В целом, становилось понятно, что сложности возникнут лишь в том случае, если DNS-серверы окажутся неготовыми отвечать на запросы EDNS. Но эксперты заранее поспешили всех успокоить. К тому же результаты исследования по ситуации в российских национальных доменных зонах .ru и .рф были довольно позитивными – процент DNS-серверов, некорректно отвечающих на запросы по обновленной схеме, оказался ничтожно мал.
Чем не угодил старый добрый DNS
Протокол DNS действительно довольно старый. Его придумали в начале 80-х годов и в условиях современной жизни он давно перестал отвечать требованиям времени. Очевидно, что система доменных имен требует развития и не может оставаться в первозданном виде. Протокол имеет множество проблем, с которыми давно столкнулись производители программного обеспечения. К тому же по сей день остаются не решенными отдельные вопросы безопасности, да и многие функции, которые требовалось реализовать, до сих пор не реализованы. Большое количество DNS-серверов до сих пор не поддерживают необходимые требования в работе с современными информационными системами, что является барьером к принятию новых технологий. И хотя возможности DNS пытались как-то расширить, это ровным счетом не сильно повлияло на текущую ситуацию.
Какие изменения происходили?
В 1999 году придумали расширение EDNS0, благодаря которому работает механизм DNSSEC. Если кратко, DNSSEC умеет вычислять «подмену», то есть узнавать, кто ответил на DNS-запрос: легитимный источник либо же кто-то другой, не имеющий к нему никакого отношения. Это хоть и стало некой подвижкой к переменам, но в целом не решило всех проблем.
Борьба с молчунами
Первым, что было принято сделать – избавиться от молчунов в виде серверного ПО и файерволов, которые не поддерживают EDNS. Дело в том, что, когда поступает такого рода запрос, должен прийти обратный ответ. И если этого не происходит, соединение начинает висеть до тех пор, пока не истечет по таймауту. Дальше клиент отправляет повторный запрос без EDNS-флага. И если DNS-сервер работает по старинке, то есть не поддерживает расширенную версию протокола DNS, он ответит положительно. На этот процесс может уйти порядка 5-10 секунд, что довольно расточительно. От такого архаизма решили отойти и в новых версиях ПО повторные запросы без EDNS больше не отправляются. То есть теперь серверы будут работать в режиме «без права на ошибку». Если не ответил с первого раза, значит запрашиваемый ресурс будет недоступен. Такая схема работы протокола вступила в силу с 1 февраля 2019 года.
Кто придумал новые правила игры?
Главные DNS-провайдеры и ведущие игроки в лице Google, Cisco, CloudFlare и прочих компаний стали инициаторами грядущих перемен. Они запланировали глобальное обновление системы доменных имен, обозначив этот день в календаре как DNS Flag Day. Кстати первые заявления о планируемой смене протокола были сделаны в марте 2018 года. Уже тогда общественность проинформировали о переходе на новую схему работы службы DNS.
Немного аналогии
Для лучшей наглядности изменений, которые произошли с наступлением DNS Flag Day, проведем аналогию.
Включите воображение!
Представьте, что до 1999 года люди не могли использовать пластиковые карты для оплаты товаров в супермаркете. Расплачивались только бумажными деньгами. С наступлением 1999 года произошли изменения и магазины стали принимать электронные платежи.
При этом остались отдельные пункты продаж, которые до сих пор не работают с пластиковыми носителями. Но узнать об этом можно только на кассе. Согласитесь, такие сюрпризы мало приятны. Идешь себе довольный с полной тележкой товара и золотой картой, а расплатиться в итоге не можешь, просто потому, что не успел снять наличные.
Таким образом, EDNS – это супермаркет, принимающий современные способы оплаты, а DNS- устаревший магазин, работающий только с бумажными деньгами. С 1 февраля 2019 года последние перестали функционировать. Другими словами, если DNS-сервер не поддерживает расширения ENDS, он выбывает из игры, поскольку не может сопоставлять имена по новой схеме.
Без повода для паники
Несмотря на распространяемые страшилки, паника была неуместна. Ведь большинство DNS-провайдеров успели заранее обновить собственное ПО, поэтому для многих компаний наступление DNS Flag Day прошло незаметно. Для остальных, кто оставил собственные DNS-серверы без обновлений, наступил ожидаемый эффект: сайты, DNS-записи которых обслуживали устаревшие DNS-серверы, перестали открываться.
Кстати, проверить любой ресурс (доменное имя) на доступность можно было с помощью сайта https://dnsflagday.net. Здесь подробно рассказывалось о процедуре проверки и давались рекомендации по дальнейшим действиям.
В случае успешного теста, на страничке выводится зеленый индикатор и искренняя благодарность DNS-администратору, который хорошо потрудился! Компания «ИТ-ГРАД» заранее подготовилась к DNS Flag Day. А как вы пережили эту дату в календаре? Делитесь своими комментариями.
Источник - Компьютерра
