• IT-Karriere:
  • Services:

DNS Flag Day: Nameserver sollen TCP unterstützen

DNS-Softwarehersteller und Netzwerkbetreiber wollen ab Oktober voraussetzen, dass DNS-Server mit TCP-Anfragen umgehen können

Artikel veröffentlicht am ,
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden.
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Hersteller von DNS-Software und Betreiber von Nameservern wollen auch in diesem Jahr einen sogenannten DNS Flag Day veranstalten. Das Ziel dabei: Die Nameserver sollen moderne Standards unterstützen. Auf Server, die diese nicht unterstützen, soll keine Rücksicht mehr genommen werden. Eine ähnliche Aktion gab es bereits im vergangenen Jahr.

Stellenmarkt
  1. dSPACE GmbH, Böblingen
  2. Evangelische Kirche im Rheinland, Düsseldorf

Beim diesjährigen Flag Day geht es darum, IP-Fragmentierung bei großen DNS-Anfragen und Antworten über UDP zu vermeiden. Die IP-Fragmentierung ist oft unzuverlässig und kann auch zu Sicherheitsproblemen führen.

Maximale Puffergröße soll Fragmentierung vermeiden

Um sicherzustellen, dass DNS-Datenpakete nicht fragmentiert werden, sind zwei Maßnahmen vorgesehen. DNS-Server sollten für die Erweiterung EDNS eine maximale Puffergröße von 1.232 Bytes vorsehen. Das führt in den allermeisten Setups dazu, dass Pakete nicht fragmentiert werden müssen. Die meisten DNS-Anfragen können damit beantwortet werden. Für größere DNS-Pakete, die im Internetalltag eher selten sind, kann man auf das TCP-Protokoll ausweichen.

DNS-Anfragen können wahlweise über UDP oder TCP abgewickelt werden. Seit 2010 ist im RFC 5966 festgelegt, dass standardkonforme Nameserver TCP unterstützen müssen. Doch noch immer gibt es vereinzelt DNS-Server, die kein TCP unterstützen.

Die TCP-Unterstützung ist in allen gängigen DNS-Softwareprodukten standardmäßig aktiviert. Solange keine Firewall dafür sorgt, dass TCP-Datenpakete gefiltert werden, müssen Administratoren hier üblicherweise nichts tun. Die neu empfohlene maximale Puffergröße wird künftig in vielen DNS-Softwareprodukten standardmäßig voreingestellt. Wer diese manuell konfigurieren möchte, findet auf der Webseite des Flag Day entsprechende Konfigurationsbeispiele.

Wer sich unsicher ist, ob die eigenen Nameserver die neuen Anforderungen erfüllen, kann einen Onlinetest durchführen. Auf der Webseite des Flag Day gibt es einen Test, mit dem man die Nameserver der eigenen Domains prüfen kann.

Die meisten DNS-Server sind bereits TCP-fähig

In einer Präsentation aus dem letzten Jahr, in der die Idee des diesjährigen Flag Day bereits angekündigt wurde, ist noch die Rede davon, dass sieben Prozent der Hostnamen nicht mit den neuen Anforderungen klarkommen. Doch zwischenzeitlich wurden einige davon wohl aktualisiert. Mehrere der in der Präsentation erwähnten Domains sind inzwischen laut dem Onlinetest kompatibel. Neuere Zahlen, die im Bug Tracker des Flag Day veröffentlicht wurden, deuten darauf hin, dass weniger als ein Prozent der Hostnamen im Internet Probleme bekommen werde.

Bereits 2019 gab es einen DNS Flag Day. Dabei wurden in DNS-Implementierungen verschiedene Workarounds für EDNS deaktiviert, die dafür da waren, die Kommunikation mit fehlerhaft implementierten Servern sicherzustellen. Zu größeren Problemen kam es dabei nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: The Force Unleashed - Ultimate Sith Edition für 4,20€, Star Wars: Knights of...

Kleba 09. Sep 2020 / Themenstart

So weit ich das hier bisher mitbekommen habe, ist es vollkommen in Ordnung das hier im...

tunnelblick 08. Sep 2020 / Themenstart

Ist natürlich, dass reflection Attacken dann nicht mehr so einfach möglich sind...

Kommentieren


Folgen Sie uns
       


    •  /