menu
menu
logo
DNS Flag Day: серьёзных проблем не ожидается

DNS Flag Day: серьёзных проблем не ожидается

С момента изобретения протокола DNS прошло немало лет. В процессе развития сетевых технологий появилось расширение протокола – EDNS, которое, в частности, требуется для работы технологии DNSSEC, позволяющей избежать подмены адресной информации в DNS-ответах. DNS-серверы с неверно настроенным ПО могут не отвечать на EDNS-запросы – в таком случае резолвер может отправить повторный запрос, без EDNS.

Однако с 1 февраля 2019 года (DNS Flag Day) в новых версиях распространённых DNS-резолверов отключается поддержка «обходных механизмов», позволявших работать с DNS-серверами, которые не обеспечивают доступ с использованием EDNS. Обновлённые версии резолверов в этом случае повторных запросов отправлять не будут, что, в теории, может привести к недоступности некоторых зон DNS для поиска адресной информации. При этом проблемы возможны только при отсутствии какого-либо ответа, так как сервер, если он не поддерживает EDNS, должен отвечать сообщением об ошибке.

Каких-то критических проблем, обусловленных наступлением DNS Flag Day, в Рунете не ожидается по следующим причинам: массовая поддержка EDNS появилась более десяти лет назад, все современные версии ПО авторитативных серверов это расширение протокола поддерживают. Если имеющаяся конфигурация конкретного авторитативного сервера приводит к проблемам с расширенным протоколом, то обычно для EDNS доступен другой авторитативный сервер этой же зоны, то есть полной потери доступа не произойдёт. Возможно снижение скорости поиска в DNS, а вот полное отсутствие ответов на EDNS-запрос сразу всеми авторитативными серверами зоны встречается редко.

Важно отметить, что, так как изменение конфигурации связано с обновлением системного ПО, повсеместное одномоментное «отключение» невозможно в принципе. Обновления распространяются постепенно и в корректно настроенных вычислительных средах прежде всего обкатываются на тестовых конфигурациях. С DNS Flag Day связан нетипичный для DNS аспект: здесь существенное значение имеют настройки фильтров трафика и межсетевых экранов у провайдеров доступа: некорректные настройки могут сами по себе мешать прохождению DNS-ответов с EDNS (то есть в требуемом формате). Это будет приводить к недоступности системы доменных имён для клиентов данного провайдера даже в том случае, если программное обеспечение DNS настроено корректно.

Для предотвращения возможных проблем сетевым инженерам и системным администраторам следует убедиться, что авторитативные DNS-серверы корректно отвечают на EDNS-запросы, а ответы доставляются сетевым транспортом (для этого можно, например, воспользоваться утилитой dig). Важно проверить доступность из внешних сетей, обратить внимание на настройки фильтрации пакетов пограничными узлами (правила ACL и др.) и уточнить ограничения по количеству запросов, установленные на авторитативных серверах.

Подробнее – на сайте MSK-IX.
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте