当然,这并不是
关于哈布雷的一个问题的
首次讨论 。 但是,到目前为止,主要讨论了后果,而在我们看来,根本原因更加有趣。
因此,
DNS卖旗日定于2月1日。 此事件的影响将逐渐发生,但仍比某些公司能够适应的速度更快。
这是什么 简单来说,这是全球主要DNS服务器开发人员的宣言:CZ.NIC,ISC,NLnet Labs和PowerDNS。
DNS软件制造商长期以来一直存在一个问题:开发域名系统,添加客户所需的新功能,解决安全问题-由于DNS系统的协作结构以及需要支持实现旧协议版本的古旧服务器(以及即使这样做通常都会出错)。
特殊情况
根据
DNS协议标准目录 ,截至2018年1月21日,当前规范包含3248页。 它们包括处于
“互联网标准” ,
“拟议标准” (今天基本上相同),
“当前最佳实践”和
“信息性”状态的所有相关RFC。 为了进行比较:HTTP协议为Internet上的所有网站提供了内容传递,总共描述了672页。
俗话说,如果您的项目的职责范围不是那样的话,甚至不要尝试邀请我。
实现3,000页上描述的所有功能和异常的处理本身是一项艰巨的工作,此外,许多DNS服务器错误地实现了该功能或该功能,这导致需要额外处理非标准行为。 在某些上述RFC中,使用该协议的绝望者不胜枚举,
甚至连名字中也有 。
据主要的DNS开发人员称,程序代码复杂的情况已经严重到足以采取严厉措施的程度。 2月1日,作为一项协调行动的一部分,将发布所有主要DNS服务器的更新版本,其中永久终止对某些错误行为的支持。
还有更详细的信息吗?
为了解释确切地将不再支持的内容,我将举一个类比。 想象一下,直到1999年才允许人们带着行李登机,而在1999年,根据监管当局的一项正式决定,允许旅客携带(一定重量和大小)的行李。 足够舒适吧? 您可以携带很多有用的东西。
现在想象一下,2019年仍然有无法携带行李的飞机,直到登机,您才无法找到是否可以携带行李的方法。
EDNS扩展大致就是这种情况,自2月1日起缺乏支持将导致许多网站无法访问。 粗略地说,在2月份,由于
第一个EDNS标准的20周年纪念日,那些不知道如何携带行李(至少很少)的飞机将不再被允许进入许多机场。
有关此事的公告已经提前发布得足够好:2018年3月至5月,DNS卖旗日的主要组织者在
许多受欢迎的行业会议上通知了公众。 此外,仅发行DNS服务器的更新版本不会立即导致问题,因为运营商仍然必须切换到这些版本,这需要时间。 但是,更重要的是,许多基于云的DNS服务提供商也加入了DNS卖旗日。 其中包括Google(及其IP地址为8.8.8.8的著名DNS服务器),Cloudflare,Facebook和Cisco等巨头。
结果,从2月1日起,使用不支持EDNS的DNS服务器(即不知道如何“随身携带行李”的“飞机”)的站点将停止为所有使用开放DNS服务器8.8.8.8、9.9.9.9的用户服务。 1.1.1.1和其他几个。 随着DNS提供商升级其ISP,该列表将会增加。
公司基础结构中DNS服务器功能的特殊之处在于,它通常不询问,自身运行并起作用,因此,通常永远不会有人对其进行更新。 老派的系统管理员甚至
喜欢为此类机器的长期正常运行而
感到自豪 。 问题是,当有必要进行升级时,事实证明,为此,例如,您还需要从FreeBSD 5切换到FreeBSD 10(实际情况),除其他麻烦外,还需要重新启动,并且从重新启动中旧服务器已经存在。可能根本就不出去。
最不愉快的是,一般情况下该问题的解决方案不能归结为仅更新DNS服务器。 一些组织使用防火墙(包括软件和硬件软件)强制删除所有具有EDNS功能的DNS数据包。 除其他事项外,旧的Juniper SRX型号也参与了此工作,但此事绝不仅限于此。 原则上,如果我们通常谈论防火墙和DPI解决方案,则许多此类解决方案的开发质量水平一直很低。 这些年来,DNS协议的开发人员遭受了客观造成的问题,现在他们决定反击。
但是更新此类解决方案可能需要花费相当长的时间,在某些情况下,可能有必要将曾经昂贵的设备扔进垃圾箱并购买新设备,这将造成许多困难,例如,在俄罗斯预算周期的框架内(尤其是如果废弃设备是在俄罗斯制造的,在国外,就没有更多的机会从一个或多个原因(财务,政治,意识形态)向某个组织购买外国资金。
因此,对于那些有此问题的人,是时候开始解决它了。 请注意,立即解决方案仅需要
相应的验证工具以红色“ STOP”或“ SLOW”显示的那些问题。 到目前为止,黄色三角形中的感叹号只是一个警告,2月1日不会造成问题(尽管从长远来看,这个问题需要解决)。
然后呢?
首先,DNS卖旗日不应该引起任何重大的灾难。
在各种讨论中,您可以听到对阿列克谢·卢卡茨基
( Alexei Lukatsky)在哈布雷(Habré)上的
原始文章的批评:他们说,作者采取了过于危言耸听的语气。 然而,人们不禁会注意到Aleksey是非常了解大型俄罗斯组织和国家机构的网络基础设施是如何连接以及连接什么设备的人。 根据这项研究,其结果显然
可以提供给 .RU和.域协调中心。在Lukatsky的帖子在许多知名站点注册之前,今天的问题已经出现了,例如在Cisco上的博客条目(以及随后的注释,例如在
Roskomsvoboda博客上)具有预期的效果。
但是,DNS卖旗日的成功显然会导致后果,主要的原因之一是此类行动将来还会继续。 DNS系统中仍有
许多地方 ,开发人员希望尽快扩展。 此外,DNS并不是唯一可以解析某些内容的协议。 我们将在下一篇文章中讨论的带有BGP属性0xFF的示例清楚地表明:有时该疫苗对Internet有用。
迄今为止,这给系统管理员带来了一个相当明确的难题:
- 或者,DNS服务器的管理员必须监视Internet社区的生活,尤其是DNS开发人员专业社区的新闻,并且尤其要注意服务器更新的时间和精力;
- 或者,您应将自己的域区域的管理移交给专门从事此类工作的第三方提供商(原则上,世界上有很多人)。
但是,我们也可能会回到该主题。