조각화 및 TCP 지원 문제를 해결하기 위한 DNS 플래그 데이 2020 이니셔티브

오늘은 다수의 대규모 DNS 서비스와 DNS 서버 제조업체가 공동 행사를 개최합니다. DNS 플래그 데이 2020주의를 집중하도록 설계되었습니다. 결정 проблем 대규모 DNS 메시지를 처리할 때 IP 조각화가 발생합니다. 지난해에 이어 두 번째 행사인 'DNS 플래그 데이'다. 집중했다 EDNS 요청의 올바른 처리에 관한 것입니다.

DNS 플래그 데이 2020 이니셔티브의 참가자들은 EDNS에 대한 권장 버퍼 크기를 1232바이트(MTU 크기 1280에서 헤더의 경우 48바이트를 뺀 값)로 고정할 것을 요구하고 있습니다. 옮기다 TCP를 통한 요청 처리는 서버의 필수 기능입니다. 안에 RFC 1035 UDP를 통한 요청 처리 지원만 필수로 표시되며, TCP는 바람직한 것으로 나열되어 있지만 작업에 필수는 아닙니다. 새로운 RFC 7766 и RFC 5966 DNS가 올바르게 작동하는 데 필요한 기능으로 TCP를 명시적으로 나열합니다. 이 이니셔티브는 설정된 EDNS 버퍼 크기가 부족한 경우 UDP를 통한 요청 전송에서 TCP 사용으로 강제 전환을 제안합니다.

제안된 변경 사항은 EDNS 버퍼 크기 선택과 관련된 혼란을 없애고 대용량 UDP 메시지의 조각화 문제를 해결합니다. 이 문제는 종종 클라이언트 측에서 패킷 손실 및 시간 초과로 이어집니다. 클라이언트 측에서는 EDNS 버퍼 크기가 일정하며 큰 응답이 TCP를 통해 클라이언트에 즉시 전송됩니다. UDP를 통한 대용량 메시지 전송을 제거하면 일부 방화벽에서 대용량 패킷이 삭제되는 문제도 해결되고 차단이 가능해집니다. 공격 조각화된 UDP 패킷의 조작을 기반으로 DNS 캐시를 오염시키기 위해(조각으로 분할될 때 두 번째 조각에는 식별자가 있는 헤더가 포함되지 않으므로 위조될 수 있으며 일치하는 체크섬에만 충분합니다) .

오늘부터 CloudFlare, Quad 9, Cisco(OpenDNS) 및 Google을 포함한 참여 DNS 공급자가 점차 변할 것이다 DNS 서버의 EDNS 버퍼 크기는 4096바이트에서 1232바이트입니다(EDNS 변경 사항은 4~6주에 걸쳐 적용되며 시간이 지남에 따라 증가하는 요청 수를 처리합니다). 새로운 제한에 맞지 않는 UDP 요청에 대한 응답은 TCP를 통해 전송됩니다. BIND, Unbound, Knot, NSD 및 PowerDNS를 포함한 DNS 서버 공급업체는 기본 EDNS 버퍼 크기를 4096바이트에서 1232바이트로 변경하는 업데이트를 출시할 예정입니다.

궁극적으로 이러한 변경으로 인해 UDP DNS 응답이 1232바이트를 초과하고 TCP 응답을 보낼 수 없는 DNS 서버에 액세스할 때 해결 문제가 발생할 수 있습니다. Google에서 수행한 실험에 따르면 EDNS 버퍼의 크기를 변경해도 실패율에 거의 영향을 미치지 않는 것으로 나타났습니다. 버퍼가 4096바이트인 경우 잘린 UDP 요청 수는 0.345%, TCP를 통해 연결할 수 없는 재시도 횟수는 0.115였습니다. %. 1232바이트의 버퍼를 사용하면 이 수치는 0.367%와 0.116%입니다. TCP 지원을 필수 DNS 기능으로 만들면 약 0.1%의 DNS 서버에 문제가 발생합니다. TCP가 없는 현대 상황에서는 이러한 서버의 작동이 이미 불안정하다는 점에 주목합니다.

권한 있는 DNS 서버의 관리자는 서버가 네트워크 포트 53에서 TCP를 통해 응답하고 이 TCP 포트가 방화벽에 의해 차단되지 않는지 확인해야 합니다. 평판이 좋은 DNS 서버는 다음보다 큰 UDP 응답을 보내서는 안 됩니다.
EDNS 버퍼 크기를 요청했습니다. 서버 자체에서는 EDNS 버퍼 크기를 1232바이트로 설정해야 합니다. Resolver의 요구 사항은 거의 동일합니다. 즉, TCP를 통해 응답하는 필수 기능, 잘린 UDP 응답을 수신할 때 TCP를 통해 반복 요청을 보내는 필수 지원, EDNS 버퍼를 1232바이트로 설정하는 것입니다.

다음 매개변수는 다양한 DNS 서버에서 EDNS 버퍼 크기를 설정하는 역할을 합니다.

묶다

옵션 {
edns-udp-크기 1232;
최대 UDP 크기 1232;
};

매듭 DNS

최대 UDP 페이로드: 1232

매듭 해결사

net.bufsize(1232)

PowerDNS 권위

UDP-잘림-임계값=1232

PowerDNS 반복자

edns-발신-bufsize=1232
UDP-잘림-임계값=1232

매여 있지 않은

edns-버퍼 크기: 1232

NSD

ipv4-edns-크기: 1232
ipv6-edns-크기: 1232

출처 : opennet.ru