Inizjattiva ta' jum il-bandiera tad-DNS 2020 biex tindirizza kwistjonijiet ta' frammentazzjoni u appoġġ tat-TCP

Illum, numru ta 'servizzi DNS kbar u manifatturi ta' servers DNS se jorganizzaw avveniment konġunt Jum il-bandiera tad-DNS 2020maħsuba biex tiffoka l-attenzjoni fuq deċiżjoni problemi bi frammentazzjoni tal-IP meta tipproċessa messaġġi DNS kbar. Dan huwa t-tieni avveniment bħal dan, is-sena l-oħra "jum tal-bandiera DNS" kien iffukat dwar l-ipproċessar korrett tat-talbiet EDNS.

Il-parteċipanti fl-inizjattiva ta' jum il-bandiera tad-DNS 2020 qed jitolbu li d-daqsijiet tal-buffer rakkomandati għall-EDNS jiġu ffissati għal 1232 bytes (daqs MTU 1280 nieqes 48 bytes għall-headers), kif ukoll tittraduċi l-ipproċessar tat-talbiet permezz tat-TCP huwa karatteristika li għandha bżonn fuq is-servers. IN RFC 1035 L-appoġġ għall-ipproċessar tat-talbiet permezz tal-UDP biss huwa mmarkat bħala obbligatorju, u TCP huwa elenkat bħala mixtieq, iżda mhux meħtieġ għall-operat. Ġdid RFC 7766 и RFC 5966 elenka espliċitament it-TCP bħala kapaċità meħtieġa biex id-DNS jiffunzjona b'mod korrett. L-inizjattiva tipproponi li tisforza t-tranżizzjoni minn jintbagħtu talbiet fuq UDP għall-użu tat-TCP f'każijiet fejn id-daqs tal-buffer EDNS stabbilit ma jkunx biżżejjed.

Il-bidliet proposti jeliminaw il-konfużjoni bl-għażla tad-daqs tal-buffer EDNS u jsolvu l-problema tal-frammentazzjoni ta 'messaġġi UDP kbar, li l-ipproċessar tagħhom ħafna drabi jwassal għal telf ta' pakketti u timeouts fuq in-naħa tal-klijent. Min-naħa tal-klijent, id-daqs tal-buffer EDNS se jkun kostanti u tweġibiet kbar jintbagħtu immedjatament lill-klijent fuq TCP. L-evitar li jintbagħtu messaġġi kbar fuq UDP issolvi wkoll problemi b'pakketti kbar li jintefgħu fuq xi firewalls u jippermetti l-imblukkar attakki għall-avvelenament tal-cache DNS, ibbażat fuq il-manipulazzjoni ta 'pakketti UDP frammentati (meta maqsuma fi frammenti, it-tieni framment ma jinkludix header b'identifikatur, u għalhekk jista' jiġi falsifikat, li għalih huwa biżżejjed biss li s-checksum taqbel) .

Mill-lum, il-fornituri tad-DNS parteċipanti inklużi CloudFlare, Quad 9, Cisco (OpenDNS) u Google, se jinbidlu gradwalment Id-daqs tal-buffer EDNS minn 4096 sa 1232 bytes fuq is-servers tad-DNS tagħha (il-bidla EDNS se tkun mifruxa fuq 4-6 ġimgħat u se tkopri numru dejjem jikber ta 'talbiet maż-żmien). Tweġibiet għal talbiet UDP li ma jidħlux fil-limitu l-ġdid se jintbagħtu permezz tat-TCP. Il-bejjiegħa tas-server DNS inklużi BIND, Unbound, Knot, NSD u PowerDNS se jirrilaxxaw aġġornamenti biex jibdlu d-daqs default tal-buffer EDNS minn 4096 bytes għal 1232 bytes.

Fl-aħħar mill-aħħar, dawn il-bidliet jistgħu jwasslu għal problemi ta 'riżoluzzjoni meta jaċċessaw servers DNS li t-tweġibiet UDP DNS tagħhom jaqbżu l-1232 bytes u ma jistgħux jibagħtu tweġiba TCP. Esperiment li sar fuq Google wera li t-tibdil tad-daqs tal-buffer EDNS prattikament m'għandu l-ebda effett fuq ir-rata ta 'falliment - b'buffer ta' 4096 bytes, in-numru ta 'talbiet UDP maqtugħin huwa 0.345%, u n-numru ta' tentattivi mill-ġdid li ma jistgħux jintlaħqu fuq TCP huwa 0.115%. B'buffer ta' 1232 bytes, dawn iċ-ċifri huma 0.367% u 0.116%. Li tagħmel l-appoġġ TCP karatteristika DNS meħtieġa se jikkawża problemi ma 'madwar 0.1% tas-servers DNS. Huwa nnutat li f'kundizzjonijiet moderni, mingħajr TCP, l-operat ta 'dawn is-servers huwa diġà instabbli.

Amministraturi ta' servers DNS awtorevoli għandhom jiżguraw li s-server tagħhom jirrispondi permezz ta' TCP fuq il-port tan-netwerk 53 u li dan il-port TCP ma jkunx imblukkat minn firewall. Server DNS ta' fama m'għandux jibgħat ukoll tweġibiet UDP li huma akbar minn
daqs tal-buffer EDNS mitlub. Fuq is-server innifsu, id-daqs tal-buffer EDNS għandu jkun issettjat għal 1232 bytes. Dawk li jirrisolvu għandhom bejn wieħed u ieħor l-istess rekwiżiti - kapaċità obbligatorja li jirrispondu permezz tat-TCP, appoġġ obbligatorju biex jintbagħtu talbiet ripetuti permezz tat-TCP meta jirċievu rispons UDP maqtugħ, u jistabbilixxu l-buffer EDNS għal 1232 bytes.

Il-parametri li ġejjin huma responsabbli għall-issettjar tad-daqs tal-buffer EDNS f'servers DNS differenti: