DNS Flag Day: опубликованы рекомендации MSK-IX

25 января 2019

В базе знаний MSK-IX по адресу https://kb.msk-ix.ru/dns/dnsflagday опубликованы рекомендации для администраторов DNS-серверов, DNS-резолверов и операторов связи, связанные с инициативой DNS Flag Day.

DNS Flag Day https://dnsflagday.net – инициатива профессионального DNS-сообщества, направленная на ускорение и упрощение развертывания новых функций в глобальной системе DNS. Начиная с 1 февраля 2019 г. основные поставщики ПО DNS с открытым исходным кодом, среди которых BIND, PowerDNS, Knot, Unbound, будут выпускать обновления ПО, реализующие более строгую обработку DNS-запросов с применением расширений EDNS. Речь идет о согласованном прекращении поддержки на DNS-резолверах «обходных механизмов», позволяющих работать с DNS-серверами, не отправляющими ответы на запросы с EDNS.

Изменения не повлияют на работу доменов верхнего уровня RU, РФ, SU, ДЕТИ, TATAR. DNS-облако MSK-IX, реализующее функции авторитетных DNS-серверов для данных доменных зон, использует современные версии программного обеспечения DNS и корректно обрабатывает запросы DNS-резолверов с использованием расширений EDNS. Системы регулярно проходят аудит ICANN на предмет соответствия международным стандартам и установленным ICANN уровням сервиса.

Выпуск новых версий ПО DNS-серверов в рамках DNS Flag Day не приведет к критическим изменениям в работе сети Интернет. Большинство авторитетных DNS-серверов в интернете корректно поддерживают работу с расширениями EDNS. По данным консорциума ISC, среди DNS-серверов доменов верхнего уровня и корневых зон, доля поддерживающих EDNS составляет 99,8%.

Администраторам DNS-серверов доменных зон, некорректно обрабатывающим EDNS-запросы, предстоит обновить ПО или изменить программный код. Опубликованный ISC онлайн-тест https://ednscomp.isc.org позволяет проверить работу DNS-сервера. Результаты тестов должны интерпретироваться профессионалами.

Администраторам файерволлов и других фильтрующих сетевых устройств необходимо убедиться, что пакеты с EDNS-расширениями не блокируются, или что источнику заблокированного запроса отправляется ответ в соответствии со стандартом EDNS.

Рекомендации MSK-IX опубликованы в базе знаний по адресу https://kb.msk-ix.ru/dns/dnsflagday.