թվականի նոյեմբերին՝ առաջին DNS դրոշի օրվանից 3 ամիս առաջ, փորձարկված կայքերի 5,68%-ը խնդիրներ է ունեցել EDNS-ի հետ:

Դրանցից 7%-ը.

• Խնդիրների 90%-ը կապված է 10 ընկերությունների հեղինակավոր սերվերների աշխատանքի հետ.
• Խնդիրների 68%-ը սահմանափակվում է սերվերներով մեկ ընկերություն - չինական օպերատոր Hichina;
• Չինական այլ խնդրահարույց պրովայդերների՝ AliDNS-ի և Xinnet-ի հետ միասին այս մասնաբաժինը կազմում է արդեն 72%;
• Ցուցակի կեսը նույնպես խնդիրներ ուներ EDNS-ի հետ 2018 թվականի նոյեմբերին, բայց հաջողությամբ լուծեց դրանք:

Դրոշի օրվա կազմակերպիչները եկել են համաձայնության, որ հազարավոր օպերատորներ, որոնք կազմում են DNS համայնքը, այլևս չպետք է վճարեն հենակներին աջակցելու համար՝ հանուն մի քանի տասնյակ ընկերությունների, որոնք չեն թարմացնում իրենց սերվերները:

Կարևոր կետ, ինչպես նախորդ անգամ, հետևանքները կարող են լինել ոչ միայն DNS սերվերների սեփականատերերի, այլ նաև ցանցային ադմինիստրատորների համար, ովքեր արգելափակում են մուտքը դեպի firewall 53/TCP նավահանգիստ:
Մինչև 2020 թվականի փետրվար պետք է գործի 53/TCP պորտի մուտքը DNS սերվերներ.

Ի՞նչ հետո:

Իհարկե, Դրոշի օրվա կազմակերպիչները կթարմացնեն ձեր կայքը և կավելացնի տեղեկատվություն DNS Flag Day 2020-ի և կոմունալ ծառայությունների մասին՝ ցանկացած տիրույթի համապատասխանությունը 2020 թվականի պահանջներին ստուգելու համար:

Մի մոռացեք այս ստուգումն անել մինչև տարեվերջ, որպեսզի համոզվեք, որ որևէ խնդիր չեք ունենա:

Libor Peltán-ը CZ.NIC-ից կմանրամասնի գալիք DNS Flag Day-ի պլանները՝ 2020 թ. ENOG ցանցային օպերատորների եվրասիական խմբի հանդիպումը Թբիլիսիում հունիսի 3-4. Ռուսերեն թարգմանությամբ հեռարձակումը հասանելի կլինի իրական ժամանակում կայքում, այնտեղ (և Telegram չաթում ENOG Talk) կարող եք հարցեր տալ:

Կարող եք նաև հետևել, թե ինչ է կատարվում թվիթերում.

DNS Flag Day 2021-ը, ամենայն հավանականությամբ, կհետևի նմանատիպ ժամանակացույցին՝ սկսած 32 թվականի գարնանը DNS-OARC 2020-ով: Ընդունվում և հավաքվում են հենակների հայտերը, որոնք վաղուց պետք է թաղված լինեին Github-ում.

Source: www.habr.com