View on GitHub

DNS flag day 2020

English (US) Le Français Nihongo Español 中文(中国)

感谢!

2019年DNS Flag Day是一个非常成功的活动。互联网社区共同努力解决了一系列带给全球互联网用户 延迟和其他故障的问题。我们要感谢所有合作的运营者,是他们帮助互联网变得更好。

DNS Flag Day过去的总结和未来计划请参考: https://youtu.be/mH_elg9EUWw?t=649.

目录

下一步的计划?

下一步的DNS flag day的计划正在制定中. 它将聚焦由IP报文分片导致的DNS的运营和安全的问题。

为了获得及时的信息推送,请订阅 dns-announce邮件列表 或者关注 Twitter账号 @dnsflagday

DNS Flag Day 2020

DNS社群一直在行业邮件列表和会议中讨论DNS持续的互操作性与系统性能问题,例如 DNS-OARC 30, 专题讨论会 (video, slides).

2020 DNS Flag Day计划建议稿在RIPE78 会议期间由 CZ.NIC的Petr Špaček, 和ISC的Ondřej Surý发布 (videoslides). 这一次我们要聚焦在DNS报文的IP分片问题上。

IP分片是一个当前互联网存在的问题,尤其是当DNS应答消息比较大的时候。 即使IP分片工作正常,它对DNS来说也可能不够安全。

请参考:

这些问题的解决方法是通过设置一个固定的EDNS buffer size (缓冲区大小),使其不会导致IP层分片。 当有DNS大包超过这个缓冲区大小的时候,DNS将会从UDP模式切换到TCP传输(通过设置应答包的TC位)

注: 在开展的工作

这个网站和2020 DNS Flag Day的一些工作还在开展中(尚未确定)。

然而,技术需求已经足够清晰,运营者和开发者可以开始准备测试和改动他们的系统。

如果你对此有评论或建议,请参加dns-operations 邮件列表的讨论.

行动: 权威DNS运营者

对于权威侧来说,需要你帮助做的是应答DNS over TCP的查询(53端口)。同时检查你的防火墙!

你也应该使用一个固定的EDNS 缓冲区大小,那样就不会造成分片。这里建议采用大概1220字节,但是这个取值仍然在讨论中。

最后,权威DNS服务器不可以发送超过查询报文中请求的EDNS 缓冲区大小的报文!

新闻! 现在你可以测试检查你的域名了!通过在下面输入你的域名,然后按Test! 这个测试使用了ISC的EDNS合规性测试器,它会从所有通用合规性测试例中选择edns512tcp 来测试。

测试你的域名


行动: 递归DNS运营者

对递归解析测来说,或多或少与权威的要求类似,即能够通过TCP(53端口)应答DNS查询,用固定的EDNS 缓冲区大小 (大概1220字节)从而避免IP分片。记得要检查你的防火墙。

最重要的是,递归解析服务器必须要通过TCP重复查询,如果他们收到一个被截断的UDP应答报文(TC被设置为1)!

对递归解析服务器的测试器还在开发中!

行动: DNS软件供应商

对DNS软件供应商重要的一点就是要符合标准,采用 EDNS 缓冲区大小默认值 (~ 1220字节),这样就不会造成分片。

相关重要的标准主要是RFC 7766, RFC 6891 section 6.2.3.RFC 6891 section 6.2.4..

这一改动的动机记录在IETF草案 intarea-frag-fragile section 6.1IETF草案 iab-protocol-maintenance.

如何测试?

如果你是一个域名的所有者,或者是权威DNS服务器运营者,你可以用我们基于网页的测试工具来检查一个域名,你可以在“行动: 权威DNS运营者” 中找到。

我也在开发针对客户端和DNS递归运营者的一套基于网页的测试工具。一旦准备好,你就可以在这个页面找到它。

你也可以通过下面的CLI命令行来测试:

$ dig +tcp @auth_IP yourdomain.example.
$ dig +tcp @resolver_IP yourdomain.example.
$ dig @resolver_IP test.knot-resolver.cz. TXT

无论是否使用‘+tcp’选项,所有的DNS查询必须是成功的。如果你是一项业务的提供商,你也可以通过允许DNS支持TCP,以及改变下面默认的EDNS 缓冲区大小的配置来测试你的权威和递归服务。

如果一切工作正常(支持TCP),以上的配置不会有明显的影响。如果递归或者权威不支持TCP,一些查询就会失败。

以前的 flag days

下面是以前的Flag day活动列表:

谁在推动 DNS flag day?

DNS Flag Day的倡议活动由DNS软件和服务提供者社群发起,该活动也得到了DNS-OARC的支持(OARC的会员大部分都在这个社群内)。

如果你有围绕DNS Flag Day相关的技术的问题,你可以参与DNS-operations邮件列表来向他们提问.

联系我们

新闻与媒体的问题请发信给 media (at) dns-oarc.net, 请将“DNS Flag Day” 填入邮件的主题栏。 注:邮箱(at)替换成@

支持者

常见问题