最近的大新聞是 DNS Flag Day!我還以為是胡扯,結果查一下還真有這個東西。
官方網頁在這邊:https://dnsflagday.net/
重點應該其實在於您的 DNS 權威伺服器有沒有支援 EDNS 的協議,如果沒有,
那在 2019/2/1 號以後,使用 8.8.8.8 或是 1.1.1.1 等大型公用 DNS 將會無法解析。
DNS flag day 是什麼?
DNS 內有一個延伸安全協定叫做 EDNS,主要提供 DNS 的安全性功能,譬如 DNSSEC
與 擴展 DNS 封包。這些功能能夠幫助 DNS 的查詢更加安全。因為 DNS 本身的設計問
題,當初並考慮太多安全的設計。所以造成一些 DNS 詐騙或是污染。
但因為啟用 EDNS 之後,會造成封包變大,主機負載會變重,再過去硬體昂貴的年代
,影響很大,所以很多 DNS 軟體會繞過 EDNS 協議,在速度與安全之間妥協。而公用
DNS 就是其中一個我們常用的服務,公用 DNS 大部分來說會繞過(Workaround) EDN
S 來減低負載並提高速度。
但 Google、CloudFlare、IBM 等擁有公用 DNS 的大型廠商將於 2019/2/1 號之後開始將
8.8.8.8、1.1.1.1 與 9.9.9.9 停止繞過 EDNS,並且強制使用 EDNS 協議。
對你的影響是什麼?
其實重點應該是在權威伺服器,也就是大家知道的 DNS 代管服務商,他們使用的 DNS
主機有沒有將 DNS 軟體更新到新的版本。更新到新版軟體之後,自然對 EDNS 協議的
支援度就沒有問題。
如果他們還是使用舊版本的軟體,則公用 DNS 在對主機做查詢的時候,就會自動失效。
或是他們公司的防火牆 (任何主機之前的資安設備) 若是沒有支援 EDNS,同樣會失效,
通常防火牆設備會是比較大的問題。
我怎麼知道沒有支援 EDNS
你只要打開 https://dnsflagday.net/ 然後在中間的地方,下面的方框中,填入你的網域
名稱,就可知道你的 DNS 代管(權威伺服器),有沒有支援 EDNS。
轉自哈維的部落格:https://blog.rsync.tw/dns-flag-day/
感恩哈維,讚嘆哈維~
官方網頁在這邊:https://dnsflagday.net/
重點應該其實在於您的 DNS 權威伺服器有沒有支援 EDNS 的協議,如果沒有,
那在 2019/2/1 號以後,使用 8.8.8.8 或是 1.1.1.1 等大型公用 DNS 將會無法解析。
DNS flag day 是什麼?
DNS 內有一個延伸安全協定叫做 EDNS,主要提供 DNS 的安全性功能,譬如 DNSSEC
與 擴展 DNS 封包。這些功能能夠幫助 DNS 的查詢更加安全。因為 DNS 本身的設計問
題,當初並考慮太多安全的設計。所以造成一些 DNS 詐騙或是污染。
但因為啟用 EDNS 之後,會造成封包變大,主機負載會變重,再過去硬體昂貴的年代
,影響很大,所以很多 DNS 軟體會繞過 EDNS 協議,在速度與安全之間妥協。而公用
DNS 就是其中一個我們常用的服務,公用 DNS 大部分來說會繞過(Workaround) EDN
S 來減低負載並提高速度。
但 Google、CloudFlare、IBM 等擁有公用 DNS 的大型廠商將於 2019/2/1 號之後開始將
8.8.8.8、1.1.1.1 與 9.9.9.9 停止繞過 EDNS,並且強制使用 EDNS 協議。
對你的影響是什麼?
其實重點應該是在權威伺服器,也就是大家知道的 DNS 代管服務商,他們使用的 DNS
主機有沒有將 DNS 軟體更新到新的版本。更新到新版軟體之後,自然對 EDNS 協議的
支援度就沒有問題。
如果他們還是使用舊版本的軟體,則公用 DNS 在對主機做查詢的時候,就會自動失效。
或是他們公司的防火牆 (任何主機之前的資安設備) 若是沒有支援 EDNS,同樣會失效,
通常防火牆設備會是比較大的問題。
我怎麼知道沒有支援 EDNS
你只要打開 https://dnsflagday.net/ 然後在中間的地方,下面的方框中,填入你的網域
名稱,就可知道你的 DNS 代管(權威伺服器),有沒有支援 EDNS。
轉自哈維的部落格:https://blog.rsync.tw/dns-flag-day/
感恩哈維,讚嘆哈維~