TL; DR:从2020年2月开始,同时不支持UDP和TCP的DNS的DNS服务器可能会停止工作。
一般来说,曼谷是一个陌生的地方。 当然,那里很温暖,价格便宜,有些人可能会觉得美食很有趣,而且世界上约有一半的人口
不需要提前申请签证即可到达那里。 但是,您仍然需要熟悉气味,城市街道比其他任何事物都在投射赛博朋克场景。
特别是,左图是在距泰国香格里拉大酒店一街之遥的泰国首都城市中心拍摄的,该酒店于5月12日至13日举行了第30届DNS-OARC组织会议。一个致力于DNS的安全性,稳定性和整体开发的非营利组织-域名系统。
对于所有对DNS的工作方式感兴趣的人,都建议使用
DNS-OARC 30会议的幻灯片 ,尽管最有趣的是这些幻灯片中没有的内容。 即,一个45分钟的圆桌会议讨论了
2019年2月1日发生的
DNS Flag Day 2019的结果。
而且,圆桌会议最令人印象深刻的结果是
决定再次重复DNS卖旗日 。
有问题吗,军官?
如各种
研究所示,DNS卖旗日的负面影响可以忽略不计。 对于某人来说,适应过程可能会很痛苦,但是最后,几乎所有过时的DNS服务器都已更新,并且错误配置了防火墙。
根据这样的行动方针,DNS卖旗日组织者认为发生的事情是巨大的胜利,并且在成功的鼓舞下,他们并没有计划停止。
在圆桌会议上,讨论了
许多任务 ,即将到来的“标志日”可以帮助完成:
- 支持公共DNS服务器上的EDNS版本协商 ;
- 在DNS查询中支持大写和小写字母的RaNdOmIzAtIoN,以增加请求和响应中包含的熵;
- DNS服务器上的基于TCP的DNS支持(权威和递归);
- RFC 8020的实现,该方法指示递归解析器在收到NXDOMAIN类型的响应时停止查询域及其所有子域;
- IPv6支持等
最终,在本周的
RIPE 78会议上做出了决定。 再一次:从2020年2月开始,不支持处理基于UDP和基于TCP的DNS查询的DNS服务器可能会停止工作。
但是,尚未确定确切的日期。 最有可能是2020年2月1日,但确切日期仍可能会有所更改。 尽管如此,根据2020年DNS卖旗日的组织者(与第一个卖旗日几乎相同的组织和个人),九个月的时间足以确保现有DNS安装中的TCP支持,因此没有理由推迟该活动。
通过TCP
如今,Internet上通常已支持基于TCP的DNS。
需要通过TCP进行域名系统操作来处理几种重要情况:
- 传递大小超过路径MTU的响应,而不使用通常不可靠的 IP分段;
- DNSSEC支持;
- 对抗DDoS攻击;
- 等等
在客户端
(存根解析器)端,TCP上的DNS已被支持很长时间了,包括Windows在内的几乎所有地方都已支持。
实际上,基于TCP的DNS长期以来一直是强制性的。 正如Bind DNS服务器开发人员Mark Andrews所
指出的那样 ,
RFC 1123 (于1989年发布)仅在服务器操作员充分了解后果并能够维护DNS协议的全部功能时才允许通过UDP处理DNS查询和响应。没有TCP。 如今,后者基本上是不可能的。
对59个
TLD中的3,400万个域进行的分析表明,很明显,使用TCP的要求导致大约7%的域出现问题。 相比之下,在2018年11月-2019年DNS国旗日的前三个月-5.68%的受测试站点仍存在EDNS问题。
在这些7%中:
- 90%的问题与10家公司的权威服务器的工作有关;
- 68%的问题锁定在单个公司 (中国ISP Hichina)的服务器上 ;
- 与其他中国提供商-AliDNS和Xinnet一起,这一份额上升到72%;
- 名单上的一半名称在2018年11月也遇到了EDNS的问题,尽管大约在一次成功地解决了它们。
卖旗日组织者已经达成共识,组成DNS社区的成千上万的ISP和DNS运营商不应再为变通方案付费,以使数十家未更新其服务器的公司受益。
而且,关键点是,就像上次一样,后果是不仅影响DNS服务器的所有者,而且如果网络管理员阻止对防火墙上的端口53 / TCP的访问,也适用于网络管理员。
到2020年2月,必须能够通过端口53 / TCP访问DNS服务器。
接下来是什么?
可以肯定的是,卖旗日组织者将更新
其网站,并添加2020年DNS卖旗日信息和工具,以检查所有域是否符合2020年要求。
不要忘了在今年年底之前进行这样的检查,以确保您不会有任何问题。
在雷克雅未克举行的RIPE 78会议期间讨论了2020年DNS国旗日,这是
幻灯片 ,这
是视频 。
您还可以关注
Twitter的情况 。
从2020年春季的DNS-OARC 32开始,最有可能计划以类似的时间表计划2021年的DNS国旗纪念日。应该在很早以前就埋葬的变通办法和修补程序申请已
在GitHub上接受并收集。