38.[주의] DNS Flag Day - 2월1일

[주의] DNS Flag Day - 2월1일

일부 사이트 접속불가, 회사내 전체 인터넷이 안될수 있습니다.

https://dnsflagday.net/

무슨 일 이니?

현재의 DNS는 20 년 전에 설립 된 DNS 표준을 준수하지 않는 몇 가지 DNS 시스템을 수용하기위한 노력 때문에 불필요하게 느리고 비효율적입니다.

시스템의 지속 가능성을 확보하려면 이러한 조정을 중단하고 비준수 시스템을 수정해야합니다. 이 변경으로 인해 대부분의 DNS 작업이 약간 더 효율적으로 수행되며 운영자는 DDoS 공격으로부터 보호 할 수있는 새로운 메커니즘을 포함하여 새로운 기능을 배포 할 수 있습니다.

이 사이트에 나열된 DNS 소프트웨어 및 서비스 제공 업체는 2019 년 2 월 1 일경에 소프트웨어 또는 서비스에서 비준수 DNS 구현에 대한 편의 제공을 조정하는 데 동의했습니다.이 변경은 비 호환 소프트웨어를 운영하는 사이트에만 영향을 미칩니다.

더 많은 정보를 원하시면 귀하가 속한 그룹을 선택하십시오 :

나는 자신의 도메인이없는 인터넷 사용자입니다.

저는 도메인 소유자입니다.

저는 DNS 관리자입니다.

저는 DNS 전문가입니다 (DNS 소프트웨어 개발자, 연구원 등).

나는 인터넷 사용자입니다.

자신의 도메인 이름이없는 인터넷 사용자 인 경우 걱정할 이유가 없습니다. 이 변경 사항은 귀하에게 간접적으로 만 영향을 미치며 다른 조치를 취할 필요가 없습니다. DNS에 관심을 가져 주셔서 감사합니다!

저는 도메인 소유자입니다.

도메인 소유자 인 경우 아래 양식을 사용하여 도메인 변경 준비가되었는지 확인하십시오. 테스트 결과에는 필요한 추가 단계에 대한 조언이 포함됩니다.

도메인 테스트

도메인 이름 (www가없는 경우) :

동일한 서버 또는 서버 클러스터에 여러 영역이있는 경우 하나의 영역의 유효성을 검사하기 만하면됩니다. 자세한 내용은 테스트의 기술 세부 사항을 참조하십시오.

저는 DNS 관리자입니다.

DNS의 클라이언트 측에 대한 예정된 변경의 영향은 DNS 확인자 운영자에 대한 절에서 설명됩니다. 소규모의 신뢰할 수있는 서버는 아래에 설명 된 변경을 필요로 할 수 있습니다. 더 아래로 우리는 전문가의 테스트 및 도구에 대한 기술적 인 세부 사항을 나열합니다.

DNS 해석자 연산자

2019 년 2 월 1 일경, 주요 오픈 소스 리졸버 벤더들은 비표준 응답을 수용하지 않을 업데이트를 발표 할 것입니다. 이 변경은 1987 년의 원래 DNS 표준 (RFC1035) 또는 1999 년의 최신 EDNS 표준 (RFC2671 및 RFC6891)을 준수하지 않는 신뢰할 수있는 서버에 영향을줍니다. 아래에 나열된 주요 공개 DNS 확인자 운영자도 편의를 제거하므로 이러한 변경은 이러한 공용 DNS 서비스를 사용하는 인터넷 사용자 및 제공 업체에게도 영향을 미칩니다.

호환되지 않는 신뢰할 수있는 서버에서 호스팅되는 사이트는 업데이트 된 확인자를 통해 연결할 수 없게됩니다. 진단 도구 위에있는 웹 양식은 특정 도메인의 문제를 조사하는 데 도움이 될 수 있습니다. 반복적으로 위의 테스트에 실패한 도메인은 DNS 소프트웨어 또는 방화벽 구성에 문제가 있으며 DNS 확인자 운영자가 수정할 수 없습니다.

다음 버전의 DNS 리졸버는 EDNS 비준수 응답을 수용하지 않습니다.

BIND 9.13.3 (개발) 및 9.14.0 (제작)

Knot Resolver는 모든 최신 버전에서 이미 엄격한 EDNS 처리를 구현했습니다.

PowerDNS Recursor 4.2.0

언 바운드 1.9.0

DNS 서버 운영자

2019 년 2 월 1 일 이후에 아래에 나열된 주요 공개 DNS 확인자 운영자는 표준을 준수하지 않는 경우 해결 방법을 사용할 수 없게됩니다. 이 변경은 1987 년의 원래 DNS 표준 (RFC1035) 또는 1999 년의 최신 EDNS 표준 (RFC2671 및 RFC6891)을 준수하지 않는 권한있는 서버에서 호스팅되는 도메인에 영향을줍니다. 정책을 준수하지 않는 도메인은 이러한 서비스를 통해 도달 할 수 없게됩니다.

운영 문제를 피하기 위해 다음과 같은 준비 단계를 수행하는 것이 좋습니다.

위의 테스트 양식을 사용하여 권한있는 서버를 테스트하십시오. 특정 신뢰할 수있는 서버 집합에서 호스팅되는 단일 DNS 영역을 테스트하는 것만으로도 충분합니다. 테스트가 영역의 내용에 종속되지 않기 때문에 서버의 단일 영역이 테스트를 통과하면 충분합니다.

랜덤 네트워크 불안정성은 테스트 결과에 영향을 줄 수 있습니다. 문제의 일부는 응답하지 않는 DNS 소프트웨어, 방화벽이 응답을 차단하거나 인터넷에서 패킷 손실로 인해 발생할 수있는 제한 시간을 해석하는 데 있습니다. 문제가보고되면 다시 시도하십시오.

테스트를 통과 한 도메인이 테스트에 실패하면 DNS 소프트웨어를 최신 안정 버전으로 업데이트하고 테스트를 반복하십시오. DNS 소프트웨어 업데이트 후에도 테스트에 실패하면 방화벽 구성을 확인하십시오.

방화벽은 표준을 따르는 알려지지 않은 확장을 포함하여 EDNS 확장이있는 DNS 패킷을 삭제해서는 안됩니다. 공급 업체의 관련 정보는 여기에서 확인할 수 있습니다.

아카 마이

BlueCat

F5 BIG-IP

주니퍼 : 이전 버전의 주니퍼 SRX는 기본적으로 EDNS 패킷을 삭제합니다. 해결 방법은 # security alg dns doctoring none을 통해 DNS 닥터링을 비활성화하는 것입니다. EDNS 지원을위한 최신 버전으로 업그레이드하십시오.

Infoblox

DNS 소프트웨어 및 방화벽 업데이트 후 문제가 지속되면 방화벽 공급 업체에 연락하여 수정 요청을하십시오.