DNS Flag Day — плановое обновление инфраструктуры и ПО, связанного с обработкой DNS-запросов, которое вступит в силу 1 февраля 2019 года.
Инициатором проекта стали ключевые DNS-провайдеры и производители (Google, CloudFlare, Cisco). Причиной — желание искоренить устаревшее оборудование и технологии.
Что намерены менять
Систему DNS часто называют «телефонной книгой интернета». Именно ее работа позволяет нам получать доступ к сайтам, прописывая лишь домены, а не соответствующие IP-адреса. Функционирование DNS поддерживает слаженная иерархическая работа DNS-серверов — при загрузке каждой страницы заняты 4 таких устройства.
Протокол DNS разработали еще в 80-х годах, со временем ему потребовались улучшения. Расширенная версия стандарта называется EDNS, работа над ней ведется с 1999 года. Но некоторые сайты по-прежнему поддерживают только DNS-протокол.
Сейчас доступ к ним реализован через обратную совместимость: сначала пользовательский клиент отправляет запрос с EDNS-флагом, а если не получает ответ — без такой маркировки.
В результате, ресурс загружается дольше. Устаревший стандарт также открывает дорогу атакам DNS amplification и DNS flood.
Что произойдет после 1 февраля
С 1 февраля не поддерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик.
Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.
К счастью, это не должно массово ударить по интернет-инфраструктуре — серверов без поддержки EDNS осталось не более 10% от общего числа.
Как проверить свой ресурс
Для проверки запущен сайт dnsflagday.net. Если индикатор на нем загорится красным — сайт прекратит корректную работу после 1 февраля.
Желтый цвет указывает, что последний стандарт DNS-протокола не поддерживается, а у хакеров есть шансы на успешную атаку. Зеленый цвет — отсутствие проблем и потенциальных уязвимостей.
Также на dnsflagday.net размещены ресурсы и инструкции по обновлению инфраструктуры и ПО.
