DNS flag day

柒焰 2019年01月29日 •  笔记 0
DNS Flag Day是由google,ISC(BIND), PowerDNS,思科,Cloudflare等诸多国际知名DNS服务提供商联合发起的一项关于不再继续采取 “EDNS error workaround”措施的活动。

1.DNS Flag Day

DNS Flag Day是针对DNS协议的扩展协议标准(简称EDNS)的规范,在原来DNS协议基础上补充扩展,以方便增加拓展DNS附加功能。比如dnssec,这个是在原来DNS基础上增加的新功能。

DNS Flag Day的组织成员包括ISC,Cloudflare,Facebook,Google,Cisco,Quad9,CZ.NIC,NLnet Labs,CleanBrowsing和PowerDNS。

检测地址:https://dnsflagday.net
检测具体项:https://ednscomp.isc.org/ednscomp

2.DNS Flag Day 2019

2019年2月1日起,DNS 基础架构或提供商必须能够支持 EDNS。
在第一个DNS标志日期间,参与者承诺在其DNS服务器上推出对DNS扩展(EDNS)协议的支持,并锁定与未运行同时符合EDNS的DNS解析器的服务器的任何通信。

DNS flag day 2019

3.DNS Flag Day 2020

2020年2月起,不支持TCP和UDP协议的DNS服务器将被强制关闭!

现在,同一个行业组织再次开会,并就明年新的DNS Flag Day计划达成一致,他们决定推动整个生态系统实现对DNS over TCP的支持。

今天,根据互联网标准,所有DNS服务器都支持通过UDP接收和回答DNS查询,但并非所有所有服务器都支持通过 TCP 接收和应答 DNS 查询。

2017 年的一项统计数据显示,所有 DNS 查询中只有3%的是通过TCP发送的,其余的则是通过更不安全的UDP协议进行处理。

采用DNS over TCP的一个重大障碍是,并非所有DNS服务提供商都支持此功能,这导致许多软件制造商默认避免使用它,因为这可能会破坏他们的应用程序。

“对59个顶级域名中3400万个域名的分析表明,使用TCP的要求会导致大约7%的域名出现问题,”DDoS缓解服务提供商Qrator Labs周一在一篇博客文章中表示。

到目前为止,处理不支持DNS over TCP查询的DNS服务提供商或域名注册商的常用方法是,将相同的DNS over TCP查询转换为标准UDP。

遗憾的是,部署这些解决方法的DNS提供商速度较慢,通过TCP查询创建这些DNS的用户也是如此。


Qrator Labs表示,通过TCP处理域名查询的绝大多数问题已经本地化到中国域名注册商,7%以TCP模式处理的DNS故障中,有72%的问题是来自三家中国公司。
DNS flag day

此外,大多数问题也出现在同一实体的网络中,这些网络在2019年DNS标志日期间与EDNS兼容的解析器存在问题,这表明大部分DNS生态系统都被不愿更新或正确配置服务器的同一组公司拖累了。

“国旗日组织者已经达成共识,组成DNS社区的数千家互联网服务提供商和DNS运营商不应再为一些不更新其服务器的公司支付解决方案的费用,”Qrator Labs说。

主要的计划是从2020年2月1日起,停止部署在TCP查询上重写DNS的变通方法。在那之前,不会更新其配置的DNS服务器可能会被来自上游提供商/服务器的拒绝DNS查询请求。

4.对我们有什么影响嘛?

DNS flag day是一项针对授权DNS的、共识性的全球更新,旨在确保所有主要DNS基础架构都遵循新的EDNS标准(DNS扩展机制),并且EDNS目前不是强制支持项,部分DNS域名解析服务提供商有可能本来就不支持EDNS,同时也不是全球所有的PUBLIC DNS都会实施 DNS Flag Day,影响可能不会那么大,但还是需要注意目前ISC,google,cloudflare等都明确表示会执行,因此可以预见越来越多的PUBLIC DNS会执行这一标准。

5.写在最后

截止201年1月29日,国内DNS域名解析服务提供商阿里云解析以及DNS.COM宣布不受DNS Flag Day影响。
在博主对国内各DNS域名解析服务提供商的测试中,仅发现DNS.COM以及sDNS可以通过检测“All Ok”,国内大部分DNS域名解析服务提供商在检测中都是提示Serious problem detected!(发现严重问题!),甚至部分有DNS域名解析服务提供商检测提示Fatal error detected!(检测到致命错误!)。

Tags:笔记
上一篇
打赏
下一篇

添加新评论