1月XNUMX日会发生什么？

当然，事实并非如此。 Habr 上对该问题的首次讨论然而，到目前为止，讨论主要集中在后果上，而我们认为，根本原因更有意思。

所以，计划定在2月1日。 DNS 卖旗日这一事件的影响会逐渐显现，但即便如此，一些公司也难以适应。

它是什么？简单来说，它就是 宣言 全球领先的 DNS 服务器开发商：CZ.NIC、ISC、NLnet Labs 和 PowerDNS。

DNS 软件供应商长期以来面临着一个问题：开发域名系统、添加客户所需的新功能以及解决安全问题——所有这些过程都因 DNS 系统的协作结构以及需要支持实施过时协议版本（并且经常出错）的古老服务器而大大减慢。

特殊情况

根据 DNS协议标准目录截至2018年1月21日，当前规范包含3248页。其中包括所有相关的RFC。 互联网标准, 建议标准 （这在今天本质上是一样的）， 当前最佳实践 и 信息相比之下，为互联网上所有网站提供内容分发的 HTTP 协议，总共用了 672 页进行描述。

俗话说，如果你的项目规格说明跟这个不一样，那就别想邀请我了。

要实现处理3页文档中描述的所有功能和异常情况，本身就是一项艰巨的任务。更糟糕的是，许多DNS服务器对某些功能的实现并不正确，导致还需要额外处理非标准行为。在上述一些RFC文档中，协议开发人员的挫败感溢于言表。 甚至在标题中.

据主要DNS开发人员称，代码复杂性问题已十分严重，需要采取果断措施。2月1日，作为一项协调行动的一部分，所有主流DNS服务器的更新版本将发布，永久移除对某些错误行为的支持。

还有更多？

为了更清楚地说明哪些功能将不再受支持，我举个例子。想象一下，1999 年之前，人们不允许携带行李登机；但在 1999 年，监管机构的一项正式决定允许乘客携带一定重量和尺寸的行李登机。是不是很方便？你可以携带很多有用的东西。

试想一下，在 2019 年，仍然有一些飞机不允许携带行李，而且在登机前你根本无法知道自己是否可以携带行李。

事情大致就是这样。 EDNS扩展由于缺乏支持，一些网站将从 2 月 1 日起无法访问。粗略地说，那些无法携带哪怕是最基本行李的飞机将在 2 月份停飞，以庆祝其成立二十周年。 第一个 EDNS 标准 将被禁止进入多个机场。

该公告提前发布：2018 年 3 月至 5 月，DNS 旗帜日的主要组织者向公众发布了公告。 一些热门的行业会议此外，DNS 服务器版本更新的发布不会立即造成问题，因为运营商仍需迁移到新版本，这需要时间。更重要的是，许多云 DNS 提供商也加入了 DNS Flag Day 活动。其中包括谷歌（及其著名的 DNS 服务器，IP 地址为 8.8.8.8）、Cloudflare、Facebook 和思科等巨头。

因此，从2月1日起，使用不支持扩展DNS（EDNS）的DNS服务器（例如，无法携带行李的“飞机”）的网站将无法访问，受影响的用户包括使用开放DNS服务器8.8.8.8、9.9.9.9、1.1.1.1以及其他一些服务器的用户。随着互联网服务提供商（ISP）更新其DNS服务器，受影响的服务器列表还会继续增加。

企业基础设施中 DNS 服务器的特殊之处在于，它通常不会请求任何东西，只是默默地运行，因此很少有人会更新它。即使是老派的系​​统管理员也常常忽略这一点。 喜欢骄傲 问题是，当需要升级时，例如，从 FreeBSD 5 升级到 FreeBSD 10（一个现实场景），这除了其他问题外，还需要重启，而旧服务器可能无法从重启中恢复。

最令人沮丧的是，解决这个问题通常并非简单地更新 DNS 服务器就能奏效。一些组织使用的防火墙（包括软件和硬件）会强制丢弃所有启用了 EDNS 功能的 DNS 数据包。早期的 Juniper SRX 型号就存在这个问题，但远不止于此。事实上，就防火墙和深度包检测 (DPI) 解决方案而言，某些解决方案的质量低下早已是公开的秘密。DNS 协议开发商多年来一直饱受这些问题的困扰，如今他们决定反击。

然而，更新此类解决方案可能需要大量时间，在某些情况下，可能需要丢弃曾经昂贵的设备并购买新设备，这将导致许多复杂情况，例如在俄罗斯的预算周期内（特别是如果被丢弃的设备是在国外制造的，而该组织由于各种原因——财政、政治或意识形态原因——不再有机会购买外国制造的设备）。

所以，对于那些遇到这个问题的人来说，现在是时候开始解决了。请注意，只有那些……的问题 合适的验证工具 显示红色“停止”或“慢行”标志。黄色三角形中的感叹号目前仅为警告，2月1日不会造成任何问题（尽管从长远来看，这个问题应该得到解决）。

然后呢？

首先，DNS 标志日不应该引发任何重大灾难。

在各种讨论中，人们都能听到批评的声音。 原文 阿列克谢·卢卡茨基在Habr网站上评论道：作者的语气被认为过于危言耸听。然而，人们不禁注意到，阿列克谢本人非常了解俄罗斯大型组织和政府机构的网络基础设施结构及其所依赖的设备。根据这项研究，其结果显然是…… 可用的 .RU 和 .РФ 域名的协调中心问题，此前已有不少知名网站报道过，而卢卡茨基的帖子发布后，这个问题如今已初露端倪，例如思科博客上的一篇文章（以及随后博客上的相关说明）。 俄罗斯联邦达到了预期效果。

然而，DNS 旗帜日的成功显然会产生影响，最主要的一点是，未来将会举办更多类似的活动。DNS 系统仍然 还有很多地方没被留下。开发者们希望尽快扩展其功能；此外，DNS并非唯一值得深入分析的协议。我们将在下一篇文章中讨论的BGP属性0xFF的例子清楚地表明，互联网有时也需要“疫苗”来保护。

这就给如今的系统管理员带来了一个相当明确的难题：

1. DNS 服务器管理员必须密切关注互联网社区的动态，特别是 DNS 开发人员专业社区的新闻，尤其要投入时间和精力关注服务器更新；
2. 或者，您可以将自己的域名区域的管理权移交给专门从事此类工作的第三方提供商（原则上，世界上有很多这样的提供商）。

然而，我们可能还会再次谈到这个话题。

来源： habr.com