खण्डीकरण र TCP समर्थन मुद्दाहरूलाई सम्बोधन गर्न DNS झण्डा दिवस 2020 पहल

आज, धेरै ठूला DNS सेवाहरू र DNS सर्भर निर्माताहरूले संयुक्त कार्यक्रम आयोजना गर्नेछन् DNS झण्डा दिवस २०२०ध्यान केन्द्रित गर्न डिजाइन गरिएको निर्णय समस्याहरु ठूला DNS सन्देशहरू प्रशोधन गर्दा IP खण्डीकरणको साथ। यो दोस्रो यस्तो घटना हो, गत वर्ष "DNS झण्डा दिवस" केन्द्रित थियो EDNS अनुरोधहरूको सही प्रशोधनमा।

DNS फ्ल्याग डे 2020 पहलमा सहभागीहरूले EDNS को लागि 1232 बाइट्स (MTU साइज 1280 माइनस 48 बाइट्स हेडरहरू) मा फिक्स गर्न सिफारिस गरिएको बफर साइजको लागि आह्वान गरिरहेका छन्, साथै अनुवाद TCP मार्फत अनुरोधहरू प्रशोधन गर्नु सर्भरहरूमा हुनै पर्ने सुविधा हो। IN RFC 1035 UDP मार्फत अनुरोधहरू प्रशोधन गर्नका लागि मात्र समर्थन अनिवार्य रूपमा चिन्ह लगाइएको छ, र TCP लाई वांछनीय रूपमा सूचीबद्ध गरिएको छ, तर सञ्चालनको लागि आवश्यक छैन। नयाँ RFC 7766 и RFC 5966 DNS लाई सही रूपमा काम गर्नको लागि आवश्यक क्षमताको रूपमा TCP लाई स्पष्ट रूपमा सूचीबद्ध गर्नुहोस्। पहलले स्थापना गरिएको EDNS बफर साइज अपर्याप्त भएको अवस्थामा UDP मा TCP प्रयोग गर्न अनुरोधहरू पठाउनबाट सङ्क्रमणलाई बाध्य पार्ने प्रस्ताव गर्दछ।

प्रस्तावित परिवर्तनहरूले EDNS बफर साइज छनोट गर्ने भ्रमलाई हटाउनेछ र ठूला UDP सन्देशहरूको खण्डीकरणको समस्यालाई समाधान गर्नेछ, जसको प्रशोधनले प्राय: ग्राहक पक्षमा प्याकेट हानि र टाइमआउटहरू निम्त्याउँछ। ग्राहक पक्षमा, EDNS बफर साइज स्थिर हुनेछ र TCP मा ग्राहकलाई तुरुन्तै ठूलो प्रतिक्रियाहरू पठाइनेछ। UDP मा ठूला सन्देशहरू पठाउनबाट जोगिनाले केही फायरवालहरूमा ठूला प्याकेटहरू छोड्ने समस्याहरू समाधान गर्नेछ र ब्लक गर्न अनुमति दिन्छ। आक्रमणहरू DNS क्यासलाई विषाक्त बनाउनको लागि, खण्डित UDP प्याकेटहरूको हेरफेरमा आधारित (जब टुक्राहरूमा विभाजित हुन्छ, दोस्रो खण्डमा पहिचानकर्ताको साथ हेडर समावेश हुँदैन, त्यसैले यसलाई नक्कली गर्न सकिन्छ, जसको लागि यो केवल चेकसम मिलाउन पर्याप्त छ) ।

आजदेखि, CloudFlare, Quad 9, Cisco (OpenDNS) र Google सहित सहभागी DNS प्रदायकहरू, बिस्तारै परिवर्तन हुनेछ यसको DNS सर्भरहरूमा 4096 देखि 1232 बाइट्स सम्म EDNS बफर साइज (EDNS परिवर्तन 4-6 हप्ताहरूमा फैलिनेछ र समयसँगै अनुरोधहरूको बढ्दो संख्यालाई कभर गर्नेछ)। नयाँ सीमामा नमिल्ने UDP अनुरोधहरूको जवाफ TCP मार्फत पठाइनेछ। BIND, Unbound, Knot, NSD र PowerDNS सहित DNS सर्भर विक्रेताहरूले पूर्वनिर्धारित EDNS बफर साइज 4096 बाइट्सबाट 1232 बाइट्समा परिवर्तन गर्न अद्यावधिकहरू जारी गर्नेछन्।

अन्ततः, यी परिवर्तनहरूले DNS सर्भरहरू पहुँच गर्दा रिजोल्युसन समस्याहरू निम्त्याउन सक्छ जसको UDP DNS प्रतिक्रियाहरू 1232 बाइटहरू भन्दा बढी छन् र TCP प्रतिक्रिया पठाउन सक्दैनन्। गुगलमा गरिएको एक प्रयोगले देखाएको छ कि EDNS बफर साइज परिवर्तन गर्दा असफलता दरमा कुनै असर पर्दैन - 4096 बफरको साथमा, काटिएको UDP अनुरोधहरूको संख्या 0.345% छ, र TCP मा पहुँच गर्न नसकिने पुन: प्रयासहरूको संख्या 0.115% हो। 1232 बाइटको बफरको साथ, यी तथ्याङ्कहरू 0.367% र 0.116% हुन्। TCP समर्थनलाई आवश्यक DNS सुविधा बनाउनुले DNS सर्भरहरूको लगभग ०.१% समस्याहरू निम्त्याउनेछ। यो नोट गरिएको छ कि आधुनिक परिस्थितिहरूमा, TCP बिना, यी सर्भरहरूको सञ्चालन पहिले नै अस्थिर छ।

आधिकारिक DNS सर्भरका प्रशासकहरूले उनीहरूको सर्भरले नेटवर्क पोर्ट 53 मा TCP मार्फत प्रतिक्रिया दिन्छ र यो TCP पोर्ट फायरवालद्वारा ब्लक गरिएको छैन भनेर सुनिश्चित गर्नुपर्छ। एक सम्मानित DNS सर्भरले पनि UDP प्रतिक्रियाहरू पठाउनु हुँदैन जुन भन्दा ठूलो छ
अनुरोध गरिएको EDNS बफर साइज। सर्भरमा नै, EDNS बफर साइज 1232 बाइटहरूमा सेट हुनुपर्छ। समाधानकर्ताहरूसँग लगभग समान आवश्यकताहरू छन् - TCP मार्फत प्रतिक्रिया दिन अनिवार्य क्षमता, काटिएको UDP प्रतिक्रिया प्राप्त गर्दा TCP मार्फत बारम्बार अनुरोधहरू पठाउनको लागि अनिवार्य समर्थन, र EDNS बफरलाई 1232 बाइटहरूमा सेट गर्ने।

निम्न प्यारामिटरहरू विभिन्न DNS सर्भरहरूमा EDNS बफर साइज सेट गर्न जिम्मेवार छन्:

BIND

विकल्पहरू {
edns-udp-size 1232;
अधिकतम-udp-साइज १२३२;
};

गाँठो DNS

max-udp-payload: 1232

गाँठ समाधानकर्ता

net.bufsize(१२३२)

PowerDNS आधिकारिक

udp-truncation-threshold=1232

PowerDNS रिकर्सर

edns-outgoing-bufsize=1232
udp-truncation-threshold=1232

नबाँधिएको

edns-बफर-साइज: 1232

एनएसडी

ipv4-edns-size: 1232
ipv6-edns-size: 1232

स्रोत: opennet.ru