TL; DR: Ab Februar 2020 funktionieren DNS-Server, die die Verarbeitung von DNS-Abfragen über UDP und TCP nicht unterstützen, möglicherweise nicht mehr.Dies ist eine Fortsetzung des Beitrags "Was wird am 1. Februar passieren?" vom 24. Januar 2019. Der Leser wird ermutigt, sich schnell mit dem ersten Teil der Geschichte vertraut zu machen, um den Kontext zu verstehen.
Bangkok ist im Allgemeinen ein Amateurort. Natürlich ist es warm, billig und die Küche ist interessant.
Sie müssen kein Visum für die Hälfte der Weltbevölkerung im
Voraus beantragen , aber Sie müssen sich trotzdem an Gerüche gewöhnen, und die Straßen der Stadt erinnern Sie bestenfalls an die Klassiker des Cyberpunk.
Insbesondere die Landschaft auf der linken Seite wird in der Nähe des Zentrums der thailändischen Hauptstadt gegenüber einer Straße vom Shangri-La Hotel aus beobachtet, wo vom 12. bis 13. Mai das 30. Treffen von DNS-OARC, einer gemeinnützigen Organisation für Sicherheit, Stabilität und Entwicklung des DNS-Domainnamensystems, stattfand .
Die Folien aus dem DNS-OARC 30-Programm werden im Prinzip von allen empfohlen, die sich für den Betrieb von DNS interessieren. Das Interessanteste ist jedoch möglicherweise etwas, das nicht in den Folien enthalten war. Ein 45-minütiger Runder Tisch, an dem die Ergebnisse des DNS-Flaggentags am 1. Februar 2019 besprochen werden.
Und das Interessanteste am Runden Tisch ist die Entscheidung, dass die
Praxis des DNS-Flaggentags fortgesetzt wird .
Probleme, Offizier?
Eine Vielzahl von
Studien hat gezeigt, dass der Effekt des ersten DNS-Flag-Tages minimiert wurde. Ja, für einige könnte der Anpassungsprozess
schmerzhaft werden , aber am Ende wurden fast alle veralteten DNS-Server aktualisiert und falsch konfigurierte Firewalls wurden korrekt konfiguriert.
Dementsprechend sehen die Organisatoren des Flag Day den Vorfall als großen Sieg an und werden, inspiriert vom Erfolg, hier nicht aufhören.
Der Roundtable erörterte die folgenden
Aufgaben , die die kommenden „Flaggentage“ erfüllen können:
- Unterstützung für den Abgleich von EDNS-Versionen auf öffentlichen DNS-Servern;
- Unterstützung für die RANDOMISIERUNG von Groß- und Kleinbuchstaben in DNS-Abfragen , um die in Abfragen und Antworten enthaltene Entropie zu erhöhen ;
- Unterstützung für DNS über TCP auf DNS-Servern (sowohl autorisierend als auch rekursiv);
- Implementierung von RFC 8020 , das rekursive Resolver anweist, den Zugriff auf die Domäne und alle ihre Unterdomänen zu beenden, wenn eine Antwort vom Typ NXDOMAIN empfangen wird;
- Mangelnde Unterstützung für IPv6 usw.
Letztendlich wurde eine Entscheidung getroffen, die auf der Plenarsitzung von
RIPE 78 gleichzeitig mit der Veröffentlichung dieses Beitrags bekannt gegeben wurde.
Nochmals: Ab Februar 2020 funktionieren DNS-Server, die die Verarbeitung von DNS-Abfragen sowohl über UDP als auch über TCP nicht unterstützen, möglicherweise nicht mehr.
Ein bestimmtes Datum steht jedoch noch nicht fest. Höchstwahrscheinlich ist es der 1. Februar, aber der Tag kann geändert werden. Laut den Organisatoren des DNS Flag Day 2020 (und dies sind dieselben Personen und Unternehmen wie in diesem Jahr) reichen neun Monate für die Implementierung der TCP-Unterstützung in vorhandenen DNS-Installationen völlig aus, sodass es kaum sinnvoll ist, die Veranstaltung zu verschieben.
