作為Infoblox的重要客戶,我們想通知您2019年2月1日即將到來的DNS Flag Day,我們希望您知道您的Infoblox DNS服務不會受到DNS Flag Day的影響。不過,如果您所使用的為Infoblox以外的第三方權威DNS名稱服務器(Authoritative DNS name servers)不符合EDNS0,則可能會影響您的整體DNS服務。

在DNS Flag Day開始會有某些供應商將從其DNS解析器中取消EDNS0 workaround變通辦法,以便於(1)強制非EDNS0兼容的權威DNS服務器變得合規,以及(2)糾正路由器、防火牆、及DPI封包深層檢測(e.g. 入侵偵測/防禦系統、狀態防火牆)等設備中的網路裝置策略不支援EDNS0有效載荷大小的狀況。

 

Infoblox權威DNS服務器支援並符合EDNS0標準,Infoblox遞歸DNS服務器也暫時保留了EDNS0解決方法。Infoblox客戶只需檢查其他的第三方權威DNS名稱服務器是否符合EDNS0,以及客戶的防火牆及DPI規則是否支援EDNS0,以確保這些系統裝置他們不會使用EDNS0 extensions來丟棄DNS封包。

DNS Flag Day常見問題(FAQ)

 

1.何謂「DNS Flag Day」 ?

為了提升並確保DNS通訊服務能夠符合RFC標準,並增強DNS安全性和支持新功能等必要性。因此包括Google、Cloudflare、NLnet Labs(Unbound開發組織)、ISC(BIND開發組織)、Facebook、Quad9、PowerDNS、Cisco及其它的DNS服務供應商決議於2019年2月1日為DNS Flag Day,進行刪除EDNS0變通方法並推動DNS合規性。

 

2.何謂「EDNS」?

EDNS為Extension mechanisms for DNS (DNS擴展機制)的縮寫,是針對DNS網域名稱服務協議的參數所制定延伸的規範,由於過往DNS協議的封包長度受到限制(以傳統UDP的限制為512 bytes),因此於1999年由IETF組織制訂出RFC 2671(也稱為EDNS0),將DNS訊息的長度由512 Bytes大幅擴展至4096 Bytes,以便在同一個DNS UDP封包內攜帶更多的資料。之後包括DNSSEC等安全型態的執行也都會用到EDNS。

 

3.何謂EDNS0變通辦法

遞迴查詢主機先使用EDNS0(長度4096)對權威主機查詢網域名稱,當未收到回應時再使用EDNS0(長度512)對權威主機再次查詢網域名稱,如還是未收到回應時則使用標準DNS(長度512)對遞迴主機查詢網域名稱。

 

4.何謂取消EDNS0變通辦法

遞迴查詢主機僅使用EDNS0對權威主機查詢網域名稱,當未收到回應時將直接將該權威主機標記為停用(treated as dead),不再嘗試使用標準DNS查詢,以增加DNS查詢速度。

 

5.為何進行「DNS Flag Day」?

由於EDNS通訊在未受普遍的支援情況下,往往受限於資安設備或網路政策(如:路由器、防火牆、入侵偵測防禦等)的限制阻擋,主因傳統資安規則認為DNS通訊的長度為512 bytes,因此拒絕並阻擋訊息更長的DNS封包。「DNS Flag Day」的推動,目的要求服務供應商將從其DNS解析器中取消EDNS0 workaround變通辦法,以便於(1)強制非EDNS0兼容的權威DNS服務器變得合規,以及(2)修正路由器、防火牆、及DPI封包深層檢測(e.g. 入侵偵測/防禦系統、狀態檢視防火牆)等設備中的網路裝置策略不支援EDNS0有效資料大小的狀況,進一步要求各DNS用戶端也必須遵循EDNS服務通訊規範。

 

6.何時為「DNS Flag Day」?

2019年2月1日。

 

7.誰會受到影響 ?

ISP及用戶單位使用不符合EDNS的Authoritative DNS name servers(DNS權威名稱服務器)。

路由器、防火牆、及DPI封包深層檢測(e.g. 入侵偵測/防禦系統、狀態檢視防火牆、負載平衡器)的規則不支持EDNS0 payload sizes大小的客戶。

 

8.Infoblox DNS的客戶是否受影響?

Infoblox權威DNS服務器符合EDNS0標準,需確認Infoblox NIOS版本為v7.1以上支援EDNS,並且針對EDNS設定為enable。遞歸DNS服務器則暫時保留了EDNS的變通方法。

Infoblox的客戶只需要檢查他們的第三方權威DNS域名服務器是否支援EDNS0,以及客戶端的路由器、防火牆、及DPI封包深層檢測(e.g. 入侵偵測/防禦系統、狀態檢視防火牆、負載平衡器)的規則支援並允許EDNS ,以避免因為EDNS0而造成DNS封包被丟棄。

 

9.DNS遞歸解析器(DNS recursive resolvers)是否受到影響 ?

Infoblox遞歸DNS服務器將保留EDNS0的變通方法。 換句話說,他們暫時不會受到DNS Flag Day影響。 這意味著,查詢第三方非EDNS相容的權威DNS服務器將繼續工作。

 

對於已經停用EDNS0變通方法(如前述執行DNS Flag Day服務供應商)的遞歸DNS服務器,發送到第三方非EDNS標準的權威DNS服務器將不會嘗試重新使用標準DNS查詢,並且該權威DNS服務器會被視為停用(treated as dead)。 此外,如果第三方權威服務器支援EDNS規範,但所屬的網絡設備沒有支援的情況,則這些DNS服務器也將被視為停用。

 

10.管理者對於DNS Flag Day的檢測確認方式 ?

  • DNS Flag Day檢測方式

  • 確認您的Infoblox DNS版本(NIOS v7.1以上) 及設定 (EDNS功能啟用)

  • 確認並更新您的第三方權威DNS服務器支持EDNS0。

  • 修正您的相關網路設備及資安設備規則,需支援並允許EDNS

  • 重新測試

 

11.如果一般DNS用戶什麼都不做怎麼辦 ?

遞歸名稱服務器可能會丟棄DNS數據包,並且網站將無法訪問。

 

12.Infoblox是否為DNS Flag Day推動合規性的支援名單 ?

Infoblox完全支持DNS Flag Day計劃,並且由於Infoblox為ISC BIND成員,因此列在ISC的支持者列表中。 

 

參考資源:

  • DNS Flag Day: 2019 官網

https://dnsflagday.net/

 

  • DNS Flag Day FAQ

http://click.infoblox.com/q7KP000K5U0D4t01T08I00v

 

  • KB#9983: What is DNS Flag Day and is there an impact to Infoblox DNS services running in NIOS?

https://support.infoblox.com/app/answers/detail/a_id/9983/kw/9983

 

  • KB#117: DNS packet sizes, TCP, and EDNS0

https://support.infoblox.com/app/answers/detail/a_id/117/kw/117

 

  • Wiki: Extension mechanisms for DNS

https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.