Apa yang akan terjadi pada 1 Februari 2020?

TL; DR: mulai Februari 2020, server DNS yang tidak mendukung DNS baik melalui UDP dan TCP dapat berhenti bekerja.

Bangkok, secara umum, adalah tempat yang aneh untuk tinggal. Tentu saja, di sana hangat, agak murah dan beberapa mungkin menemukan masakan menarik, bersama dengan fakta bahwa sekitar setengah dari populasi dunia tidak perlu mengajukan permohonan visa terlebih dahulu untuk sampai ke sana. Namun, Anda masih harus membiasakan diri dengan aroma, dan jalan-jalan kota lebih banyak menampilkan adegan cyberpunk.

Secara khusus, foto di sebelah kiri diambil tidak jauh dari pusat ibu kota Thailand, satu jalan dari hotel Shangri-La, tempat pertemuan organisasi DNS-OARC ke-30 berlangsung pada 12 dan 13 Mei. organisasi nirlaba yang didedikasikan untuk keamanan, stabilitas, dan pengembangan keseluruhan DNS - Sistem Nama Domain.

Slide dari pertemuan DNS-OARC 30 direkomendasikan untuk semua orang yang tertarik dengan cara kerja DNS, meskipun mungkin yang paling menarik adalah apa yang tidak ada dalam slide tersebut. Yakni, meja bundar 45 menit dengan diskusi seputar hasil DNS Flag Day 2019 , yang terjadi pada 1 Februari 2019.

Dan, hasil paling mengesankan dari sebuah meja bundar adalah keputusan untuk mengulangi Hari Bendera DNS sekali lagi .

Masalah, petugas?

Seperti yang ditunjukkan oleh berbagai penelitian , efek negatif DNS Flag Day diabaikan. Mungkin bagi seseorang proses adaptasi bisa jadi menyakitkan, tetapi pada akhirnya, hampir semua server DNS yang ketinggalan jaman diperbarui dan firewall yang dikonfigurasi dengan salah diperbaiki.

Sesuai dengan tindakan seperti itu, penyelenggara Hari Bendera DNS memandang apa yang telah terjadi sebagai kemenangan besar dan, terinspirasi oleh keberhasilan, tidak berencana untuk berhenti.

Di meja bundar, banyak tugas dibahas bahwa "hari-hari bendera" yang akan datang dapat membantu menyelesaikan:

• Dukungan untuk negosiasi versi EDNS pada server DNS publik;
• Dukungan untuk RaNdOmIzAtIoN dari modal dan huruf kecil dalam permintaan DNS untuk meningkatkan entropi yang terkandung dalam permintaan dan tanggapan;
• Dukungan DNS over TCP pada server DNS (baik otoritatif dan rekursif);
• Implementasi RFC 8020 , yang menginstruksikan resolver rekursif untuk berhenti quering domain dan semua subdomainnya jika mereka menerima respons tipe NXDOMAIN;
• Dukungan IPv6 dll.

Pada akhirnya, ada keputusan yang dibuat pada pertemuan RIPE 78 minggu ini. Sekali lagi: mulai Februari 2020, server DNS yang tidak mendukung pemrosesan kueri DNS berbasis UDP dan TCP dapat berhenti berfungsi.

Namun hari yang tepat, belum ditentukan. Kemungkinan besar tanggal 1 Februari, tahun 2020, tetapi tanggal pastinya masih dapat sedikit berubah. Namun, menurut penyelenggara Hari Bendera DNS 2020 (organisasi dan individu yang hampir sama dengan Hari Bendera pertama), sembilan bulan sudah cukup untuk memastikan dukungan TCP dalam pemasangan DNS yang ada, sehingga tidak ada alasan untuk menunda acara tersebut.

Lebih dari tcp

Saat ini, DNS over TCP, umumnya, didukung di Internet.

Operasi Sistem Nama Domain melalui TCP diperlukan untuk menangani beberapa kasus penting:

1. Pengiriman respons dengan ukuran melebihi jalur MTU , tanpa menggunakan fragmentasi IP yang umumnya tidak dapat diandalkan ;
2. Dukungan DNSSEC;
3. Memerangi serangan DDoS;
4. Dll

Di sisi klien (rintisan penyelesai) , DNS over TCP telah didukung untuk waktu yang cukup lama hampir di mana-mana, termasuk Windows.

DNS over TCP telah lama, pada kenyataannya, wajib. Sebagai Mark Andrews, pengembang server DNS Bind, mencatat , RFC 1123 (diterbitkan pada tahun 1989) memungkinkan untuk menangani permintaan DNS dan tanggapan atas UDP hanya jika operator server sangat menyadari konsekuensinya dan mampu mempertahankan fungsionalitas penuh protokol DNS. tanpa TCP. Saat ini, yang terakhir pada dasarnya tidak mungkin.

Analisis terhadap 34 juta domain dari 59 TLD membuktikan bahwa persyaratan untuk menggunakan TCP menyebabkan masalah bagi sekitar 7% domain. Sebagai perbandingan, pada November 2018 - tiga bulan sebelum Hari Bendera DNS 2019 - 5,68% dari situs yang diuji masih memiliki masalah EDNS.

Dari 7% tersebut:

• 90% masalah terkait dengan pekerjaan server otoritatif dari 10 perusahaan;
• 68% masalah ini dikunci di server satu perusahaan - ISP Cina Hichina;
• Bersama dengan penyedia Cina lainnya - AliDNS dan Xinnet, bagian ini naik menjadi 72%;
• Setengah dari nama-nama dalam daftar juga memiliki masalah dengan EDNS pada bulan November 2018, meskipun berhasil diselesaikan pada saat itu.

Penyelenggara Flag Day telah mencapai konsensus bahwa ribuan ISP dan operator DNS yang membentuk komunitas DNS seharusnya tidak lagi membayar untuk solusi untuk menguntungkan beberapa lusin perusahaan yang tidak memperbarui server mereka.

Selain itu, titik kritis, sama seperti terakhir kali, adalah bahwa konsekuensinya berlaku tidak hanya untuk pemilik server DNS, tetapi juga untuk administrator jaringan, jika mereka memblokir akses ke port 53 / TCP pada firewall mereka.
Pada Februari 2020, akses melalui port 53 / TCP ke server DNS harus berfungsi.

Apa selanjutnya

Yang pasti, penyelenggara Flag Day akan memperbarui situs web mereka dan menambahkan informasi dan alat DNS Flag Day 2020 untuk memeriksa domain apa pun yang memenuhi persyaratan 2020.

Jangan lupa untuk melakukan cek seperti itu sebelum akhir tahun ini, untuk memastikan bahwa Anda tidak memiliki masalah.

DNS Flag Day 2020 dibahas selama pertemuan RIPE 78 di Reykjavík, berikut adalah slide-nya , inilah videonya .

Anda juga dapat mengikuti apa yang terjadi dengan Twitter .

DNS Flag Day 2021 kemungkinan besar akan direncanakan pada jadwal yang sama, dimulai dengan DNS-OARC 32 pada musim semi tahun 2020. Aplikasi untuk solusi dan perbaikan, yang seharusnya sudah dikubur sejak lama, diterima dan dikumpulkan di GitHub .