• IT-Karriere:
  • Services:

DNS Flag Day: Nameserver sollen TCP unterstützen

DNS-Softwarehersteller und Netzwerkbetreiber wollen ab Oktober voraussetzen, dass DNS-Server mit TCP-Anfragen umgehen können

Artikel veröffentlicht am ,
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden.
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Hersteller von DNS-Software und Betreiber von Nameservern wollen auch in diesem Jahr einen sogenannten DNS Flag Day veranstalten. Das Ziel dabei: Die Nameserver sollen moderne Standards unterstützen. Auf Server, die diese nicht unterstützen, soll keine Rücksicht mehr genommen werden. Eine ähnliche Aktion gab es bereits im vergangenen Jahr.

Stellenmarkt
  1. Dynamit Nobel Defence GmbH, Berlin
  2. MEIERHOFER AG, München, Berlin, Leipzig

Beim diesjährigen Flag Day geht es darum, IP-Fragmentierung bei großen DNS-Anfragen und Antworten über UDP zu vermeiden. Die IP-Fragmentierung ist oft unzuverlässig und kann auch zu Sicherheitsproblemen führen.

Maximale Puffergröße soll Fragmentierung vermeiden

Um sicherzustellen, dass DNS-Datenpakete nicht fragmentiert werden, sind zwei Maßnahmen vorgesehen. DNS-Server sollten für die Erweiterung EDNS eine maximale Puffergröße von 1.232 Bytes vorsehen. Das führt in den allermeisten Setups dazu, dass Pakete nicht fragmentiert werden müssen. Die meisten DNS-Anfragen können damit beantwortet werden. Für größere DNS-Pakete, die im Internetalltag eher selten sind, kann man auf das TCP-Protokoll ausweichen.

DNS-Anfragen können wahlweise über UDP oder TCP abgewickelt werden. Seit 2010 ist im RFC 5966 festgelegt, dass standardkonforme Nameserver TCP unterstützen müssen. Doch noch immer gibt es vereinzelt DNS-Server, die kein TCP unterstützen.

Die TCP-Unterstützung ist in allen gängigen DNS-Softwareprodukten standardmäßig aktiviert. Solange keine Firewall dafür sorgt, dass TCP-Datenpakete gefiltert werden, müssen Administratoren hier üblicherweise nichts tun. Die neu empfohlene maximale Puffergröße wird künftig in vielen DNS-Softwareprodukten standardmäßig voreingestellt. Wer diese manuell konfigurieren möchte, findet auf der Webseite des Flag Day entsprechende Konfigurationsbeispiele.

Wer sich unsicher ist, ob die eigenen Nameserver die neuen Anforderungen erfüllen, kann einen Onlinetest durchführen. Auf der Webseite des Flag Day gibt es einen Test, mit dem man die Nameserver der eigenen Domains prüfen kann.

Die meisten DNS-Server sind bereits TCP-fähig

In einer Präsentation aus dem letzten Jahr, in der die Idee des diesjährigen Flag Day bereits angekündigt wurde, ist noch die Rede davon, dass sieben Prozent der Hostnamen nicht mit den neuen Anforderungen klarkommen. Doch zwischenzeitlich wurden einige davon wohl aktualisiert. Mehrere der in der Präsentation erwähnten Domains sind inzwischen laut dem Onlinetest kompatibel. Neuere Zahlen, die im Bug Tracker des Flag Day veröffentlicht wurden, deuten darauf hin, dass weniger als ein Prozent der Hostnamen im Internet Probleme bekommen werde.

Bereits 2019 gab es einen DNS Flag Day. Dabei wurden in DNS-Implementierungen verschiedene Workarounds für EDNS deaktiviert, die dafür da waren, die Kommunikation mit fehlerhaft implementierten Servern sicherzustellen. Zu größeren Problemen kam es dabei nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Kleba 09. Sep 2020

So weit ich das hier bisher mitbekommen habe, ist es vollkommen in Ordnung das hier im...

tunnelblick 08. Sep 2020

Ist natürlich, dass reflection Attacken dann nicht mehr so einfach möglich sind...


Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /