DNS Flag Day: серьёзных проблем не ожидается

С момента изобретения протокола DNS прошло немало лет. В процессе развития сетевых технологий появилось расширение протокола – EDNS, которое, в частности, требуется для работы технологии DNSSEC, позволяющей избежать подмены адресной информации в DNS-ответах. DNS-серверы с неверно настроенным ПО могут не отвечать на EDNS-запросы – в таком случае резолвер может отправить повторный запрос, без EDNS.

Однако с 1 февраля 2019 года (DNS Flag Day) в новых версиях распространённых DNS-резолверов отключается поддержка «обходных механизмов», позволявших работать с DNS-серверами, которые не обеспечивают доступ с использованием EDNS. Обновлённые версии резолверов в этом случае повторных запросов отправлять не будут, что, в теории, может привести к недоступности некоторых зон DNS для поиска адресной информации. При этом проблемы возможны только при отсутствии какого-либо ответа, так как сервер, если он не поддерживает EDNS, должен отвечать сообщением об ошибке.

Каких-то критических проблем, обусловленных наступлением DNS Flag Day, в Рунете не ожидается по следующим причинам: массовая поддержка EDNS появилась более десяти лет назад, все современные версии ПО авторитативных серверов это расширение протокола поддерживают. Если имеющаяся конфигурация конкретного авторитативного сервера приводит к проблемам с расширенным протоколом, то обычно для EDNS доступен другой авторитативный сервер этой же зоны, то есть полной потери доступа не произойдёт. Возможно снижение скорости поиска в DNS, а вот полное отсутствие ответов на EDNS-запрос сразу всеми авторитативными серверами зоны встречается редко.

Важно отметить, что, так как изменение конфигурации связано с обновлением системного ПО, повсеместное одномоментное «отключение» невозможно в принципе. Обновления распространяются постепенно и в корректно настроенных вычислительных средах прежде всего обкатываются на тестовых конфигурациях. С DNS Flag Day связан нетипичный для DNS аспект: здесь существенное значение имеют настройки фильтров трафика и межсетевых экранов у провайдеров доступа: некорректные настройки могут сами по себе мешать прохождению DNS-ответов с EDNS (то есть в требуемом формате). Это будет приводить к недоступности системы доменных имён для клиентов данного провайдера даже в том случае, если программное обеспечение DNS настроено корректно.

Для предотвращения возможных проблем сетевым инженерам и системным администраторам следует убедиться, что авторитативные DNS-серверы корректно отвечают на EDNS-запросы, а ответы доставляются сетевым транспортом (для этого можно, например, воспользоваться утилитой dig). Важно проверить доступность из внешних сетей, обратить внимание на настройки фильтрации пакетов пограничными узлами (правила ACL и др.) и уточнить ограничения по количеству запросов, установленные на авторитативных серверах.

Подробнее – на сайте MSK-IX.