DNS Flag Day

DNS придумали в начале 80-х годов. Уже в 1999 году для него придумали расширение (EDNS0), которое позволило расширить возможности DNS. В частности, благодаря этому расширению работает, например, механизм DNSSEC, позволяющий подтверждать, что ответы пришли от легитимного DNS-сервера, а не были подменены по пути.

До сих пор существует серверное ПО и файрволы, которые при обращении к ним с EDNS-запросами (а клиент не может до первого запроса определить, поддерживает ли сервер расширенную версию DNS) просто ничего не отвечают, оставляя висеть соединение, пока оно не отвалится по таймауту. В этом случае клиент отправляет повторное сообщение уже без EDNS-флага, которое отрабатывается корректно. Это значит, что соединение с таким сайтом может устанавливаться на 5-10 секунд дольше, чем обычно.

Эта проблема позволяет эксплуатировать её в таких атаках, как DNS amplification и DNS flood.

Разработчики больше не хотят поддерживать этот «костыль», поэтому в новых версиях ПО они просто убрали поддержку второго запроса без EDNS. Это значит, что если сервер не ответил правильно с первого раза, сайт не откроется вообще.

Они дождались, когда количество DNS-серверов со старым ПО будет не очень большим (5-10%) и с помощью главных DNS-провайдеров и производителей (Google, Cloudflare, Cisco и другие) запланировали обновление инфраструктуры на 1 февраля.

Для того, чтобы убедиться, что ваши DNS-сервера поддерживают EDNS, проверьте свои сайты — жёлтый или зелёный результат — это ок.

DNS Flag Day
Была ли эта статья полезна?
нет 0
просмотры: 123