APNIC文摘—量測DNS Flag Day的影響

2019年2月1日啟動的DNS Flag Day,主要是DNS服務供應商共同協議結果並承諾不再提供變通辦法給尚未支援標準EDNS協定(Extension mechanisms for DNS的權威伺服器(authoritative name servers)。有關DNS Flag Day的運作可參考DNS Flag Day之成果文章。

本篇APNIC文摘主題為「量測DNS Flag Day的影響」,作者量測重點沒有放在待修復的權威伺服器上,反而從解析器(resolver)的觀點,觀察 DNS Flag Day 前後這些解析器的行為改變

首次的 DNS Flag Day重點在於解決權威伺服器丟棄 EDNS 請求的問題。不認識EDNS的權威伺服器會使用RCODE FORMERR訊息來回應,即可在沒有EDNS的情況下立即重試。但實際運作上,這些權威伺服器會直接丟棄EDNS請求,這對解析器來說就如同災難,因為解析器無法分辨此沒有回應的情況是因為封包遺失(Packet loss)或是因為權威伺服器離線。解析器唯一能做的就是等候回應,並在超時後以無EDNS的請求重試,這也使得解析效率低落。

所有新發布的BIND,Knot,PowerDNS和Unbound等新版本DNS解析器都不再採用此方法,並且會認定不回應的權威伺服器為離線。在本文中,作者將這樣的解析行為以strict(嚴謹)稱之,反之以無EDNS的請求重試稱之為permissive(寬鬆)。

為衡量在Flag Day後的改變情形,作者們在實驗室中建立了一個會丟棄所有EDNS查詢的權威伺服器,該伺服器在flagday.rootcanary.net區域提供服務。可以在該區域內查詢名稱的解析器為permissive,反之為strict。

2019/01/30量測實驗開始,到8月為止,一共測試了19,272個解析器,結果發現,原本在Flag Day之前只有15%的解析器為strict,但是到了6月1日數字已經增長至42%,然後再微幅增加至43.9%,這當中以Google的公共解析服務為貢獻最大。

文章最末提問,是否有需要急於修復 DNS 應用商以及DNS resolver營運商在Flag Day之前不再支的問題?實驗的結果暗示著,其實並不是這樣急迫。

明年的 DNS Flag Day 目前尚未確認日期,但是重點將放在因為 IP 封包碎裂所造成DNS操作和安全問題。讀者可查看官方網站,以了解有關DNS Flag Day 過去和未來發展的更多訊息。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為 Measuring the impact of DNS Flag Day

圖片來源:APNIC部落格

Scroll to Top