Was wird am 1. Februar 2020 passieren?

TL; DR: Ab Februar 2020 funktionieren DNS-Server, die DNS nicht mehr über UDP und TCP unterstützen, möglicherweise nicht mehr.

Bangkok ist im Allgemeinen ein seltsamer Ort zum Verweilen. Natürlich ist es dort warm, ziemlich billig und einige mögen die Küche interessant finden, zusammen mit der Tatsache, dass etwa die Hälfte der Weltbevölkerung kein Visum im Voraus beantragen muss , um dorthin zu gelangen. Sie müssen sich jedoch noch mit den Gerüchen vertraut machen, und die Straßen der Stadt bieten mehr als alles andere Cyberpunk-Szenen.

Insbesondere wurde ein Foto auf der linken Seite unweit des Zentrums der thailändischen Hauptstadt aufgenommen, eine Straße vom Shangri-La-Hotel entfernt, wo am 12. und 13. Mai das 30. DNS-OARC-Organisationstreffen stattfand Eine gemeinnützige Organisation, die sich der Sicherheit, Stabilität und allgemeinen Entwicklung des DNS widmet - dem Domain Name System.

Folien aus dem DNS-OARC 30-Meeting werden allen empfohlen, die an der Funktionsweise des DNS interessiert sind. Am interessantesten ist jedoch, was in diesen Folien nicht vorhanden ist. Ein 45-minütiger Runder Tisch mit einer Diskussion über die Ergebnisse des DNS-Flaggentags 2019 , der am 1. Februar 2019 stattfand.

Das beeindruckendste Ergebnis eines Runden Tisches ist die Entscheidung, den DNS-Flaggentag noch einmal zu wiederholen .

Probleme, Offizier?

Wie verschiedene Studien zeigten , war der negative Effekt des DNS-Flaggentags vernachlässigbar. Wahrscheinlich könnte der Anpassungsprozess für jemanden schmerzhaft sein, aber am Ende wurden fast alle veralteten DNS-Server aktualisiert und falsch konfigurierte Firewalls behoben.

Entsprechend einer solchen Vorgehensweise sehen die Organisatoren des DNS Flag Day das Geschehene als großen Sieg an und planen, inspiriert vom Erfolg, nicht aufzuhören.

Am Runden Tisch wurden zahlreiche Aufgaben besprochen, die die kommenden „Flaggentage“ erfüllen könnten:

• Unterstützung für die Aushandlung der EDNS-Version auf öffentlichen DNS-Servern;
• Unterstützung für RaNdOmIzAtIoN von Groß- und Kleinbuchstaben in DNS-Abfragen, um die in den Anforderungen und Antworten enthaltene Entropie zu erhöhen;
• DNS über TCP-Unterstützung auf DNS-Servern (sowohl autorisierend als auch rekursiv);
• Implementierung von RFC 8020 , das rekursive Resolver anweist, die Abfrage einer Domäne und aller ihrer Subdomänen zu beenden, wenn sie eine Antwort vom Typ NXDOMAIN erhalten.
• IPv6-Unterstützung usw.

Letztendlich wurde auf dem RIPE 78-Treffen in dieser Woche eine Entscheidung getroffen. Noch einmal: Ab Februar 2020 funktionieren DNS-Server, die die Verarbeitung von UDP- und TCP-basierten DNS-Abfragen nicht unterstützen, möglicherweise nicht mehr.

Der genaue Tag ist jedoch noch nicht bekannt. Höchstwahrscheinlich ist es der 1. Februar, das Jahr 2020, aber das genaue Datum kann sich noch etwas ändern. Nach Angaben der Organisatoren des DNS-Flaggentags 2020 (fast dieselben Organisationen und Einzelpersonen wie am ersten Flaggentag) reichen jedoch neun Monate aus, um die TCP-Unterstützung in vorhandenen DNS-Installationen sicherzustellen, sodass es keinen Sinn macht, die Veranstaltung zu verschieben.

Über TCP

Heutzutage wird DNS über TCP im Internet im Allgemeinen unterstützt.

Die Domain Name System-Operation über TCP wird benötigt, um mehrere wichtige Fälle zu behandeln:

1. Zustellung von Antworten mit Größen, die die Pfad- MTU überschreiten, ohne Verwendung einer allgemein unzuverlässigen IP-Fragmentierung;
2. DNSSEC-Unterstützung;
3. Kampf gegen DDoS-Angriffe;
4. Usw.

Auf der Client-Seite (Stub Resolver) wird DNS über TCP schon seit geraumer Zeit fast überall unterstützt, auch unter Windows.

DNS über TCP ist seit langem obligatorisch. Wie Mark Andrews, Entwickler von Bind DNS-Servern, feststellt , erlaubt RFC 1123 (veröffentlicht 1989) die Bearbeitung von DNS-Abfragen und -Antworten über UDP nur, wenn der Server-Betreiber die Konsequenzen kennt und die volle Funktionalität des DNS-Protokolls beibehalten kann ohne TCP. Letzteres ist heutzutage grundsätzlich unmöglich.

Die Analyse von 34 Millionen Domains von 59 TLDs zeigt, dass die Notwendigkeit, TCP zu verwenden, bei ungefähr 7% der Domains zu Problemen führt. Zum Vergleich: Im November 2018 - drei Monate vor dem DNS-Flaggentag 2019 - hatten 5,68% der getesteten Websites immer noch EDNS-Probleme.

Von diesen 7%:

• 90% der Probleme hängen mit der Arbeit autorisierender Server von 10 Unternehmen zusammen.
• 68% des Problems sind auf den Servern eines einzelnen Unternehmens - des chinesischen ISP Hichina - gesperrt.
• Zusammen mit anderen chinesischen Anbietern - AliDNS und Xinnet - steigt dieser Anteil auf 72%;
• Die Hälfte der Namen auf der Liste hatte im November 2018 auch Probleme mit EDNS, die jedoch zeitnah erfolgreich behoben wurden.

Die Organisatoren des Flag Day sind sich einig, dass Tausende von ISPs und DNS-Betreibern, aus denen die DNS-Community besteht, keine Problemumgehungen mehr zahlen sollten, um ein paar Dutzend Unternehmen zu unterstützen, die ihre Server nicht aktualisieren.

Darüber hinaus ist wie beim letzten Mal ein kritischer Punkt, dass die Konsequenzen nicht nur für die Eigentümer von DNS-Servern gelten, sondern auch für Netzwerkadministratoren, wenn sie den Zugriff auf Port 53 / TCP auf ihren Firewalls blockieren.
Bis Februar 2020 muss der Zugriff über Port 53 / TCP auf DNS-Server funktionieren.

Was kommt als nächstes?

Mit Sicherheit würden die Organisatoren des Flag Day ihre Website aktualisieren und Informationen und Tools zum DNS Flag Day 2020 hinzufügen, um alle Domains auf Übereinstimmung mit den 2020-Anforderungen zu überprüfen.

Vergessen Sie nicht, eine solche Überprüfung vor Ende dieses Jahres durchzuführen, um sicherzustellen, dass Sie keine Probleme haben.

Der DNS-Flaggentag 2020 wurde während des RIPE 78-Treffens in Reykjavík besprochen. Hier sind die Folien , hier ist das Video .

Sie können auch verfolgen, was mit Twitter los ist.

Der DNS-Flaggentag 2021 wird höchstwahrscheinlich nach einem ähnlichen Zeitplan geplant, beginnend mit dem DNS-OARC 32 im Frühjahr des Jahres 2020. Anträge auf Problemumgehungen und Korrekturen, die längst vergraben sein sollten, werden auf GitHub akzeptiert und gesammelt.