View on GitHub

DNS flag day

DNS flag day 2019

此翻译正在等待更新,请参阅英文版以获取最新信息

发生了什么事?

当前 DNS 缓慢的速度是不必要的,并且 DNS 无法部署新功能。为了解决这些问题,DNS 软件供应商以及大型公共 DNS 提供商将在2019年2月1日删除某些变通方案。

这一更改仅影响运行不符合已发布标准的软件的网站。您受影响了吗?

域名所有者

请检查您的域名是否受到影响:

测试您的域名


DNS 解析器运营商

在2019年2月1日左右,主要的开源解析器供应商将发布实施更严格的 EDNS 处理的更新。 具体而言,以下版本引入了此更改:

此外,下面列出的公共 DNS 提供商 将会禁用变通方案。

DNS 服务器运营商

为了使 EDNS 合规,我们建议您利用上面的表单,为整个域生成简化的结果。

也可以直接使用工具 ednscomp 测试 DNS 服务器,该工具会显示详细的技术报告。只需您在 Zone Name 字段输入 DNS 服务器上所承载的域名并单击 Submit 按钮。

ednscomp 最好的测试总结结果是一条绿色的信息 一切正常/All Ok

允许您的域名在 2019 DNS flag day 后继续运行的最低工作设置是在 ednscomp 工具的测试中,所有普通 DNS 以及 EDNS0 不包含 超时/timeout 的测试结果。请注意, 此最低设置仍不符合标准, 迟早会导致其他问题。出于这个原因,我们强烈建议您完全遵守 EDNS 标准(所有测试都 正常/ok,而不是仅进行极少的整顿工作,否则您将不得不在以后面临新的问题。

如果出现问题,ednscomp 工具将会显示每个为何失败的测试的说明。这些失败的测试通常是因为:

要解决问题,请将您的 DNS 软件升级到最新的稳定版本,然后再次测试。如果即使在升级了 DNS 之后仍然测试失败,请检查您的防火墙配置。

防火墙不得丢弃 DNS 数据包,无论是具有 EDNS 扩展的数据包,还是包含未知扩展的数据包。现代 DNS 软件可能会部署新的扩展(例如 DNS cookies,用以防止 DoS 攻击)。丢弃具有此类扩展的 DNS 数据包的防火墙会使每个人的情况变得更加糟糕,包括恶化的 DoS 攻击以及导致更高的 DNS 流量延迟。

供应商的提示:

DNS 软件开发人员

主要变化是来自上述供应商的 DNS 软件会将超时解释为网络问题或服务器问题的标志。从2019年2月1日开始,将不会尝试禁用 EDNS 作为对 DNS 查询超时的反应。

这实际上意味着所有对 EDNS 查询完全没有响应的 DNS 服务器将被视为死机

请使用 ednscomp 工具测试您的实现方式,以确保正确处理 EDNS。该工具的源代码也是可以获得的

值得注意的是,EDNS 仍然不是强制性的。如果您决定不支持EDNS,只要您的软件根据 EDNS 标准第七章节 进行回应即可。

研究人员

研究人员和 TLD 运营商等其他方可能会对此感兴趣:

在解释数据之前,请阅读各自的解析方法。无论如何,请不要犹豫,立即使用上面的 GitLab 链接与工具作者联系。

演讲

工具

联系

支持者

扩展阅读