- PVSM.RU - https://www.pvsm.ru -
TL;DR: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать.
Это продолжение поста «Что-что случится 1 февраля?» [1] от 24 января 2019 г. Читателю рекомендуется бегло ознакомиться с первой частью истории, дабы понимать контекст.
Бангкок, вообще, место на любителя. Конечно, там тепло, дёшево, и кухня интересная, и визы половине населения Земли туда не нужно получать заблаговременно [2], однако к запахам надо ещё привыкнуть, а городские улицы заставляют в лучшем случае вспомнить классику киберпанка.
В частности, пейзаж слева наблюдается недалеко от центра столицы Таиланда, через одну улицу от отеля Shangri-La, где 12-13 мая прошло 30-е собрание организации DNS-OARC, некоммерческой организации, занимающейся вопросами безопасности, стабильности и развития системы доменных имён DNS.
Слайды из программы DNS-OARC 30 [3] в принципе рекомендуются в целом к изучению всем, кого интересует работа DNS, однако самое, пожалуй, интересное — это то, чего в слайдах не было. А именно, 45-минутный круглый стол с обсуждением результатов DNS Flag Day, случившегося [1] 1 февраля 2019 года.
А самое интересное в круглом столе — решение, что практика DNS Flag Day [4] будет продолжена.
Как показывают разнообразные исследования [5], эффект первого DNS Flag Day свёлся к минимуму. Да, для кого-то процесс адаптации мог стать болезненным [6], но в конечном счёте практически все устаревшие DNS-серверы были обновлены, а некорректно настроенные файрволлы — настроены корректно.
Соответственно, организаторы Flag Day воспринимают произошедшее как большую победу и, окрылённые успехом, не собираются останавливаться на достигнутом.
В рамках круглого стола обсуждались следующие задачи [7], которые грядущие «дни флага» могут помочь выполнить:
В конечном счёте, принято решение, которое было оглашено на пленарном заседании RIPE 78 [11]одновременно с публикацией данного поста.
Повторимся: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать.
Конкретная дата, впрочем, ещё не определена. Скорее всего, это будет 1 февраля, однако день может быть изменен. Впрочем, по мнению организаторов DNS Flag Day 2020 (а это те же лица и компании, что и в этом году), девяти месяцев на реализацию поддержки TCP в существующих DNS-инсталляциях вполне достаточно, поэтому откладывать событие вряд ли имеет смысл.
На сегодняшний день TCP в DNS в целом поддерживается.
Работа системы доменных имён с использованием TCP нужна по целому ряду причин:
С клиентской стороны DNS over TCP поддерживается уже давно практически любым stub resolver'ом, включая Windows.
В сущности, DNS over TCP уже очень давно не является опциональным. Как замечает [14] Марк Эндрюс, разработчик DNS-сервера Bind, RFC 1123 [15] (опубликованный в 1989 году) позволял не реализовывать обработку DNS-запросов и ответов поверх TCP, только если оператор сервера хорошо понимает последствия и в состоянии поддержать полную функциональность протокола DNS без TCP. На сегодняшний день последнее уже просто невозможно.
Анализ 34 миллионов доменов из 59 TLD [16] показывает, что требование использовать TCP приводит сегодня к проблемам примерно у 7% доменов. Для сравнения, в ноябре 2018 года — за 3 месяца до первого DNS Flag Day — проблемы с EDNS имело 5,68% тестируемых сайтов.
Из этих 7%:
Организаторы Flag Day достигли консенсуса в том, что тысячи операторов, составляющих сообщество DNS, не должны больше оплачивать поддержку костылей ради пары десятков компаний, не обновляющих свои серверы.
Важный момент, как и в прошлый раз, последствия могут быть не только для владельцев DNS-серверов, но и для администраторов сетей, блокирующих доступ к порту 53/TCP на файрволле.
К февралю 2020 года доступ по порту 53/TCP к DNS-серверам должен работать.
Само собой, организаторы Flag Day обновят свой сайт [4] и добавят туда и информацию о DNS Flag Day 2020, и утилиты для проверки любых доменов на совместимость с требованиями 2020 года.
Не забудьте осуществить такую проверку до конца года, дабы удостовериться, что проблем у вас не возникнет.
Либор Пельтан из CZ.NIC подробно расскажет о планах DNS Flag Day 2020 на грядущем собрании евразийской группы сетевых операторов ENOG в Тбилиси [17] 3-4 июня. Трансляция с переводом на русский будет доступна в режиме реального времени на сайте, там же (и в Telegram-чате ENOG Talk [18]) можно будет задавать вопросы.
За происходящим также можно следить в Twitter [19].
DNS Flag Day 2021 будет планироваться, вероятнее всего, по аналогичному графику, начиная с DNS-OARC 32 весной 2020 года. Заявки на костыли, которые давно пора бы закопать, принимаются и коллекционируются на Github [7].
Автор: Артём Гавриченков
Источник [20]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/dns-2/318315
Ссылки в тексте:
[1] «Что-что случится 1 февраля?»: https://habr.com/ru/company/qrator/blog/437334/
[2] не нужно получать заблаговременно: https://en.wikipedia.org/wiki/Visa_policy_of_Thailand#Thailand_visa_policy_map
[3] Слайды из программы DNS-OARC 30: https://indico.dns-oarc.net/event/31/timetable/
[4] DNS Flag Day: https://dnsflagday.net/
[5] исследования: https://indico.dns-oarc.net/event/31/contributions/681/attachments/669/1110/flagday-in-action-oarc30.pdf
[6] мог стать болезненным: https://roskomsvoboda.org/44407/
[7] задачи: https://github.com/dns-violations/dnsflagday/issues
[8] согласования версии EDNS: https://tools.ietf.org/html/rfc6891#section-6.1.3
[9] с целью повышения энтропии: https://dyn.com/blog/use-of-bit-0x20-in-dns-labels/
[10] RFC 8020: https://tools.ietf.org/html/rfc8020
[11] RIPE 78 : https://ripe78.ripe.net/
[12] MTU: https://ru.wikipedia.org/wiki/Maximum_transmission_unit
[13] ненадёжной: https://indico.dns-oarc.net/event/31/contributions/692/attachments/660/1115/fujiwara-5.pdf
[14] замечает: https://seclists.org/nanog/2019/Jan/687
[15] RFC 1123: https://tools.ietf.org/html/rfc1123#page-75
[16] TLD: https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains
[17] собрании евразийской группы сетевых операторов ENOG в Тбилиси: https://www.enog.org/enog-16/ru/programme/agenda/
[18] ENOG Talk: https://t.me/enogtalk
[19] в Twitter: https://twitter.com/dnsflagday
[20] Источник: https://habr.com/ru/post/452816/?utm_source=habrahabr&utm_medium=rss&utm_campaign=452816
Нажмите здесь для печати.