Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (161)
  • добавить в избранное
    Добавить в закладки

D-day. Достать чернил и плакать?

Прочитали: 13102 Комментариев: 61 Рейтинг: 77

23 января 2019

Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

https://habr.com/ru/company/cisco/blog/436662

Точнее, всё еще хуже – недоступным может стать любой ресурс, доступ к которому осуществляется через DNS.

Мы уже рассказывали «на пальцах», что такое DNS.

Адрес любого интернет-ресурса – это набор символов, не ассоциирующихся у обычных пользователей ни с чем. Это чисто техническая информация. Пользователи при обращении к сайтам используют осмысленные названия. Скажем, если мы набираем в браузере www.drweb.ru, то на самом деле обращение пойдет по адресу 178.248.232.183. И это еще простой и короткий набор символов! Поэтому был придуман специальный протокол – DNS. Когда вы вводите название домена (причем необязательно в браузере), с помощью этого протокола происходит запрос к специальным DNS-серверам, которые выдают цифровое имя ресурса.

https://www.drweb.ru/pravda/issue/?number=627&lng=ru

Минутка воспоминаний. Автору приходилось выходить на сайты по их цифровым адресам. Это несложно – нужно в окне браузера ввести вместо имени ресурса его цифровой адрес. И надо сказать, что далеко не всегда ресурс, доступный по имени, доступен и по своему IP-адресу.

Вот, скажем, drweb.com. Узнать адрес ресурса просто. Для этого достаточно использовать утилиту ping.

#drweb

Но что будет, если мы введем в браузере адрес 178.248.233.94?

#drweb

Дело в том, что на одном адресе может располагаться несколько ресурсов, и хотя при обращении к ресурсу запрос к нему действительно приходит на его цифровой адрес, при получении запроса ресурс анализирует, какое имя ресурса интересует пользователя, и дает доступ именно к нужному для пользователя ресурсу.

Этот подход позволяет экономить адреса и меньше платить за их приобретение, но, к сожалению, также приводит к тому, что если ресурс блокируется по его адресу, то под блокировку попадают и все ресурсы, также использующие этот адрес.

Вернемся к DNS. Это очень старый протокол, и, естественно, хотелось бы добавить в него новый функционал.

Такая работа была начала в 1999 году, когда в виде RFC 2671 была опубликована первая версия расширений под названием EDNS0 (Extension Mechanism for DNS). Текущая версия расширенного протокола EDNS описана в RFC 6891. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS.

С 1-го февраля не поддерживающие стандарт EDNS сервера будут недоступны, и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS, – Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный, и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.

В общем, обычное для пользователей событие – отказ от использования предыдущей версии программного обеспечения. Только на уровне серверов сети Интернет.

Поскольку очень и очень многие компании еще не обновили используемое программное обеспечение, 1 февраля их ресурсы станут недоступными. А это, кстати, пятница – очень удобный день для апдейта! В случае проблем ресурс будет недоступен в выходные и часть понедельника. (Кстати, компания «Доктор Веб» стремится проводить обновления своего ПО в середине недели – не в пятницу и не перед праздниками.)

Как проверить, будет ли работать некий ресурс?

Проверить перспективы доступа к своему сайту в феврале 2019-го года достаточно просто – надо всего лишь зайти на сайт dnsflagday.net, ввести там имя своего домена и получить результат.

Если всё нормально, вы получите сообщение All Ok!

#технологии #роутер #сервер #сайт #Интернет

Антивирусная правДА! рекомендует

  1. Проверьте с помощью dnsflagday.net готовность к изменениям доменов вашей компании или организации. И в случае проблем уведомите своих администраторов. Кроме этого сообщите своим администраторам, что

    некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может приводить к реализации DoS-атак (например, МСЭ может блокировать DNS cookies, которые являются частью EDNS и предназначены как раз для защиты от DoS-атак) и снижению скорости в Интернет.

    Поэтому стоит обратить внимание на правила ваших МСЭ, так как раньше это было достаточно распространено и многие уже просто забыли, когда и зачем добавлялись правила в свои средства сетевой периметровой безопасности.

  2. Если вы самостоятельно поддерживаете дома DNS-сервер, проверьте его доступность. Если сервер недоступен из сети Интернет – просто обновите его программное обеспечение.

    ! Еще не все дистрибутивы Linux поддерживают нужные версии утилит Bind. Обновления ожидаются.

  3. Если вы используете DNS-сервис на своем роутере, проверьте наличие обновлений роутера.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: