Cloud Native应用交付

  • 首页
  • 关于本站
  • 个人介绍
  • Downloads
  • Repo
    • Github
    • Container
  • F5
    • F5 Python SDK
    • F5-container
    • F5-LBaaS
  • 社交
    • 联系我
    • 微信/微博
    • 公众号
    • 打赏赞助
行至水穷处 坐看云起时
Cloud Native Application Services: cnadn.net
  1. 首页
  2. F5技术
  3. 正文

注意:2019/2/1即将实施的DNS Flag Day带来的影响

2018年12月22日 16179点热度 4人点赞 0条评论

什么是DNS Flag Day:

DNS flag day是由google,ISC(BIND), PowerDNS,思科,Cloudflare等诸多国际知名DNS服务提供商联合发起的一项关于不再继续采取 "EDNS error workaround"措施的活动。

DNS flag day 背景:

EDNS是对DNS协议的扩展补充(RFC6891),必须DNSSEC,Client Sub net,支持大于512字节DNS响应等都是通过EDNS(Version=0)来实现扩展支持的。但是一直以来,很多DNS的权威域名服务器不能规范的处理EDNS扩展,导致类似google、BIND等公司或软件需要针对不能正确处理EDNS request的NS服务器再次发起不包含EDNS opt的请求(EDNS error workaround)来获得最终解析结果,虽然可以通过这种做法获得解析结果但这导致了DNS解析方面会存在很大的延迟。

从2019年2月1日起,以下知名服务商将开始不再执行上述workaround,这要求DNS系统软件提供商需要遵从RFC6891的第7章,引述如下:

7. Transport Considerations

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
   The presence of an OPT pseudo-RR in a request should be taken as an
   indication that the requestor fully implements the given version of
   EDNS and can correctly understand any response that conforms to that
   feature's specification.
 
   Lack of presence of an OPT record in a request MUST be taken as an
   indication that the requestor does not implement any part of this
   specification and that the responder MUST NOT include an OPT record
   in its response.
 
   Extended agents MUST be prepared for handling interactions with
   unextended clients in the face of new protocol elements and fall back
   gracefully to unextended DNS when needed.
 
   Responders that choose not to implement the protocol extensions
   defined in this document MUST respond with a return code (RCODE) of
   FORMERR to messages containing an OPT record in the additional
   section and MUST NOT include an OPT record in the response.
 
   If there is a problem with processing the OPT record itself, such as
   an option value that is badly formatted or that includes out-of-range
   values, a FORMERR MUST be returned.  If this occurs, the response
   MUST include an OPT record.  This is intended to allow the requestor
   to distinguish between servers that do not implement EDNS and format
   errors within EDNS.

带来的影响:

不正确处理EDNS请求,将可能导致实施了“DNS flag day”的public dns服务商无法获取正确解析结果

DNS管理员应采取的措施:

使用如下网站进行对域名进行检查
https://dnsflagday.net/

该测试的测试逻辑如下:

结果中真正需要关注的是测试项结果为timeout的,但是需要注意鉴别这些timeout的测试项自己是不是真的很在意(比如是否是因为测试网络不稳定导致的或者测试案例中的的方法是不是对自己有意义)

总体建议考虑以下几个方面问题:

  1. DNS服务器前的防火墙有无丢弃 包含 EDNS OPT的请求或响应包
  2. DNS服务系统本身是否已经正确配置EDNS支持
  3. DNS服务系统提供商是否已经提供解决dns flag day的相关补丁或版本

如果网络限制了该测试网站的访问,可以使用https://gitlab.labs.nic.cz/knot/edns-zone-scanner 这个测试工具

F5 DNS/GTM客户如何处理:

如果你没有特别的其它设置,理论应能够通过检查。提示如下:

  1. 如果已经启用了DNS cache或DNS express的用户,针对检查报告中的任何疑问,建议联系F5 support获得具体建议和支持
  2. 关注F5官方对此的更新https://support.f5.com/csp/article/K07808381

不处理后果会很严重吗?

EDNS目前依然不是强制支持项,企业可能本来就拒绝EDNS,同时也不会全球所有的public dns都会实施 DNS flag day,根据企业的解析来源属性不同,以及企业所用的DNS系统对RFC6891标准遵从行不同(The software does not need to support EDNS(0) extensions but must respond correctly when asked according to EDNS standard section 7),影响结果可能不会那么大,但还是需要注意目前ISC,google,cloudflare都明确表示会执行,因此可以预见越来越多的Public DNS会执行上述行为。

建议在上述检查网站的报告结果中,对于edns1为例进行测试的其结果为timeout的可以不关注,dnssec,tcp测试项根据自己是否本身就支持来判断,其它的几个测试不要有timeout结果. 

有意的是,目前Google也还没做到完全OK的测试结果:

google.com. @216.239.38.10 (ns4.google.com.): dns=ok edns=noopt edns1=ok edns@512=noopt ednsopt=noopt edns1opt=ok do=noopt ednsflags=noopt docookie=nooptedns512tcp=noopt optlist=ok,subnet 

 

相关文章

  • 林夏写的DNS DOS防范文档,比较落地哦
  • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料
  • BIGIP DNS (GTM)V12变化速览
  • V12 DNS(以前的GTM)行为变化 (Release notes)
  • 使用F5 irule实现类似腾讯的HTTPDNS功能
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: DNS dns flag day dnsflagday edns edns0
最后更新:2019年01月15日

纳米

linjing.io

打赏 点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理。

页面AI聊天助手
文章目录
  • 什么是DNS Flag Day:
  • DNS flag day 背景:
  • 带来的影响:
  • DNS管理员应采取的措施:
  • F5 DNS/GTM客户如何处理:
  • 不处理后果会很严重吗?

纳米

linjing.io

☁️迈向Cloud Native ADC ☁️

认证获得:
TOGAF: ID 152743
Kubernetes: CKA #664
Microsoft: MCSE MCDBA
Cisco: CCNP
Juniper: JNCIS
F5:
F5 Certified Solution Expert, Security
F5 Certified Technology Specialist, LTM/GTM/APM/ASM
F5 Certified BIG-IP Administrator
  • 点击查看本博技术要素列表
  • 归档
    分类
    • AI
    • Automation
    • Avi Networks
    • Cisco ACI
    • CISCO资源
    • F5 with ELK
    • F5-Tech tips
    • F5技术
    • Juniper
    • Linux
    • NGINX
    • SDN
    • ServiceMesh
    • WEB编程
    • WINDOWS相关
    • 业界文章
    • 交换机技术
    • 化云为雨/Openstack
    • 协议原理
    • 容器/k8s
    • 我的工作
    • 我的生活
    • 网站技术
    • 路由器技术
    • 项目案例
    标签聚合
    k8s gtm F5 DNS istio neutron docker api irule bigip envoy flannel network nginx openstack
    最近评论
    汤姆 发布于 8 个月前(09月10日) 嗨,楼主,里面的json怎么下载啊,怎么收费啊?
    汤姆 发布于 8 个月前(09月09日) 大佬,kib的页面可以分享下吗?谢谢
    zhangsha 发布于 1 年前(05月12日) 资料发给我下,谢谢纳米同志!!!!lyx895@qq.com
    李成才 发布于 1 年前(01月02日) 麻烦了,谢谢大佬
    纳米 发布于 1 年前(01月02日) 你好。是的,因为以前下载系统插件在一次升级后将所有的下载生成信息全弄丢了。所以不少文件无法下载。DN...
    浏览次数
    • Downloads - 183,760 views
    • 联系我 - 118,966 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 116,497 views
    • Github - 103,649 views
    • F5常见log日志解释 - 79,770 views
    • 从传统ADC迈向CLOUD NATIVE ADC - 下载 - 74,621 views
    • Sniffer Pro 4 70 530抓包软件 中文版+视频教程 - 74,320 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 67,770 views
    • 关于本站 - 60,897 views
    • 这篇文档您是否感兴趣 - 55,491 views
    链接表
    • F5SE创新
    • Jimmy Song‘s Blog
    • SDNlab
    • Service Mesh社区
    • 三斗室
    • 个人profile
    • 云原生社区

    COPYRIGHT © 2023 Cloud Native 应用交付. ALL RIGHTS RESERVED.

    Theme Kratos Made By Seaton Jiang

    京ICP备14048088号-1

    京公网安备 11010502041506号