TL;DR: Bắt đầu từ tháng 2020 năm XNUMX, các máy chủ DNS không hỗ trợ xử lý truy vấn DNS trên cả UDP và TCP có thể ngừng hoạt động.
Đây là phần tiếp theo của bài viết ngày 24/2019/XNUMX Độc giả nên lướt qua phần đầu truyện để hiểu rõ ngữ cảnh.
Bangkok, nói chung, là nơi dành cho tất cả mọi người. Tất nhiên, ở đó ấm áp, rẻ tiền và ẩm thực rất thú vị, và thị thực cho một nửa dân số thế giới đến đó Tuy nhiên, bạn vẫn cần phải làm quen với mùi và đường phố trong thành phố khiến bạn nhớ đến những tác phẩm kinh điển của cyberpunk.
Đặc biệt, cảnh quan bên trái nằm gần trung tâm thủ đô Thái Lan, cách khách sạn Shangri-La một con phố, nơi diễn ra cuộc họp lần thứ 12 của DNS-OARC, một tổ chức phi lợi nhuận chuyên về an ninh, ổn định và phát triển hệ thống tên miền DNS, được tổ chức vào ngày 13-30 tháng XNUMX.
về nguyên tắc, chúng thường được khuyến nghị nghiên cứu bởi tất cả những ai quan tâm đến công việc của DNS, nhưng có lẽ điều thú vị nhất là những gì không có trong các slide. Cụ thể là bàn tròn 45 phút thảo luận về kết quả của Ngày gắn cờ DNS, 1 Tháng 2019 năm.
Và điều thú vị nhất về bàn tròn là quyết định rằng thực hành sẽ tiếp tục.
Cán bộ có vấn đề à?
Như được thể hiện bởi nhiều , ảnh hưởng của Ngày gắn cờ DNS đầu tiên đã được giảm thiểu. Có, đối với một số người đó là một quá trình thích ứng , nhưng cuối cùng thì hầu hết tất cả các máy chủ DNS cũ đều đã được cập nhật và tường lửa được định cấu hình không chính xác đã được định cấu hình đúng.
Theo đó, những người tổ chức Ngày Quốc kỳ coi những gì diễn ra là một chiến thắng vĩ đại và lấy cảm hứng từ thành công sẽ không dừng lại ở đó.
Trong hội nghị bàn tròn, những vấn đề sau đã được thảo luận , điều mà “những ngày treo cờ” sắp tới có thể giúp thực hiện:
- Hỗ trợ trên các máy chủ DNS công cộng;
- Hỗ trợ ngẫu nhiên các ký tự chữ hoa và chữ thường trong truy vấn DNS có trong các yêu cầu và phản hồi;
- Hỗ trợ DNS qua TCP trên máy chủ DNS (cả có thẩm quyền và đệ quy);
- Thực hiện , hướng dẫn các trình phân giải đệ quy ngừng truy cập miền và tất cả các miền phụ của nó nếu chúng nhận được phản hồi thuộc loại NXDOMAIN;
- Thiếu hỗ trợ IPv6, v.v.
Cuối cùng, một quyết định đã được đưa ra và được công bố tại cuộc họp toàn thể đồng thời với việc xuất bản bài viết này.
Chúng tôi nhắc lại: bắt đầu từ tháng 2020 năm XNUMX, các máy chủ DNS không hỗ trợ xử lý các truy vấn DNS trên cả UDP và TCP có thể ngừng hoạt động.
Tuy nhiên, ngày cụ thể vẫn chưa được xác định. Rất có thể đó sẽ là ngày 1 tháng 2020, nhưng ngày này có thể thay đổi. Tuy nhiên, theo ban tổ chức Ngày cờ DNS XNUMX (và đây cũng là những cá nhân và công ty như năm nay), XNUMX tháng là khá đủ để triển khai hỗ trợ TCP trong các cài đặt DNS hiện có, vì vậy việc hoãn sự kiện hầu như không có ý nghĩa gì.
Qua TCP
Ngày nay, TCP trong DNS thường được hỗ trợ.
Việc vận hành hệ thống tên miền sử dụng TCP là cần thiết vì một số lý do:
- Cung cấp phản hồi lớn hơn đường dẫn , không sử dụng phân mảnh IP không đáng tin cậy;
- Hỗ trợ DNSSEC;
- Chống lại các cuộc tấn công DDoS, v.v.
Về phía client, DNS over TCP từ lâu đã được hỗ trợ ở hầu hết mọi nơi, kể cả Windows.
Trên thực tế, DNS qua TCP đã không còn là một lựa chọn trong một thời gian dài. Làm sao Mark Andrews, nhà phát triển máy chủ Bind DNS, RFC chỉ cho phép bỏ qua quá trình xử lý truy vấn và phản hồi DNS qua TCP nếu nhà điều hành máy chủ hiểu rõ ý nghĩa và có thể hỗ trợ đầy đủ chức năng của giao thức DNS không phải TCP. Ngày nay, điều thứ hai đơn giản là không thể.
Phân tích 34 triệu tên miền trong số 59 cho thấy yêu cầu sử dụng TCP gây ra sự cố cho khoảng 7% số miền. Để so sánh, vào tháng 2018 năm 3 - 5,68 tháng trước Ngày gắn cờ DNS đầu tiên - XNUMX% trang web được thử nghiệm gặp sự cố với EDNS.
Trong số 7% này:
- 90% sự cố liên quan đến hoạt động của máy chủ có thẩm quyền của 10 công ty;
- 68% vấn đề được giới hạn ở máy chủ một công ty duy nhất — Nhà điều hành Trung Quốc Hichina;
- Cùng với các nhà cung cấp Trung Quốc có vấn đề khác - AliDNS và Xinnet - tỷ lệ này đã là 72%;
- Một nửa danh sách cũng gặp vấn đề với EDNS vào tháng 2018 năm XNUMX nhưng đã giải quyết thành công.
Các nhà tổ chức Ngày Cờ đã đạt được sự đồng thuận rằng hàng nghìn nhà khai thác tạo nên cộng đồng DNS sẽ không còn phải trả tiền để hỗ trợ nạng vì lợi ích của vài chục công ty không cập nhật máy chủ của họ.
Một điểm quan trọng, giống như lần trước, hậu quả có thể không chỉ xảy ra với chủ sở hữu máy chủ DNS mà còn đối với các quản trị viên mạng chặn quyền truy cập vào cổng 53/TCP trên tường lửa.
Đến tháng 2020 năm 53, cổng XNUMX/TCP truy cập vào máy chủ DNS sẽ hoạt động.
Và rồi chuyện gì xảy ra?
Tất nhiên ban tổ chức Ngày Cờ sẽ cập nhật và sẽ bổ sung thông tin về DNS Flag Day 2020 cũng như các tiện ích để kiểm tra bất kỳ tên miền nào về khả năng tương thích với yêu cầu của năm 2020.
Đừng quên thực hiện việc kiểm tra này trước cuối năm để đảm bảo bạn không gặp bất kỳ vấn đề gì.
Libor Peltán từ CZ.NIC sẽ lên kế hoạch chi tiết cho Ngày Cờ DNS 2020 sắp tới Ngày 3-4 tháng XNUMX. Chương trình phát sóng có bản dịch sang tiếng Nga sẽ có sẵn trong thời gian thực trên trang web ở đó (và trong cuộc trò chuyện Telegram ) bạn có thể đặt câu hỏi.
Bạn cũng có thể theo dõi những gì đang xảy ra .
Ngày gắn cờ DNS 2021 rất có thể sẽ diễn ra theo lịch trình tương tự, bắt đầu với DNS-OARC 32 vào mùa xuân năm 2020. Đơn xin cấp nạng đáng lẽ phải chôn từ lâu đang được tiếp nhận và thu thập .
Nguồn: www.habr.com