Über TCP
Heute wird TCP in DNS allgemein unterstützt.
Der Betrieb eines Domain Name Systems mit TCP ist aus mehreren Gründen erforderlich:
- Übermittlung von Antworten, die größer als die Pfad- MTU sind , ohne Verwendung einer unzuverlässigen IP-Fragmentierung;
- DNSSEC-Unterstützung;
- Kampf gegen DDoS-Angriffe usw.
Auf der Clientseite wird DNS über TCP seit langem von fast jedem Stub-Resolver unterstützt, einschließlich Windows.
Tatsächlich war DNS über TCP lange Zeit nicht optional. Wie Mark Andrews, der Entwickler des Bind-DNS-Servers
RFC 1123 (veröffentlicht 1989),
feststellte , konnten wir die Verarbeitung von DNS-Abfragen und -Antworten über TCP nur dann nicht implementieren, wenn der Serverbetreiber die Konsequenzen gut verstand und die volle Funktionalität des DNS-Protokolls ohne TCP unterstützen konnte. Letzteres ist bis heute einfach unmöglich.
Eine Analyse von 34 Millionen Domänen von 59
TLDs zeigt, dass die Anforderung, TCP zu verwenden, jetzt in etwa 7% der Domänen zu Problemen führt. Zum Vergleich: Im November 2018 - 3 Monate vor dem ersten DNS-Flaggentag - hatten 5,68% der getesteten Websites Probleme mit EDNS.
Von diesen 7%:
- 90% der Probleme hängen mit der Arbeit autorisierender Server von 10 Unternehmen zusammen.
- 68% der Probleme sind auf den Servern eines einzigen Unternehmens gesperrt - des chinesischen Betreibers Hichina;
- Zusammen mit anderen problematischen chinesischen Anbietern - AliDNS und Xinnet - beträgt dieser Anteil bereits 72%;
- Die Hälfte der Liste hatte im November 2018 ebenfalls Probleme mit EDNS, konnte diese jedoch erfolgreich lösen.
Die Organisatoren des Flag Day sind sich einig, dass die Tausenden von Betreibern der DNS-Community nicht mehr für die Krückenunterstützung für ein paar Dutzend Unternehmen zahlen sollten, die ihre Server nicht aktualisieren.
Ein wichtiger Punkt, wie beim letzten Mal, können die Konsequenzen nicht nur für die Besitzer von DNS-Servern sein, sondern auch für Netzwerkadministratoren, die den Zugriff auf Port 53 / TCP in der Firewall blockieren.
Bis Februar 2020 sollte der Zugriff auf Port 53 / TCP auf die DNS-Server funktionieren .
Und was dann?
Natürlich werden die Organisatoren des Flag Day
ihre Website aktualisieren und Informationen zum DNS Flag Day 2020 und zu Dienstprogrammen hinzufügen, um alle Domains auf Kompatibilität mit den Anforderungen von 2020 zu überprüfen.
Vergessen Sie nicht, eine solche Überprüfung vor Jahresende durchzuführen, um sicherzustellen, dass Sie keine Probleme haben.
Libor Peltan von CZ.NIC wird auf dem bevorstehenden
Treffen der eurasischen Gruppe von Netzbetreibern ENOG am 3. und 4. Juni
in Tiflis ausführlich über die Pläne für den DNS-Flaggentag 2020 sprechen. Die Sendung mit Übersetzung ins Russische wird in Echtzeit auf der Website verfügbar sein. An derselben Stelle (und im Telegramm-Chat
ENOG Talk ) können Sie Fragen stellen.
Sie können auch verfolgen, was
auf Twitter passiert.
Der DNS-Flaggentag 2021 wird höchstwahrscheinlich nach einem ähnlichen Zeitplan geplant, beginnend mit DNS-OARC 32 im Frühjahr 2020. Anträge für Krücken, die längst vergraben sein sollten, werden
auf Github angenommen und gesammelt.