Cisco — один из крупнейших поставщиков DNS в мире, предоставляющий безопасный сервис DNS на основе Циско Зонт (ранее OpenDNS), но сегодня мы не будем говорить ни о нем, ни даже о безопасности.
Дело в том, что 1 февраля наступит так называемый День флага DNS, после которого ваш сайт может оказаться недоступен для пользователей Интернета.
О чем это? Протокол DNS был разработан в начале 80-х годов.
С тех пор утекло много воды и в протокол DNS пришлось добавлять новые функции и возможности.
Эта работа началась в 1999 году, когда первая версия расширений под названием EDNS0 (Extension Mechanism for DNS) была опубликована как RFC 2671. Эта версия позволила снять некоторые ограничения, например, на размер некоторых полей флагов, кодов возврата, и т. д. Текущая версия расширенного протокола EDNS описана в RFC 6891 .
При этом в Интернете продолжали существовать DNS-серверы, не поддерживавшие и не поддерживающие EDNS, что создавало определенные трудности во взаимодействии, необходимость обеспечения обратной совместимости, что в свою очередь приводит как к замедлению работы всей DNS, так и к замедлению работы всей DNS. системы и делает невозможным максимально полно реализовать все новые возможности EDNS. Но этой вакханалии пришел конец — с 1 февраля серверы, не поддерживающие стандарт EDNS, будут недоступны и получить к ним доступ будет невозможно.
Изменения будут внесены в самое популярное программное обеспечение DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только трафик, соответствующий стандарту EDNS. Трафик со старых и необновленных серверов будет считаться нелегитимным и эти серверы не будут обслуживаться, что может привести к недоступности «висящих» на этих серверах доменов.
Для большинства компаний День флага DNS останется незамеченным, поскольку многие DNS-провайдеры уже обновляют или обновили свое программное обеспечение до необходимых версий.
Трудности могут возникнуть у тех компаний, которые самостоятельно обслуживают собственные DNS-серверы, а также у многих госорганов, которые не очень оперативно обновляют программное обеспечение в своей инфраструктуре и не имеют для этого ни средств, ни квалифицированных специалистов.
В результате с 1 февраля сайты многих ведомств могут стать недоступными или столкнуться с проблемами доступа.
Проверить перспективность доступа к вашему сайту в феврале 2019 года достаточно просто – вам достаточно зайти на сайт. dnsflagday.net , введите туда свое доменное имя и получите результат, который будет иметь разные значения.
В идеале вы должны увидеть картинку, похожую на ту, что показана ниже для сайта.
cisco.ru : 
Если вы видите картинку, похожую на ту, что выдается, например, для сайта АНО «Цифровая экономика», это означает, что сайт будет работать, но не поддерживает последний стандарт DNS и не сможет полностью реализовывать необходимые функции безопасности и может стать мишенью для хакеров, которые могут (могут) атаковать этот сайт. 
Первые две картинки из этого поста с красными дорожными знаками — худшее, что можно увидеть.
Лучше всего быстро обновить программное обеспечение, поддерживающее ваш DNS. На сайте dnsflagday.net вы можете получить все необходимые инструкции и ссылки для обновления программного обеспечения.
Также есть ссылки на различные утилиты для администраторов, позволяющие сканировать вашу DNS-инфраструктуру в поисках слабых мест. В заключение этой заметки не могу не коснуться вопросов безопасности.
Дело в том, что некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может привести к DoS-атакам (например, MS? может блокировать DNS-cookies, которые являются частью EDNS и предназначены специально для защиты от DoS).
атаки) и снижение скорости Интернета.
Поэтому стоит обратить внимание на правила вашей МС, так как раньше это было довольно распространено и многие просто забыли, когда и почему в их средства защиты периметра сети были добавлены правила.
До Дня флага DNS осталось меньше двух недель – еще достаточно времени, чтобы начать соответствовать стандарту и не снизить лояльность клиентов и граждан, которые, столкнувшись с недоступностью или медленной работой вашего сайта, начнут высказываться о это беспристрастно в социальных сетях.
Конечно, говорить о глобальном апокалипсисе нет смысла.
Причем для многих этот день, как я писал выше, пройдет совершенно незаметно.
Но многие провайдеры в этот день изменят настройки DNS, что может повлиять на доступность некоторых сайтов.
Это риск, о котором стоит знать и к которому стоит быть готовым.
Теги: #Сетевые технологии #dns #Администрирование доменных имен
-
Что Такое Intelligent Explorer?
19 Oct, 24 -
Vmware Tanzu: Как «Приручить» Kubernetes
19 Oct, 24 -
Mysql В Эфире. Мониторинг Sql-Запросов
19 Oct, 24 -
Два Парадокса В Программах На Языке C
19 Oct, 24
