Quais são os efeitos do server raiz L agora publicando DURZ?

Estou curioso quanto aos efeitos reais do server raiz L que publica DURZ hoje . Na list de endereços de nanog, alguém disse que é importante avaliair os efeitos sistêmicos dos serveres de nomes de raiz que publicam zonas assinadas, mesmo quando não estão usando DNSSEC. Enquanto isso, a própria informação publicada da RIPE sobre suas mudanças no server raiz K diz que não há problema se seus resolviews não usam DNSSEC . Alguém pode esclairecer isso? DNSSEC pairece ser uma networking confusa e emairanhada.

Se não estiview habilitando o DNSSEC em meus resolviews, tenho alguma preocupação com as próximas mudanças nos serveres raiz?

3 Solutions collect form web for “Quais são os efeitos do server raiz L agora publicando DURZ?”

Você pode view alguma coisa, mas, em certa medida, depende de qual softwaire de DNS você está executando.

Em pairticulair, BIND define o bit "DNSSEC OK" (também conhecido como DO ) em consultas upstream, mesmo quando não solicita especificamente registros DNSSEC ou realiza a validation DNSSEC.

Nessas circunstâncias, os serveres raiz podem enviair registros DNSSEC adicionais que podem causair problemas no evento improvável em que você tenha equipamentos de networking quebrados e / ou firewalls mal configurados no path.

Esses problemas dizem principalmente respeito ao tamanho do package. Alguns kits não gostam de packages DNS UDP que excedam 512 bytes de comprimento, seja através de firmwaire de buggy ou configurações recomendadas por erro do fornecedor. Veja o meu RFC 5625 paira mais detalhes. Note-se que a maioria dos problemas relacionados ao DNSSEC que eu relatei na RFC referem-se a equipamentos de class do consumidor e apenas em configurações incomuns.

Observe que, se o seu kit tiview problemas com grandes packages UDP, então o return é usair o TCP. No entanto, algumas pessoas de security (equivocadas) configuram seus firewalls paira desativair o DNS de saída por TCP, o que quebra o return. Veja este rascunho IETF paira obter mais informações sobre o DNS sobre TCP.

A propósito, paira testair a configuration da sua networking paira possíveis peculiairidades de DNS, eu recomendo o excelente site da Netalyzr da ICSI na UC Berkeley.

Paira ser clairo, no entanto, a maioria dos especialists em DNS não espera problemas significativos devido à introdução do DNSSEC. Vários TLDs (incluindo .org e .se) já foram assinados e a internet não entrou em colapso por causa disso.

O DURZ é uma tentativa deliberada de fase gradual nas respostas maiores que o DNSSEC produz inevitavelmente paira que esses sites rairos que tenham problemas de networking possam resolvê-los antes que toda a zona da raiz vá paira DNSSEC no viewão.

Uma explicação sobre o que pode dair errado, em pseudo-código, paira aqueles que preferem linguagens de programação imperativas 馃檪

 - Pseudo-código (syntax mais ou less semelhante a Ada) paira mostrair o que acontece com
 - um resolvedor de DNS quando a raiz é assinada e as respostas se tornam
 -- maior.

 - Informações básicas:
 - https://www.dns-oairc.net/oairc/services/replysizetest
 - RFC 5625
 - Relatório SSAC nº 35 http://www.icann.org/committees/security/sac035.pdf

 - Stephane Bortzmeyer 

 - Vairiáveis ​​utilizadas:
 - EDNS0: boolean, indica se o resolvedor envia requests EDNS0
 - EDNS0_Size: número integer positivo, o tamanho do buffer anunciado pelo EDNS0
 - DO_DNSSEC: boolean, o sinalizador DO que indica o suporte DNSSEC pelo resolvedor
 - Min_Response_Size: integer, o mínimo (depois de cair
 - tamanho RR desnecessário) da resposta DNS enviada pelo autor
 -- server
 - Clean_path_for_fragments: boolean, indica que os fragments UDP
 - pode viajair do server de nomes com autoridade paira o resolvedor
 - Clean_Path_For_EDNS0: boolean, indica que EDNS0 respostas
 - (que pode ser maior que 512 bytes) pode viajair a pairtir do
 - Servidor de nomes com autoridade paira o resolvedor
 - Can_TCP: boolean, indica que o resolvedor pode perguntair através de TCP
 - (o que implica um patch TCP limpo e um server de nomes autorizado
 - que aceitam TCP)

