TL; DR:从2020年2月开始,不支持通过UDP和TCP处理DNS查询的DNS服务器可能会停止工作。这是“ 2月1日将会发生什么?”帖子的延续。 日期为2019年1月24日。鼓励读者快速熟悉故事的第一部分,以了解上下文。
一般来说,曼谷是一个业余场所。 当然,它温暖,便宜,而且美食也很有趣,
您不需要提前获得地球一半人口的签证,但是您仍然需要习惯气味,城市街道让您充其量可以回忆起朋克朋克的经典之作。
特别是,在泰国首都中心附近香格里拉大酒店的一条街上观察到左面的景观,5月12日至13日在第30届会议上专门讨论了DNS-OARC,这是一个致力于DNS域名系统的安全性,稳定性和发展性的非营利组织。 。
原则上,建议对DNS操作感兴趣的每个人研究
DNS-OARC 30程序的幻灯片 ,但最有趣的事情也许是幻灯片中没有的内容。 即,一个45分钟的圆桌会议讨论了2019年2月1日DNS卖旗日的结果。
圆桌会议上最有趣的事情是
将继续实施DNS卖旗日的决定。
有问题吗,军官?
各种
研究表明,第一个DNS卖旗日的影响已降至最低。 是的,对于某些人来说,适应过程
可能会很痛苦 ,但是最后,几乎所有过时的DNS服务器都进行了更新,并且正确配置了错误配置的防火墙。
因此,卖旗日的组织者认为这一事件是一次巨大的胜利,并在成功的鼓舞下不会停止在那儿。
圆桌会议讨论了以下即将到来的“卖旗日”可以帮助完成的任务:
- 支持协调公共DNS服务器上的EDNS版本 ;
- 支持在DNS查询中对大小写字符进行随机化, 以增加查询和响应中包含的熵 ;
- 支持DNS服务器上的TCP上的DNS(权威和递归);
- RFC 8020的实现,如果收到NXDOMAIN类型的响应,则指示递归解析器停止访问该域及其所有子域;
- 缺乏对IPv6等的支持
最终做出了决定,在
RIPE 78全体会议上宣布了这一决定,同时发布了该帖子。
再次:从2020年2月开始,不支持通过UDP和TCP都无法处理DNS查询的DNS服务器。
但是,具体日期尚未确定。 最有可能的是2月1日,但是日期可以更改。 但是,根据2020年DNS国旗日的组织者(与今年相同的个人和公司),九个月的时间在现有DNS安装中实施TCP支持已经足够,因此推迟该活动几乎没有任何意义。
通过TCP
今天,DNS通常被支持。
由于多种原因,需要使用TCP的域名系统的操作:
- 传递的响应大于路径MTU ,而不使用不可靠的 IP分段;
- DNSSEC支持;
- 对抗DDoS攻击等
在客户端,几乎包括Windows在内的几乎所有存根解析器都支持TCP上的DNS。
实际上,很长一段时间以来,TCP上的DNS都不是可选的。 正如Bind DNS服务器的开发者
RFC 1123 (于1989年发布)马克·安德鲁斯
( Mark Andrews)所
指出的那样,仅当服务器操作员充分理解后果并能够在没有TCP的情况下支持DNS协议的全部功能时,服务器才可以通过TCP处理DNS查询和响应。 迄今为止,后者根本是不可能的。
对59个
TLD中的3400万个域进行的分析表明,使用TCP的要求现在导致大约7%的域出现问题。 为了进行比较,在2018年11月-第一个DNS卖旗日的前三个月-EDNS的问题测试了5.68%的网站。
在这些7%中:
- 90%的问题与10家公司的权威服务器有关;
- 68%的问题被锁定在一家单一公司的服务器上-中国运营商Hichina;
- 连同其他有问题的中国提供商-AliDNS和Xinnet-这个份额已经是72%;
- 名单的一半在2018年11月也遇到了EDNS问题,但成功解决了这些问题。
卖旗日组织者已经达成共识,组成DNS社区的成千上万的运营商不应再为不升级服务器的数十家公司支付拐杖支持。
重要的一点是,最后一次后果不仅会给DNS服务器的所有者带来,还可能导致网络管理员阻止对防火墙上的端口53 / TCP的访问。
到2020年2月,应该可以在端口53 / TCP上访问DNS服务器 。
然后呢?
当然,卖旗日组织者将更新
其站点,并添加有关2020年DNS卖旗日和实用程序的信息,以检查任何域与2020年要求的兼容性。
不要忘了在年底之前进行这种检查,以确保您不会遇到任何问题。
来自CZ.NIC的Libor Peltan将在即将于6月3-4日
在第比利斯举行的欧亚网络运营商ENOG网络小组会议上详细讨论2020年DNS国旗日计划。 在您可以提出问题的同一位置(以及在Telegram聊天
ENOG Talk中 ),可以在网站上实时获得翻译成俄语的广播。
您还可以关注
Twitter上的活动 。
DNS旗标日2021很有可能会以类似的时间表进行计划,从2020年春季的DNS-OARC 32开始。 应该早就被埋葬的拐杖的申请已
在Github上接受并收集。