Bukan itu, tentu saja, itu adalah
diskusi pertama dari sebuah pertanyaan tentang Habré . Namun, sampai sekarang, konsekuensinya terutama dibahas, sementara, menurut pendapat kami, akar penyebabnya jauh lebih menarik.
Jadi,
Bendera Bendera DNS dijadwalkan untuk 1 Februari. Efek dari acara ini akan terjadi secara bertahap, tetapi masih lebih cepat daripada beberapa perusahaan akan dapat beradaptasi dengannya.
Apa ini Secara sederhana, ini adalah
manifesto dari pengembang server DNS utama dunia: CZ.NIC, ISC, NLnet Labs, dan PowerDNS.
Produsen perangkat lunak DNS telah lama dihadapkan pada masalah: pengembangan sistem nama domain, penambahan fungsi baru yang diperlukan oleh pelanggan, solusi masalah keamanan - semua proses ini melambat secara drastis karena struktur koperasi sistem DNS dan kebutuhan untuk mendukung server kuno yang mengimplementasikan versi protokol warisan (dan bahkan ini sering dilakukan dengan kesalahan).
Situasi luar biasa
Menurut
katalog standar protokol DNS , spesifikasi saat ini berisi, per 21 Januari 2018, 3248 halaman. Mereka termasuk semua RFC yang relevan dalam status
"standar internet" ,
"standar yang diusulkan" (yang pada dasarnya sama untuk hari ini),
"praktik terbaik saat ini" dan
"informasi" . Sebagai perbandingan: protokol HTTP, yang menyediakan pengiriman konten untuk semua situs web di Internet, dijelaskan secara total pada 672 halaman.
Seperti kata pepatah, jika ToR proyek Anda tidak seperti itu, jangan coba-coba mengundang saya.
Kebutuhan untuk mengimplementasikan pemrosesan semua fungsi dan pengecualian yang dijelaskan pada 3.000 halaman itu sendiri merupakan kerja keras, dan di samping itu, sejumlah server DNS mengimplementasikan fungsi ini atau itu secara tidak benar, yang mengarah pada kebutuhan untuk memproses tambahan perilaku non-standar. Dalam beberapa RFC tersebut di atas, keputusasaan orang-orang luar biasa yang bekerja dengan protokol terpancar
bahkan ke dalam namanya .
Menurut pengembang DNS utama, situasi dengan kompleksitas kode program sudah cukup serius untuk mengambil tindakan drastis. Pada tanggal 1 Februari, sebagai bagian dari tindakan terkoordinasi, versi terbaru dari semua server DNS utama akan dirilis, di mana dukungan untuk perilaku tidak benar tertentu akan dihentikan sekarang dan selamanya.
Dan lebih detail?
Untuk menjelaskan apa yang sebenarnya tidak lagi didukung, saya akan memberikan analogi. Bayangkan bahwa sampai tahun 1999 orang tidak diizinkan naik pesawat dengan barang bawaan, dan pada tahun 1999, berdasarkan keputusan resmi otoritas pengawas, penumpang diizinkan untuk mengambil tas di kapal (dengan berat dan ukuran tertentu). Cukup nyaman, bukan? Anda dapat membawa banyak hal berguna.
Bayangkan saja sekarang bahwa pada tahun 2019 masih ada pesawat terbang yang tidak dapat dibawa dengan tas, dan sampai naik pesawat Anda tidak memiliki cara untuk mengetahui apakah Anda dapat membawa barang bawaan dengan Anda.
Ini kira-kira terjadi dengan
ekstensi EDNS , kurangnya dukungan yang sejak 1 Februari akan menyebabkan tidak dapat diaksesnya sejumlah situs web. Secara kasar, pada bulan Februari, karena ulang tahun keduapuluh dari
standar EDNS pertama , pesawat terbang yang tidak tahu cara membawa bagasi (setidaknya minimal) tidak akan lagi diizinkan masuk ke sejumlah bandara.
Pengumuman tentang ini dikeluarkan cukup baik sebelumnya: pada bulan Maret-Mei 2018, penyelenggara utama Hari Bendera DNS menginformasikan kepada publik di
sejumlah konferensi industri populer . Selain itu, rilis versi terbaru dari server DNS tidak akan langsung menimbulkan masalah, karena operator masih harus beralih ke versi ini, dan ini membutuhkan waktu. Tetapi, lebih penting lagi, sejumlah penyedia layanan DNS berbasis cloud juga telah bergabung dengan DNS Flag Day. Ini termasuk raksasa seperti Google (dan server DNS terkenal mereka dengan alamat IP 8.8.8.8), Cloudflare, Facebook dan Cisco.
Akibatnya, situs yang menggunakan server DNS tanpa dukungan EDNS (yaitu, "pesawat terbang" yang tidak tahu cara "membawa bagasi di atas kapal") akan berhenti bekerja untuk semua orang yang menggunakan server DNS terbuka 8.8.8.8, 9.9.9.9 dari 1 Februari, 1.1.1.1 dan beberapa lainnya. Ketika penyedia DNS meningkatkan ISP mereka, daftar akan bertambah.
Keunikan dari fungsi server DNS dalam infrastruktur perusahaan adalah bahwa ia biasanya tidak meminta, ia bekerja untuk dirinya sendiri dan bekerja, oleh karena itu, sering tidak pernah diperbarui oleh siapa pun. Administrator sistem dari sekolah lama bahkan
senang bangga dengan uptime jangka panjang dari mesin tersebut. Masalahnya adalah bahwa ketika diperlukan untuk memutakhirkan, ternyata untuk ini Anda perlu, misalnya, juga untuk beralih dari FreeBSD 5 ke FreeBSD 10 (kasus sebenarnya), yang, di antara masalah lain, akan memerlukan reboot, dan dari reboot server lama sudah mungkin tidak keluar.
Hal yang paling tidak menyenangkan adalah bahwa solusi untuk masalah dalam kasus umum tidak muncul hanya dengan memperbarui server DNS. Beberapa organisasi menggunakan firewall (baik perangkat lunak dan perangkat keras-perangkat lunak) yang memaksa semua paket DNS dengan fungsi EDNS untuk secara paksa dijatuhkan. Di antara hal-hal lain, model Juniper SRX lama terlibat dalam hal ini, tetapi masalahnya tidak terbatas pada mereka. Pada prinsipnya, jika kita berbicara tentang firewall dan solusi DPI secara umum, tingkat kualitas pengembangan yang agak rendah dari sejumlah solusi tersebut telah lama diketahui. Bertahun-tahun, para pengembang protokol DNS menderita dari masalah yang disebabkan secara objektif, dan sekarang mereka telah memutuskan untuk menyerang balik.
Tetapi memperbarui solusi semacam itu mungkin membutuhkan waktu yang lama, dan dalam beberapa kasus mungkin perlu membuang peralatan yang dulu mahal di tempat sampah dan mendapatkan yang baru, yang akan menyebabkan banyak kesulitan, misalnya, dalam kerangka siklus anggaran Rusia (terutama jika peralatan yang dibuang diproduksi di di luar negeri, dan tidak ada lagi kesempatan untuk membeli asing dari suatu organisasi karena satu dan lain hal - keuangan, politik, ideologis)
Jadi bagi mereka yang memiliki masalah ini, saatnya untuk mulai menyelesaikannya. Perhatikan bahwa solusi langsung hanya memerlukan masalah yang ditampilkan oleh
alat verifikasi yang sesuai dengan "STOP" atau "PERLAHAN" merah. Tanda seru pada segitiga kuning hanya peringatan sejauh ini dan 1 Februari tidak akan menimbulkan masalah (meskipun dalam jangka panjang masalah ini perlu diperbaiki).
Lalu apa?
Pertama, Hari Bendera DNS tidak boleh memancing kataklikos yang signifikan.
Dalam berbagai diskusi, orang dapat mendengar kritik terhadap
jabatan asli Alexei Lukatsky di Habré: mereka mengatakan bahwa penulisnya mengambil nada yang terlalu mengkhawatirkan. Namun demikian, orang tidak dapat gagal untuk memperhatikan bahwa Aleksey adalah orang yang sangat tahu bagaimana infrastruktur jaringan organisasi besar Rusia dan lembaga negara terkait dan peralatan apa yang terhubung. Menurut penelitian, hasil yang, tampaknya,
tersedia untuk .RU dan. Pusat Koordinasi Domain, masalah yang, sebelum posting Lukatsky didaftarkan di sejumlah situs terkenal, hari ini sudah muncul dalam jumlah jejak, mis., Entri blog di Cisco (dan catatan selanjutnya, katakanlah, di blog
Roskomsvoboda ) memiliki efek yang diinginkan.
Namun, keberhasilan Hari Bendera DNS jelas akan menimbulkan konsekuensi, yang utamanya adalah bahwa tindakan tersebut akan terus berlanjut di masa depan. Masih ada
banyak tempat dalam sistem DNS yang ingin dikembangkan pengembang secepat mungkin; selain itu, DNS bukan satu-satunya protokol di mana ada sesuatu untuk diuraikan. Contoh dengan atribut BGP 0xFF, yang akan kita bahas dalam artikel berikutnya, dengan jelas menunjukkan: kadang-kadang vaksin berguna untuk Internet.
Itu, sampai saat ini, meninggalkan administrator sistem dengan dilema yang agak ambigu:
- Atau, administrator server DNS harus memantau kehidupan komunitas Internet, khususnya, berita komunitas profesional pengembang DNS, dan, khususnya, memperhatikan dan memperbarui server;
- Atau pengelolaan zona domain Anda sendiri harus ditransfer ke penyedia pihak ketiga yang berspesialisasi dalam pekerjaan tersebut (yang pada prinsipnya ada banyak orang di dunia).
Namun, kami juga akan kembali ke topik ini.