Что-что случится 1 февраля?

    Не то что бы, конечно, это было первое обсуждение вопроса на Хабре. Однако до сего момента в основном обсуждались последствия, в то время как, на наш взгляд, куда интереснее первопричины.

    Итак, на 1 февраля запланирован DNS Flag Day. Эффекты этого события будут наступать постепенно, однако всё же быстрее, чем некоторые компании сумеют к нему адаптироваться.

    Что это такое? Говоря простым языком, это манифест основных мировых разработчиков DNS-серверов: компаний CZ.NIC, ISC, NLnet Labs и PowerDNS.

    Производители программного обеспечения DNS уже давно столкнулись с проблемой: развитие системы доменных имён, добавление в неё новых функций, требующихся клиентам, решение вопросов безопасности — все эти процессы радикально замедляются ввиду кооперативной структуры системы DNS и необходимости поддерживать архаичные серверы, реализующие устаревшие версии протоколов (и даже это зачастую делающие с ошибками).

    Исключительная ситуация


    Согласно каталогу стандартов протокола DNS, текущая спецификация содержит, по состоянию на 21 января 2018 года, 3248 страниц. Они включают в себя все релевантные RFC в статусах «internet standard», «proposed standard» (что на сегодняшний день, по сути, то же самое), «best current practice» и «informational». Для сравнения: протокол HTTP, обеспечивающий доставку контента для всех веб-сайтов в Интернете, описан суммарно на 672 страницах.

    Как говорится, если ТЗ вашего проекта не похоже на что-то такое, даже не пытайтесь меня приглашать.

    Необходимость реализовывать обработку всех описанных на 3 тысячах страниц функций и исключительных ситуаций — тяжёлая работа и сама по себе, а вдобавок целый ряд DNS-серверов реализует ту или иную функциональность неправильно, что приводит к необходимости дополнительно обрабатывать ещё и нестандартное поведение. В некоторых из вышеупомянутых RFC отчаяние, обуревающее работающих с протоколом людей, выплёскивается даже в название.

    По мнению ключевых разработчиков DNS, ситуация со сложностью программного кода уже достаточно серьёзная, чтобы принимать радикальные меры. 1 февраля в рамках скоординированной акции будут выпущены обновлённые версии всех основных DNS-серверов, в которых поддержка определённого некорректного поведения будет прекращена отныне и навсегда.

    А подробнее?


    Чтобы пояснить, что именно перестанет поддерживаться, приведу аналогию. Представьте, будто до 1999 года людей не пускали на самолёт с багажом, а в 1999 году официальным решением контролирующего органа пассажирам разрешили брать на борт сумки (определённого веса и габаритов). Достаточно удобно, правда? Можно перевезти массу полезных вещей.

    Вот только представьте теперь, что в 2019 году до сих пор существуют самолёты, на которые с сумками нельзя, и вплоть до посадки на борт у вас нет возможности узнать, можно ли брать с собой багаж.

    Примерно так обстоят дела с расширением EDNS, отсутствие поддержки которого с 1 февраля приведёт к недоступности ряда веб-сайтов. Грубо говоря, самолёты, не умеющие брать багаж на борт (хотя бы минимальный), в феврале в связи с двадцатилетним юбилеем первого стандарта EDNS перестанут пускать в целый ряд аэропортов.

    Объявление об этом было выпущено достаточно заблаговременно: в марте-мае 2018 года основные организаторы DNS Flag Day проинформировали общественность на ряде популярных отраслевых конференций. Кроме того, сам по себе выпуск обновлённых версий DNS-серверов не приведёт к проблемам моментально, поскольку операторам ещё предстоит на эти версии перейти, а это занимает время. Но, что более существенно, целый ряд облачных провайдеров DNS-услуг также присоединился к DNS Flag Day. В их числе такие гиганты, как Google (и их знаменитый DNS-сервер с IP-адресом 8.8.8.8), Cloudflare, Facebook и Cisco.

    В результате сайты, пользующиеся DNS-серверами без поддержки EDNS (то есть «самолётами», не умеющими «брать на борт багаж») уже с 1 февраля перестанут работать для всех, кто пользуется открытыми DNS-серверами 8.8.8.8, 9.9.9.9, 1.1.1.1 и рядом других. По мере обновления DNS-серверов у провайдеров связи список будет расти.

    Особенность функционирования DNS-сервера в корпоративной инфраструктуре — в том, что есть он обычно не просит, работает себе и работает, поэтому его зачастую никто и никогда не обновляет. Системные администраторы старой закалки даже любят гордиться многолетним аптаймом таких машин. Проблема в том, что, когда возникает необходимость обновиться, выясняется, что для этого нужно, например, также переехать с FreeBSD 5 на FreeBSD 10 (реальный случай), для чего, в числе прочих бед, потребуется перезагрузка, а из перезагрузки старый сервер уже может просто-напросто не выйти.

    Самое неприятное, что решение проблемы в общем случае не сводится к простому обновлению DNS-серверов. Некоторые организации используют файрволлы (как программные, так и программно-аппаратные), которые принудительно сбрасывают все DNS-пакеты с функцией EDNS. В числе прочего этим занимались старые модели Juniper SRX, но ими дело отнюдь не ограничивается. В принципе, если говорить про файрволлы и DPI-решения в целом, то давно известен достаточно невысокий уровень качества разработки ряда таких решений. Все эти годы от объективно вызванных ими проблем страдали разработчики протокола DNS, а теперь они решили нанести ответный удар.

    Вот только обновление подобных решений может занять существенное время, а в каких-то случаев, вероятно, потребуется выбросить некогда дорогостоящее оборудование на помойку и приобрести новое, что вызовет множество сложностей, например, в рамках российского бюджетного цикла (особенно если выбрасываемая аппаратура была произведена за рубежом, а больше возможности покупать зарубежное у организации по тем или иным причинам — финансовым, политическим, идеологическим — нет).

    Так что тем, у кого наблюдается эта проблема, самое время начать её решать. Заметим, что незамедлительного решения требуют только те проблемы, которые соответствующий инструмент проверки отображает с красными знаками «STOP» или «SLOW». Восклицательный знак в жёлтом треугольнике пока является лишь предупреждением и 1 февраля проблем не вызовет (хотя в долгосрочной перспективе и эту проблему нужно исправить).

    А дальше что?


    Во-первых, каких-то значимых катаклизмов DNS Flag Day уже спровоцировать не должен.

    В разнообразных обсуждениях можно услышать критику оригинального поста Алексея Лукацкого на Хабре: мол, автор взял излишне алармистский тон. Тем не менее, нельзя не заметить, что как раз Алексей — тот человек, который очень хорошо в курсе, как порой устроена и на какую аппаратуру завязана сетевая инфраструктура крупных российских организаций и государственных учреждений. Согласно исследованию, результаты которого, по всей видимости, имеются в распоряжении Координационного центра доменов .RU и .РФ, проблема, которая до поста Лукацкого регистрировалась у целого ряда известных сайтов, сегодня уже проявляется в следовых количествах, то есть запись в блоге Cisco (и последующие заметки, скажем, в блоге Роскомсвободы) возымели должный эффект.

    Однако успешность DNS Flag Day очевидным образом приведёт к последствиям, главное из которых состоит в том, что такие акции будут проводиться и в дальнейшем. В системе DNS ещё осталось много мест, которые разработчикам хотелось бы расшить как можно оперативнее; кроме того, DNS вообще не единственный такой протокол, в котором есть что разобрать. Пример с BGP-атрибутом 0xFF, о котором мы расскажем в следующей статье, наглядно показывает: порой Интернету полезна прививка.