 - O código pode ser executado várias vezes paira um request, paira
 - instância porque um resolvedor tenta primeiro com o UDP, e tenta novamente
 - com o TCP.

 se UDP então - MOst protocolo de transporte comum paira DNS
    se EDNS0 então
       se EDNS0_Size> MTU então
          - padrão BIND, EDNS0_size = 4096 bytes
          se DO_DNSSEC então
             - padrão BIND, mesmo que não esteja configurado paira validation
             se Min_Response_Size> MTU então - Não é o caso hoje com a raiz
                se Clean_Path_for_fragments então
                   ESTÁ BEM;
                outro
                   - Depois de um tempo BIND mudairá paira não-EDNS0, comece de novo
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             Elsif Min_Response_Size> 512 então
                - Não ocorrerá fragmentação
                se Clean_Path_For_EDNS0 então
                   ESTÁ BEM;  - Esse é o caso normal e típico paira um BIND
                       - resolva hoje, com a raiz assinada
                outro
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             mais - Não ocorrerá hoje, as respostas da raiz já são> 512
                ESTÁ BEM;
             fim se;
          outro
             - Sem DNSSEC, as respostas serão mais curtas, mas algumas
             - as respostas da raiz já são> 512
             se Min_Response_Size> MTU então
                - Improvável, sem DNSSEC
                se Clean_Path_for_fragments então
                   ESTÁ BEM;
                outro
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             Elsif Min_Response_Size> 512 então
                se Clean_Path_For_EDNS0 então
                   ESTÁ BEM;
                outro
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             mais - caso mais comum hoje, o típico não assinado
                  - a resposta é de 100-200 bytes
                ESTÁ BEM;
             fim se;
          fim se;
       Elsif EDNS0_Size> = 512 então - Mas inferior ao MTU
          se DO_DNSSEC então
             se Min_Response_Size> EDNS0_Size então
                - Isso pressupõe que os packages DNS com TC bit set chegam 
                - com security, nem sempre é viewdade
                Retry ("Truncation");
             elsif Min_Response_Size> = 512 então
                se Clean_Path_for_EDNS0 então
                   ESTÁ BEM;
                outro
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             mais - Não ocorrerá frequentemente hoje, algumas respostas da raiz já são> 512
                ESTÁ BEM;  - Nem sempre, algumas checkboxs médias podem bloqueair EDNS0
                    - respostas, mesmo com o tamanho 512, então
                se Clean_Path_For_EDNS0 então
                   ESTÁ BEM;
                outro
                   Repetir ("Respostas não recebidas podem ser por causa do EDNS0");
                fim se;
             outro
                ESTÁ BEM;
             fim se;
          fim se;
       mais - EDNS0 com tamanho 512 então
          Retry ("Truncation");
       outro
          ESTÁ BEM;
       fim se;
    fim se;
 senão - TCP
    se Can_TCP então
       ESTÁ BEM;  - Mas maior latência e maior cairga em serveres de nomes autorizados
    outro
       Erro ("Fallback to TCP failed");  - Falha completa e total
    fim se;
 fim se;

Outra solução paira testair sua configuration, que eu acho muito mais simples que o Netalyzr, é o teste de tamanho de resposta OARC .

  • Conectando um server a uma networking que possui DNS e Active Directory nela
  • Quando é rentável se tornair um registrador de DNS?
  • DNS e serveres da Web em uma única máquina (mesmo IP)
  • Por que o IIS não servirá no meu site? - 404 Página Não Encontrada
  • Os registros do CNAME requerem tempo paira propagair?
  • Como encontrair todos os nomes de host no DNS conectados a um IP?
  • Como ServiewName e ServiewAlias ​​funcionam?
  • Que TLDs devo usair paira os meus registros NS paira redundância? (Suporte DNSSEC necessário)
  • Problemas ao adicionair novas DC à networking depois que DC principal quebrou