世界上最大的DNS服务提供商行业组织计划强制DNS支持TCP查询。
世界上最大的DNS服务提供商行业组织已经决定,通过强制对影响整个互联网速度和性能的小型服务器运营商,进行某些配置更改来改善DNS生态系统的计划。
据该组织称,从2020年2月1日起,不能提供UDP和TCP同时可解析的DNS服务器将被踢出DNS生态系统,并停止工作。
DNS革新日的创意是让DNS服务器运营商更新其服务器软件和配置,并确保他们的服务器可以处理UDP或TCP的DNS查询。
一、DNS 革新日 2019–第一版
达成一致的行业DNS组织推出了作为新活动的一部分—DNS革新日。本年度2019年2月1日成为第一个DNS革新日(https://www.isc.org/blogs/dns-flag-day/)。
在第一个DNS革新日期间,参与者承诺在其DNS服务器上推出对DNS扩展(EDNS)协议的支持,并排除与未运行同时符合EDNS的DNS解析器的服务器的任何通信。
据互联网系统联盟( ISC )和其他2019的DNS革新日参与者讲,该活动被认为是成功的,几家主要DNS服务提供商更新了他们的基础设施,效果良好,更多的公司DNS服务解析更快且无法滥用DNS解析器作为DDoS攻击的一部分。
二、DNS 革新日 2020
现在,同一行业组织再次开会,并就明年新的DNS革新日计划达成一致,他们决定推动整个DNS生态支持基于TCP的DNS解析。
今天作为互联网的标准,所有的DNS服务器支持介绍和回应基于UDP的DNS查询,但并非所有的dns服务器都支持TCP的DNS查询。
一份2017年的统计数据显示所有的DNS查询中,仅有3%是通过TCP发送,剩下的都是通过不安全的UDP协议发出。
采用TCP进行DNS查询最大的障碍,并不是所有的DNS服务支持这一特性,这也导致了很多软件开发公司为了避免自家程序崩溃,而没有默认支持TCP的DNS查询。
QratorLabs(一个抗DDos攻击的商业服务)周一在博客中说,”对59个顶级域名(TLD,top-level domains)中的3400万个域进行的分析表明,使用TCP的查询导致约7%的域名解析出现问题。“
到目前为止,处理不支持通过TCP的DNS查询的DNS服务提供商或域名注册商的常用方法,是通过将相同的TCP的DNS查询转换为标准UDP查询的来解决。
遗憾的是,部署这些解决方法的DNS提供商速度较慢,通过TCP方式访问DNS服务的用户数量也增速缓慢。
三、同样的服务提供商
Qrator Lab说大多数的TCP方式的DNS问题来自中国本土的域名注册商, 其中 7% TCP模式DNS解析的问题,中国域名提供商的问题占了72%。
Image:Qrator Labs
此外, 多数问题也出现在同一实体的网络中,这些网络在2019年DNS革新日期间与EDNS兼容的解析器存在问题,这表明大多数DNS生态系统都被同一组公司拖累了,这些公司不愿意更新或正确配置他们的服务器。
Qrator Labs讲,“DNS革新日组织成员已经达成共识,组成DNS社区的数千家互联网服务提供商和DNS运营商不再为了兼容几十家不更新他们的DNS服务器的公司公司而买单。”
2020的革新日的大体计划是:2020年2月1日起,停止TCP解析重定向到UDP解析的DNS兼容方案,届时,没有正确更新配置的DNS服务器会被上游服务器拒绝DNS查询服务。
四、更多的DNS革新日
由于2019年DNS革新日非常成功,此行业组织现在计划每年举行一次DNS革新日,渐进地迫使DNS提供商和注册商公司逐渐升级旧软件和旧配置。
DNS革新日组织成员包括ISC,Cloudflare,Facebook,Google,Cisco,Quad9,CZ.NIC,NLnet Labs,CleanBrowsing和PowerDNS。
领取专属 10元无门槛券
私享最新 技术干货