    Что, на сегодняшний день, оставляет системных администраторов перед достаточно однозначной дилеммой:

    1. Либо администратор DNS-сервера должен следить за жизнью Интернет-сообщества, в частности, за новостями профессионального сообщества разработчиков DNS, и, в частности, вообще-то уделять внимание и время обновлениям серверов;
    2. Либо управление собственной доменной зоной следовало бы передать стороннему провайдеру, специализирующемуся на такой работе (коих на свете существует, в принципе, масса).

    Впрочем, к этой теме мы, вероятно, тоже ещё вернёмся.
    Qrator Labs
    258,00
    Знаем всё о доступности в интернете
    Поделиться публикацией

    Комментарии 27

      0
      Да ничего глобального не случится…
        0
        Мне больше всех интересует Яндекс DNS (теперь уже Яндекс Коннект), хоть и желтый треугольник, но че они там сидят бездействуют, не переводят его в зеленый значок.
        Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их… Может посоветует кто подобный, бесплатный и качественный, в идеале Российский?
          +4

          Жёлтый означает же, 1 февраля ничего не отвалится, но всё равно dns-сервер староват. Что тогда в вашем обращении в поддержку такого, что реагировать на него нужно быстрее обычного регламента?

            0
            Вот вы когда проверяли, не пробовали перевести что там написано:

            This domain is going to work after the 2019 DNS flag day BUT it does not support the latest DNS standards. As a consequence this domain cannot support the latest security features and might be an easier target for network attackers than necessary, and might face other issues later on. We recommend your domain administrator to fix issues listed in the following
              +3

              Там нет указаний на конкретные DNS-стандарты, которые не поддерживаются DNS-сервером, поэтому уровень угрозы неизвестен. Всё ещё не вижу повода быстро-быстро реагировать.

                0
                Вот как раз после этого сообщения, ниже идет ссылка которая ведет на ednscomp.isc.org/ednscomp и там все расписано.
                  +3

                  Но прочитав описание двух обнаруженных ошибок мы приходим к тому, что нарушение dns-серверов Яндекса в том, что они считают запрос корректным и возвращают SOA-запись даже если передать заведомо неверную версию протокола или опции edns. Чтобы от этого появился вред, нужно чтобы в мире действительно появились edns1 и edns1opt, и ответ SOA-записью интерпретировался бы запрашивающим как-то крайне плохо.


                  И мне всё ещё не видится это чем-то из разряда "ааа, срочно фиксить". Я снова упустил какой-то нюанс?

                    0
                    Мне совсем не нравится такой ход мысли «Пусть будет так пока не наступил следующий DNS Flag DAY»… Это проще говоря, пока не ужалит — мы не будем ничего делать.
                    Разве сложно это исправить, когда все это деают и забыть об этом уже до следующих версий edns2 ???
                      +2

                      Напоминаю, этот тред начался с вашего сообщения, которое содержало следующие слова:


                      Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их…

                      Собственно, я вроде бы вам доказал, что эта "уязвимость" не из тех, которая не может подождать эти 3 дня. Она и 10 прождёт, если нужно.


                      Меняйте DNS сколько хотите, конечно. Но мотивация в этот раз была ошибочна.

                        –2
                        Я хотел увидеть ситуацию, от такой компании как Яндекс, когда зашел на этот сайт для теста и увидеть зеленый знак. Что здесь не понятно? Поэтому и задал вопрос о других сервисах.
                        Этот подход называется «сервис для клиентов», который у Яндекса — «ничего страшного, потом поправим, время есть».
                          +6
                          который у Яндекса — «ничего страшного, потом поправим, время есть».

                          Итогом работы над безопасностью должна быть безопасность, а не зелёный знак. Hearthbleed думаю был залатан с максимально возможной быстротой. А просто обновлять dns-сервер ради обновления, если текущая версия поддерживает всё что нужно — это не заниматься сейчас какой-то более важной штукой. Всему своё время, причину спешить с обнаруженными "уязвимостями" я так и не увидел.

