DNS Flag Day: Nameserver sollen TCP unterstützen

DNS-Softwarehersteller und Netzwerkbetreiber wollen ab Oktober voraussetzen, dass DNS-Server mit TCP-Anfragen umgehen können

Artikel veröffentlicht am ,
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden.
Auch dieses Jahr sollen nach einem DNS Flag Day Nameserver mit veralteten Konfigurationen nicht mehr berücksichtigt werden. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Hersteller von DNS-Software und Betreiber von Nameservern wollen auch in diesem Jahr einen sogenannten DNS Flag Day veranstalten. Das Ziel dabei: Die Nameserver sollen moderne Standards unterstützen. Auf Server, die diese nicht unterstützen, soll keine Rücksicht mehr genommen werden. Eine ähnliche Aktion gab es bereits im vergangenen Jahr.

Stellenmarkt
  1. Juristischer Berater (m/w/d) IT
    VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. Senior Cloud Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, Wadern (Home-Office möglich)
Detailsuche

Beim diesjährigen Flag Day geht es darum, IP-Fragmentierung bei großen DNS-Anfragen und Antworten über UDP zu vermeiden. Die IP-Fragmentierung ist oft unzuverlässig und kann auch zu Sicherheitsproblemen führen.

Maximale Puffergröße soll Fragmentierung vermeiden

Um sicherzustellen, dass DNS-Datenpakete nicht fragmentiert werden, sind zwei Maßnahmen vorgesehen. DNS-Server sollten für die Erweiterung EDNS eine maximale Puffergröße von 1.232 Bytes vorsehen. Das führt in den allermeisten Setups dazu, dass Pakete nicht fragmentiert werden müssen. Die meisten DNS-Anfragen können damit beantwortet werden. Für größere DNS-Pakete, die im Internetalltag eher selten sind, kann man auf das TCP-Protokoll ausweichen.

DNS-Anfragen können wahlweise über UDP oder TCP abgewickelt werden. Seit 2010 ist im RFC 5966 festgelegt, dass standardkonforme Nameserver TCP unterstützen müssen. Doch noch immer gibt es vereinzelt DNS-Server, die kein TCP unterstützen.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Die TCP-Unterstützung ist in allen gängigen DNS-Softwareprodukten standardmäßig aktiviert. Solange keine Firewall dafür sorgt, dass TCP-Datenpakete gefiltert werden, müssen Administratoren hier üblicherweise nichts tun. Die neu empfohlene maximale Puffergröße wird künftig in vielen DNS-Softwareprodukten standardmäßig voreingestellt. Wer diese manuell konfigurieren möchte, findet auf der Webseite des Flag Day entsprechende Konfigurationsbeispiele.

Wer sich unsicher ist, ob die eigenen Nameserver die neuen Anforderungen erfüllen, kann einen Onlinetest durchführen. Auf der Webseite des Flag Day gibt es einen Test, mit dem man die Nameserver der eigenen Domains prüfen kann.

Die meisten DNS-Server sind bereits TCP-fähig

In einer Präsentation aus dem letzten Jahr, in der die Idee des diesjährigen Flag Day bereits angekündigt wurde, ist noch die Rede davon, dass sieben Prozent der Hostnamen nicht mit den neuen Anforderungen klarkommen. Doch zwischenzeitlich wurden einige davon wohl aktualisiert. Mehrere der in der Präsentation erwähnten Domains sind inzwischen laut dem Onlinetest kompatibel. Neuere Zahlen, die im Bug Tracker des Flag Day veröffentlicht wurden, deuten darauf hin, dass weniger als ein Prozent der Hostnamen im Internet Probleme bekommen werde.

Bereits 2019 gab es einen DNS Flag Day. Dabei wurden in DNS-Implementierungen verschiedene Workarounds für EDNS deaktiviert, die dafür da waren, die Kommunikation mit fehlerhaft implementierten Servern sicherzustellen. Zu größeren Problemen kam es dabei nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /