Názory k článku Jste připraveni na DNS Flag Day? Od 1. února musíte reagovat na EDNS
-
BobTheBuilderStříbrný podporovatelDNSSEC v této souvislosti není problém.
Když pomineme to, že malá firma (typický adept na provoz 2008 serveru) na něm sotva provozuje autoritativní veřejný DNS server firmení domény - typicky veřejný DNS provozují u registrátora a hostingové firmy v jednom, Windows servery podporují EDNS0 o verze 2003.
Jediný problém, který jsem zběžně vygůgloval, byl s firewallem, pokud nepodporuje UDP pakety větší než 512B.
Máte-li tedy něco o chybné implementaci EDNS/EDSN0 ve Windows serverech, chtělo by to nějaký odkaz.
Kromě toho problém není ani v tom, že by EDNS/EDNS0 někdo nepodporoval, to je legitimní, ale v tom, že na EDNS neodpoví (ani správně, ani tím, že tomu nerozumí). -
BobTheBuilderStříbrný podporovatel
No tak znovu:
1) DNSSEC není předmětem debaty
2) jediné, co jsem k problémům EDNS0 a Windows 2008 serveru našel, se týká toho, že router má ve firewallu "zadrátováno" omezení DNS paketu na 512B, a pak to buď v tom firewallu vypnete (když to jde), nebo zakážete serveru EDNS, např.:
http://www.itgeared.com/articles/1146-windows-server-2008-r2-dns-issues-edns0/
Takže opět, prosím nějaký odkaz na to, že W2008 (R2) na EDSN(0) nijak neodpoví, dělá mrtvého brouka - což je problém, kterého se týká tento článek. -
Pokud použijete aktuální dig proti W2008R2, nedostanete odpověď (bind 9.11.4). Získáte ji jen když zakážete EDNS nebo cookie. Ono by vlastně i DNSSEC mělo fungovat (podle tehdejších vyjádření Microsoftu, nyní je to již bez komentáře, protože je už "jen" rozšířená podpora) a funguje jen díky dalším chybám, na které cílí workaroundy, které musíte použít, abyste alespoň mohl před W2008 dát něco, co DNSSEC umí. A ono to pak vypadá, že to funguje.
-
technomaniak (neregistrovaný)
NE, NENÍ
bit = jednotka signálu, hodnota 0 nebo I
byte = 8 bitů (tvz. bajt)
byt(bytů) = uzavřený obytný prostor nacházející se v obytných domech jenž jsou nejvíce rozšířeny v městských aglomeracích, známe mezi lidmi jako "byt"(nemovitost) ve kterých lidé bydlí.Vaše počeštění je totální blábol či spíš trotlovina.
1) Nikdy nedávejte na konci "Ů" u byte
2) Vhodnější je napsat "512 bytes / 512 bajtů / 512 byte " a nikoliv "512 bytů". -
Petr Špaček (neregistrovaný)
Dobrý den,
příkazy v článku jsou minimalistický test, netestují celé EDNS. Formulář na dnsflagday.net používá více testů a proto najde i více chyb. Pro vás důležitý je výsledek testu na dnsflagday.net.
Můžete sem i napsat jméno domény a můžeme se podívat, jak na tom vaše servery jsou.
-
MP (neregistrovaný)
To tahle informace nemohla prijit drive ????? Kde to kruci bylo?
Debian 8:
Package: pdns-recursor
State: installed
Automatically installed: no
Version: 3.6.2-2+deb8u4Package: pdns-server
State: installed
Automatically installed: yes
Version: 3.4.1-4+deb8u8https://ednscomp.isc.org/ednscomp/
: dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns2b)
: dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns1b)
: dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns1a)
: dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns2a)dig +norec +edns=0 soa zone @ns2a.zone ; <<>> DiG 9.11.4-3ubuntu5-Ubuntu <<>> +norec +edns=0 soa zone @ns2a.zone ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 26521 ;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: EDNS query returned status FORMERR - retry with '+noedns' ;; QUESTION SECTION: ;zone IN SOA ;; ANSWER SECTION: zone. 86400 IN SOA ns2a.zone. root.zone. 2018121901 28800 7200 604800 86400
dig +norec +noedns soa cortex.cz @ns2a.intr.cortex.cz ; <<>> DiG 9.11.4-3ubuntu5-Ubuntu <<>> +norec +noedns soa zone @ns2a.zone ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 26789 ;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;zone. IN SOA ;; ANSWER SECTION: zone. 86400 IN SOA ns2a.zone. root.zone. 2018121901 28800 7200 604800 86400
Mam to tedy chapat, ze potrebuju upgrade?
-
MP (neregistrovaný)
Nemluve o tom, ze...
https://packages.debian.org/buster/pdns-server
Package: pdns-server (4.1.5-1 and others)
??...v clanku uvedeno minimalne verze 4.2.0 ...
-
Filip JirsákStříbrný podporovatelNapř. 21. 9. 2018 to bylo tady na Rootu v článku: Jak přežít plánovanou údržbu DNS: v říjnu se mění klíče kořenové zóny.
Doména
cortex.czbude správně fungovat i po 1. 2. 2019, ale nepodporuje nejnovější standardy. Projděte si to tím testem na https://dnsflagday.net/cs/ -
merek (neregistrovaný)
soft od djb mam rad. qmail mame na serveru patnact let furt tu samou verzi. djbdns taky. funguje. vymysleny k perfekcionismu a perfekcionisticky napsany. skoda, ze moderni veci jako ipv6, dnssec a spol se tam musi resit pres 3rd party patche a zanaset si do toho bordel. kdyby na to djb na pul roku sednul a posunul to do 21. stoleti, klidne bych i prispel na vyvoj. ale pan si musi resit kryptografii!
jinak vysledky testu z weboveho testovatka proti djbdns: dns=ok edns=noopt edns1=noerror,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=noerror,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns512tcp=noopt optlist=noopt
-
Rhinox (neregistrovaný)
Ten "dns flag day test" mi u jedine (!) z cca 10 domen hlasi:
"Test cannot be evaluated because of an error."
Vsechny domeny mam na stejnych ctyrech dn-serverech, zonove soubory velice podobne a jednoduche (v podstate jenom po jednom zaznamu pro www) a na domenu se samozrejme muzu "podivat" pres web-browser. Opravdu netusim, v cem je problem...
-
KLMNOPQ (neregistrovaný)
A co kdyby se prostě řeklo, že standard nebude 512 bajtů dlouhý UDP packet, do kterého se bude nějak magicky dohackovávat rozšíření, ale že standardem bude už ten rozšířený packet s trochu upravenou strukturou?
Můj smysl pro pořádek v softwéru docela pláče nad současnou situací... Ale zas na druhou stranu... Co si budem povídat... Já to řešit nemusím, a když to baví řešit je, tak ať si to užijou... Stejně ale budu doufat, že když se začne přecházet na technologie jako DNS over HTTPS, tak se nakonec někdo zamyslí, zjistí, že 99% DNS můžeme beztrestně zahodit, a udělá to.
(Neříkám, že v HTTPS není nepořádek. )
-
KlMNOPQ (neregistrovaný)
Když o tom tvém, a Sinuhetově komentáři uvažuji zpětně, nejspíš se rozcházíme na tom, co znamená udělat nový standard.
Nejsem z těch akademiků, kteří by prohlásili, že DNS je špatně, a od stolu by napsali nějaký úplně nový protokol. Jsem spíš jeden z těch, kteří se podívají, kam se došlo, implementují to čistším způsobem, a zahodí zpětnou kompatibilitu. -
KLMNOPQ (neregistrovaný)
No.. Nacpu jeho implementaci do veškerého opensource DNS softwaru co tu teď je, a postarám se aby se to s původním DNS dokázalo vymotat na portu 53.
Pak jen budu čekat, než to nic netušící uživatelé nainstalují na dostatečně velkou část internetu. Mezitím vysvětlím microsoftu, že i oni by se rádi zbavili starého DNS.
No a nakonec prostě vyhodím původní DNS kód.Za deset let by se mohlo zadařit.
-
Vladimír ČunátStříbrný podporovatel
Jedna věc je nové nekompatibilní DNS 2.0 navrhnout, druhá dobře naimplementovat (různé platformy, autoritativní, resolvery, stub-resolvery). A nakonec to nejlepší, přesvědčit ostatní aby na něj přešli – vzpomeňme třeba na IPv6 kde je IMHO větší motivace přejít než by byla u DNS a ta migrace i tak pořád dost drhne.
-
Vladimír ČunátStříbrný podporovatel
No jestli 20 let je považováno za nové. Splnit to RFC je snadné – ne-podpora EDNS se signalizuje pomocí návratového kódu FORMERR, a to je respektováno i po tomto únoru. Rozumné servery ale EDNS už dávno podporují.
Přesvědčování zbytku se myslím celkem daří; data pro .cz: https://blog.nic.cz/2019/01/21/temer-vsechny-cz-domeny-jsou-pripraveny-na-unorovou-udrzbu-dns/
-
Implementace EDNS(0) není nové DNS, dokonce už bych to ani nenazval staré DNS, ale prostě je to integrální součást protokolu.
Cílem je říct, že pokud se rozhodnete naimplementovat si vlastní DNS server (nedělejte to, fakt to nedělejte), tak musí minimálně vracet FORMERR, pokud dostane EDNS(0) paket.
-
KLMNOPQ (neregistrovaný)
Tak to panejo... Ale pořád... Když si to vezmu z nadhledu, tak v tomhle případě jde o to, že všichni chtějí odstranit hack, který zajišťuje kompatibilitu s těmi, kteří nebyli ochotni implementovat upozornění, že neimplementují rozšíření, které obchází omezení délky paketů (vzniklé v osmdesátých letech) tím, že do skupiny záznamů přidají záznam se speciálním významem.
Vážně. Nedal by se ten bordel z DNS aspoň vykuchat a zahodit?Citace z článku:
"Protokol DNS vznikl v 80. letech, tedy v době výrazně nižších propustností sítí a především o mnoho řádů nižším výkonem počítačů. Byl proto navržen na protokolu UDP, s pevnými velikostmi jednotlivých parametrů a s mnoha omezeními podřízenými rychlým zpracováním v omezeném prostředí.Rychle se ale objevily další nápady, jak původní DNS rozšířit, ovšem původní návrh to nijak jednoduše neumožňoval. Jednak byla velikost UDP paketu omezena na 512 bytů, zároveň měly jednotlivé položky v paketu pevně dané místo a velikost a kvůli zpětné kompatibilitě nebylo možné s tím jednoduše hnout.
V roce 1999 (už před 20 lety!) proto vyšel první standard zvaný EDNS, který je ukotven v RFC 2671 a zavedl rozšíření původního protokolu. Protože do hlavičky nelze nic přidávat, byly využity takzvané pseudo-RR záznamy, které se přidávají na konec samotné zprávy. Tam se tedy v EDNS přilepí doplňující informace, které je potřeba přenést. Později byl ještě tento mechanismus doplněn, konkrétně v roce 2013 v RFC 6891."
-
KLMNOPQ (neregistrovaný)
Aha, děkuji za upozornění. Takže EDNS je obecně způsob, jak do DNS dohackovat rozšíření hlavičky?
Já to beru jako ukázku toho, jaký je v současné implementaci DNS nepořádek. Chápu, že se musí řešit zpětná kompatibilita, ale opravdu se chceme navždy nechat omezovat věcmi vzniklými čtyřiceti lety? Kdybych takovýto kód předal zákazníkovi, tak mě asi zabijou. A je otázka, jestli mě zabije dřív můj šéf nebo zákazník.
-
Filip JirsákStříbrný podporovatel
Co se na to podivat tak, ze edns je jen hack klasickeho dns a nekdo proste neni ochoten timto hackem prasit svuj kod.
Pokud by to tak bylo, pořád by stačilo, kdyby se ten jeho DNS server choval podle standardu (toho původního). -
Lamb (neregistrovaný)
Jediny problem je, ze cznic neumi na tento stav korektne reagovat - zejmena ve svem kont resolveru. I proto vznikaji takove prasarny jako to jejich bonzovaci dns violations, atd. Pri tom by stacilo, kdyby se sami ridili svou radou, opravdu neimplementujte ale opravdu ne ale fakt jakoze fakt ne vlastni dns.
-
Filip JirsákStříbrný podporovatel
Lamb: Mohl byste být konkrétnější? Na co neumí korektně reagovat?
ČLÁNKY DO MAILU