                            –4
                            За зарплатой так же бегайте, че спешить получать, и потом можно будет получить. «Она и 10 прождёт, если нужно.»
                              +2

                              Ну вообще-то да, если зарплата задерживается на пару дней, то это не повод паниковать, а декабрьская и апрельская у нас достаточно часто бывает и на неделю задержится.

                                –2
                                Попал видимо на команду разработчиков Яндекса, полностью заминусовали ) А за что? За то что наши взгляды в работе просто расходятся?

                                Крепкого здоровья вам!
                              +2
                              Вам не приходит в голову, что у администраторов яндекса возможно есть другие дела? Другие, более приоритетные и важные проблемы? На вашем ДНС свет клином не сошелся, тем более что там все нормально. Ну да, поднявшийся хайп сдвинет приоритеты. Но тем не менее, это не повод все бросать, отменять все остальное и чинить именно ваше.

                              Аналогия с зарплатой не совсем корректна. Вам не предлагают отключить ДНС и подождать несколько дней. Я бы другую аналогию предложил — если мне сейчас скажут что мой телефон устарел, модель позапрошлого года, и у телефона возможны проблемы при работе в самых новых сетях (а это действительно так) — мне сразу бежать покупать самый последний телефон без отверстий с поддержкой 5G?

                              Или все же можно походить пока со старым телефоном?
                                –2
                                Аналогия с деньгами прямая. Вам приятно когда зарплату задерживают хоть на один день? Подождать конечно же можно, но сам факт — не приятно. Вот и тут так же
                                  +1

                                  Ну так аналогия-то у вас фиговая.


                                  У меня другая аналогия. Стало известно, что с июня этого года у всех банкнот сменится дизайн, но при этом банкноты текущего образца продолжат свое обращение не меньше года, а если их когда-нибудь решат изъять, то их просто запретят выдавать, но принимать будут все обязаны как минимум до конца срока жизни новых банкнот. Но вам все равно: раз есть новые, работодатель должен вам выдавать в кассе только новые, иначе тьфу на этого работодателя, лучше найти нового, который только новыми будет выплачивать.


                                  Это тоже не до конца правильная аналогия, не придумал как в ней обыграть то, что какие-то DNS-серверы действительно перестанут работать, но остальное отражает вроде неплохо.

                0
                я бы посоветовал Cloudflare, но, к сожалению, он не российский. Зато имеет крайне удобный API и ну очень доходчивую документацию.
                  –1

                  К сожалению? Это плюс наоборот же, CDN стоит в Москве, что даёт хороший PING, + поддержка DOH/DOT

                  0
                  При желтом речь идет о частичной несовместимостью с будущими фичами. Т.е. 1 февраля все будет ок. Но вот в следующий DNS Flag DAY X — может уже сломаться… если ничего не делать.
                  +5
                  Вся шумиха на эту тему напомнила мне 31 декабря 1999г. В 00-01 1 января 00г. рванул к своему pentium 166mmx и… разочарованно пошел отмечать дальше)
                    0
                    Даже 386 спокойно работали дальше, но шума то было.
                    0
                    Вот странное дело — у меня bind 9.7.0, а тестовый инструмент показывает все домены зеленым.
                    Версия достаточно древняя, и edns по-умолчанию включен — во всяком случае, так указано в документации.
                    Т.е. повода для беспокойства нет, или я что-то упускаю?
                      0
                      Дык это же известная истина — пока гром не грянет, никто ничего делать не будет. Некоторым сервисам нужны такие радикальные встряски.

                      По поводу «грома» — самый яркий пример — IPv4. Уже который год на каждом углу вопли «ой, уже всё», а воз и ныне там по болшей части.
                        –1
                        Что-что случится 1 февраля?

                        1 февраля — древний праздник имболк! :)
                        image
                          +1
                          Это что? День танцев с бубнами у админов?
                          0
                          А можно так же, но с IE?

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое