Про DNS Flag Day коротко: что случится 1 февраля и как подготовиться

DNS придумали в начале 80-х годов. Уже в 1999 году для него придумали расширение (EDNS0), которое позволило расширить возможности DNS. В частности, благодаря этому расширению работает, например, механизм DNSSEC, позволяющий подтверждать, что ответы пришли от легитимного DNS-сервера, а не были подменены по пути.

До сих существует серверное ПО и файрволы, которые при обращении к ним с EDNS-запросами (а клиент не может до первого запроса определить, поддерживает ли сервер расширенную версию DNS) просто ничего не отвечают, оставляя висеть соединение, пока оно не отвалится по таймауту. В этом случае клиент отправляет повторное сообщение уже без EDNS-флага, которое отрабатывается корректно. Это значит, что соединение с таким сайтом может устанавливаться на 5-10 секунд дольше, чем обычно.

Вдобавок эта проблема позволяет эксплуатировать её в таких атаках, как DNS amplification и DNS flood.

Разработчики больше не хотят поддерживать этот «костыль», поэтому в новых версиях ПО они просто убрали поддержку второго запроса без EDNS. Это значит, что если сервер не ответил правильно с первого раза, сайт не откроется вообще.

Они дождались, когда количество DNS-серверов со старым ПО будет не очень большим (5-10%) и с помощью главных DNS-провайдеров и производителей (Google, Cloudflare, Cisco и другие) запланировали обновление инфраструктуры на 1 февраля.

Для того, чтобы убедиться, что ваши DNS-сервера поддерживают EDNS, проверьте свои сайты — жёлтый или зелёный результат — это ок.

Про DNS Flag Day коротко: что случится 1 февраля и как подготовиться
1616
17 комментариев

Как менять, что делать то?

1

Стать системным администратором

1

Делегируйте свои домены на нормальные NS-сервера. К примеру Cloudflare.

1

Дополните статью: многие государственные структуры к этому не готовы, поэтому возможно где-то будет гг https://roskomsvoboda.org/44407/

1

Для государственных структур это нормально