2020. gada 1. oktobris: DNS karoga diena

DNS karoga diena (DNS-flagday), tiek organizēta, lai pievērstu uzmanību un risinātu dažādus ar DNS saistītus jautājumus un problēmas. Tā ir DNS programmatūru izstrādātāju un pakalpojumu sniedzēju veidota iniciatīva, kuru atbalsta DNS operāciju, analīzes un pētniecības centrs DNS-OARC - The DNS Operations, Analysis, and Research Center.

Pirmajā DNS karoga dienā, kura noritēja 2019. gada 1.februārī uzmanība tika pievērsta EDNS protokola ieviešanai. Šogad DNS karoga diena pievērš uzmanību problēmām, kas saistītas ar lielu DNS pakešu IP fragmentāciju.

IP fragmentācija mūsdienās nav droša! Gadījumos, kad izmantojot UDP tiek nosūtīts fragmentēts DNS ziņojums, tā daļas teorētiski, ir iespējams viltot saņēmējam nemanot. Gala rezultātā DNS pieprasījuma veicējs var saņemt viltotu DNS atbildi un tikt novirzīts uz citu, piemēram, ļaundara veidotu tīmekļa vietni.

Plašāka informācija par IP fragmentācijas trūkumiem pieejama:

• Bonica R. et al, “IP Fragmentation Considered Fragile”, Work in Progress, July 2018
• Huston G., “IPv6, Large UDP Packets and the DNS”, August 2017
• Fujiwara K., “Measures against cache poisoning attacks using IP fragmentation in DNS”, May 2019
• Fujiwara K. et al, “Avoid IP fragmentation in DNS”, September 2019

Pavisam nesen Axel Koolhaas un Tjeerd Slokker sadarbībā ar NLnet Labs veica pētījumu “Defragmenting DNS - Determining the optimal maximum UDP response size for DNS”, pētnieki ierosināja izmantot dažādus pakešu lielumus atkarībā no scenārija un izmantotā IP protokola versijas (IPv4 vai IPv6).

Pētījumā tika atklāts, ka IP fragmentācijas problēmas var risināt:

1. konfigurējot serverus, lai ierobežotu fragmentētu DNS ziņojumu nosūtīšanu izmantojot UDP.
   
2. nodrošinot, ka DNS serveri var pārslēgties no UDP uz TCP, ja DNS atbilde ir pārāk liela, lai iztiktu bez fragmentācijas.

KO DARĪT?

Ja esat domēna vārda lietotājs vai autoritatīvā DNS servera operators, varat izmantot DNS karoga dienas tīmekļa pārbaudes rīku. Šis pārbaudes rīks izmanto “ISC EDNS Compliance Tester” un pārbauda, vai tā edns512tcp tests ir sekmīgs, kā arī citus vispārīgu standartu atbilstības testus.

Visiem pārējiem interneta lietotājiem, kā arī DNS atrisinātāju (“resolver”) operatoriem pieejamais pārbaudes rīks ir atrodams šeit. Šis pārbaudes rīks testēs jūsu pārlūkprogrammas, sistēmas un interneta servisa pakalpojuma sniedzēju DNS atrisinātājus (resolver). Papildu informācija par to, kādus testus veic šis pārbaudītājs skatiet: Check MyDNS.

Plašāka informācija par DNS karoga dienu un to kā jārīkojas autoratīvo DNS serveru un atrisinātāju (resolver) operatoriem pieejama: Tīmekļa vietnē: https://dnsflagday.net
Twitter: https://twitter.com/dnsflagday
Paziņojumi: https://lists.dns-oarc.net/mailman/listinfo/dns-announce
Diskusijas: https://lists.dns-oarc.net/mailman/listinfo/dns-operations