TL; DR: mulai Februari 2020, server DNS yang tidak mendukung pemrosesan kueri DNS melalui UDP dan TCP mungkin berhenti bekerja.Ini adalah kelanjutan dari posting "Apa yang akan terjadi pada 1 Februari?" tertanggal 24 Januari 2019. Pembaca didorong untuk segera membiasakan diri dengan bagian pertama cerita untuk memahami konteksnya.
Bangkok, secara umum, adalah tempat yang amatir. Tentu saja, itu hangat, murah, dan masakannya menarik, dan
Anda tidak perlu mendapatkan visa untuk setengah dari populasi Bumi
terlebih dahulu , tetapi Anda masih harus terbiasa dengan aroma, dan jalan-jalan kota membuat Anda mengingat klasik cyberpunk yang terbaik.
Secara khusus, lanskap di sebelah kiri diamati di dekat pusat ibu kota Thailand, di seberang jalan dari Shangri-La Hotel, di mana pertemuan ke-30 DNS-OARC, sebuah organisasi nirlaba yang didedikasikan untuk keamanan, stabilitas dan pengembangan sistem nama domain DNS, diadakan pada 12-13 Mei .
Slide dari program DNS-OARC 30 pada prinsipnya direkomendasikan untuk dipelajari oleh semua orang yang tertarik dalam pengoperasian DNS, tetapi hal yang paling menarik mungkin adalah sesuatu yang tidak ada dalam slide. Yakni, meja bundar 45 menit membahas hasil Hari Bendera DNS pada 1 Februari 2019.
Dan hal yang paling menarik di meja bundar adalah keputusan bahwa
praktik Hari Bendera DNS akan dilanjutkan .
Masalah, petugas?
Berbagai
penelitian telah menunjukkan bahwa efek Hari Bendera DNS pertama diminimalkan. Ya, bagi sebagian orang, proses adaptasi
bisa menjadi menyakitkan , tetapi pada akhirnya, hampir semua server DNS yang ketinggalan jaman diperbarui, dan firewall yang tidak dikonfigurasi dengan benar dikonfigurasikan dengan benar.
Karenanya, penyelenggara Hari Bendera menganggap insiden itu sebagai kemenangan besar dan, yang terinspirasi oleh kesuksesan, tidak akan berhenti di situ.
Roundtable membahas
tugas -
tugas berikut yang dapat dilakukan “hari-hari bendera” yang akan datang:
- Dukungan untuk merekonsiliasi versi EDNS pada server DNS publik;
- Dukungan untuk RANDOMISASI karakter huruf besar dan kecil dalam permintaan DNS untuk meningkatkan entropi yang terkandung dalam pertanyaan dan tanggapan;
- Dukungan untuk DNS melalui TCP pada server DNS (baik otoritatif dan rekursif);
- Implementasi RFC 8020 , yang menginstruksikan resolver rekursif untuk berhenti mengakses domain dan semua subdomainnya jika respons dari tipe NXDOMAIN diterima;
- Kurangnya dukungan untuk IPv6, dll.
Pada akhirnya, sebuah keputusan dibuat, yang diumumkan pada pertemuan pleno
RIPE 78 bersamaan dengan penerbitan posting ini.
Sekali lagi: mulai bulan Februari 2020, server DNS yang tidak mendukung pemrosesan permintaan DNS baik melalui UDP maupun melalui TCP dapat berhenti berfungsi.
Namun, tanggal tertentu belum ditentukan. Kemungkinan besar, itu akan 1 Februari, tetapi hari itu bisa diubah. Namun, menurut penyelenggara DNS Flag Day 2020 (dan ini adalah individu dan perusahaan yang sama dengan tahun ini), sembilan bulan untuk mengimplementasikan dukungan TCP dalam instalasi DNS yang ada sudah cukup, sehingga tidak masuk akal untuk menunda acara tersebut.
Lebih dari tcp
Hari ini, TCP dalam DNS umumnya didukung.
Pengoperasian sistem nama domain menggunakan TCP diperlukan karena sejumlah alasan:
- Pengiriman respons lebih besar dari jalur MTU , tanpa menggunakan fragmentasi IP yang tidak dapat diandalkan ;
- Dukungan DNSSEC;
- Berjuang melawan serangan DDoS, dll.
Di sisi klien, DNS over TCP telah lama didukung oleh hampir semua penyelesai rintisan, termasuk Windows.
Bahkan, DNS over TCP belum menjadi opsional untuk waktu yang sangat lama. Seperti
dicatat oleh Mark Andrews, pengembang server Bind DNS,
RFC 1123 (diterbitkan pada tahun 1989) memungkinkan server untuk tidak menangani permintaan DNS dan tanggapan atas TCP hanya jika operator server memahami konsekuensinya dengan baik dan mampu mendukung fungsionalitas penuh protokol DNS tanpa TCP. Sampai saat ini, yang terakhir tidak mungkin.
Analisis 34 juta domain dari 59
TLD menunjukkan bahwa persyaratan untuk menggunakan TCP sekarang menyebabkan masalah di sekitar 7% domain. Sebagai perbandingan, pada November 2018 - 3 bulan sebelum Hari Bendera DNS pertama - masalah dengan EDNS memiliki 5,68% dari situs yang diuji.
Dari 7% ini:
- 90% dari masalah terhubung dengan pekerjaan server otoritatif dari 10 perusahaan;
- 68% masalah dikunci di server satu perusahaan tunggal - operator Cina Hichina;
- Bersama dengan penyedia Cina bermasalah lainnya - AliDNS dan Xinnet - bagian ini sudah 72%;
- Setengah dari daftar juga memiliki masalah dengan EDNS pada November 2018, tetapi berhasil menyelesaikannya.
Penyelenggara Flag Day telah mencapai konsensus bahwa ribuan operator yang membentuk komunitas DNS tidak boleh lagi membayar dukungan kruk untuk beberapa lusin perusahaan yang tidak memperbarui server mereka.
Poin penting, seperti terakhir kali, konsekuensinya tidak hanya bagi pemilik server DNS, tetapi juga untuk administrator jaringan yang memblokir akses ke port 53 / TCP pada firewall.
Pada Februari 2020, akses pada port 53 / TCP ke server DNS akan berfungsi .
Lalu apa?
Tentu saja, penyelenggara Flag Day akan memperbarui
situs mereka dan menambahkan informasi tentang DNS Flag Day 2020 dan utilitas untuk memeriksa semua domain untuk kompatibilitas dengan persyaratan 2020.
Jangan lupa untuk melakukan pemeriksaan seperti itu sebelum akhir tahun untuk memastikan bahwa Anda tidak akan mengalami masalah.
Libor Peltan dari CZ.NIC akan berbicara secara rinci tentang rencana DNS Flag Day 2020 pada
pertemuan mendatang
kelompok operator jaringan Eurasia ENOG di Tbilisi pada 3-4 Juni. Siaran dengan terjemahan ke dalam bahasa Rusia akan tersedia secara real time di situs, di tempat yang sama (dan di obrolan Telegram
ENOG Talk ) Anda dapat mengajukan pertanyaan.
Anda juga dapat mengikuti apa yang terjadi
di Twitter .
DNS Flag Day 2021 akan direncanakan, kemungkinan besar, pada jadwal yang sama, dimulai dengan DNS-OARC 32 pada musim semi 2020. Aplikasi untuk kruk yang seharusnya sudah terkubur lama diterima dan dikumpulkan
di Github .