О чем идет речь? Протокол DNS был разработан в начале 80-х годов. С тех пор много воды утекло и в протокол DNS понадобилось добавить новые функции и возможности. Такая работа была начала в 1999 году, когда в виде RFC 2671 была опубликована первая версия расширений под названий EDNS0 (Extension Mechanism for DNS). Данная версия позволила снять некоторые ограчения, например, на размер некоторых полей флагов, кодов возврата и т.п. Текущая версия расширенного протокола EDNS описана в RFC 6891. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS, создавая тем самым определенные сложности при взаимодействии, необходимости обеспечивать обратную совместимость, что в свою очередь приводит как к замедлению работу всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS.
Но этой вакханалии пришел конец — с 1-го февраля неподдерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.
Для большинства компаний DNS Flag Day пройдет незамеченным, так как многие DNS-провайдеры уже обновляют или обновили свое ПО до необходимых версий. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов. В результате с 1-го февраля сайты многих ведомств могут стать недоступны или столкнуться с проблемами с доступом.
Проверить перспективы доступа к своему сайту в феврале 2019-го года достаточно просто — надо всего лишь зайти на сайт dnsflagday.net, ввести там имя своего домена и получить результат, который будет иметь разные значения. В идеале вы должны увидеть картинку, аналогичную той, которая показана ниже для сайта cisco.ru:
Если вы видите картинку, аналогичную той, которая выдается, например, для сайта АНО «Цифровая экономика», то это означает, что сайт работать будет, но он не поддерживает последний стандарт DNS и не сможет в полном объеме реализовать необходимые функции безопасности и может стать мишенью для хакеров, которые могут (а вдруг) атаковать этот сайт.
Первые две картинки из этой заметки с красными знаками
В завершение заметки я не могу не коснуться вопросов безопасности. Дело в том, что некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может приводить к реализации DoS-атак (например, МСЭ может блокировать DNS cookies, которые являются частью EDNS и предназначены как раз для защиты от DoS-атак) и снижению скорости в Интернет. Поэтому стоит обратить внимание на правила ваших МСЭ, так как раньше это было достаточно распространено и многие уже просто забыли, когда и зачем добавлялись правила в свои средства сетевой периметровой безопасности.
До наступления DNS Flag Day остается меньше двух недель — еще достаточно времени на то, чтобы начать соответствовать стандарту и не снижать лояльность клиентов и граждан, которые, столкнувшись с недоступностью или замедленной работой вашего сайта, начнут нелицеприятно высказываться об этом в соцсетях.
Разумеется, говорить о глобальном апокалипсисе не стоит. Более того, для многих этот день, как я написал выше, пройдет и вовсе незамеченным. Но настройки DNS в этот день будут менять многие провайдеры, что может сказаться на доступности некоторых сайтов. Это риск, о котором стоит знать и к которому надо быть готовым.
Комментарии (133)
CoolCmd
18.01.2019 21:07.tk будет тормозить :(
prs123
18.01.2019 21:38А у меня говорит ОК.
onegreyonewhite
19.01.2019 03:50У них (сайт для проверки) там баг (или просто не учли). Запись в кеше сохраняется и повторный запрос всегда отвечает «ОК». С телефона не могу проверить, но судя по всему они с клиента запрос делают, а значит повторная проверка или проверкая адреса с долгим ttl может быть неправильная.
maxzhurkin
18.01.2019 21:08-1Ну конечно!
О чём ещё мог написать Мировой Лидер Сетевых Технологий?!
Разумеется, о МегаФэйле.alukatsky Автор
18.01.2019 23:35+5Ну фейла пока нет. Заметка призвана помочь не доводить до фейла :-)
foal
18.01.2019 21:39+10А давайте сайт rkn.gov.ru чинить не будем…
Doverchiviy_kot
18.01.2019 22:40+2А потом РКН скажет сами знаете кому что «Царь батюшка тут вот запад устроил атаку на банки, на ряд сервисов и на наш тоже обрушили свои взгляды басурманские, нужны 2 млрд. для обеспечение безопасности.»
dartraiden
18.01.2019 23:05Нет, вот эти господа скажут, что они всё это предвидели и нужно срочно принимать предложенный законопроект.
Клишас и Луговой внесли законопроект о суверенном Рунете. Эти меры гарантируют работу Рунета при невозможности подключения к зарубежным серверамvikarti
19.01.2019 09:29А что — это ТАК проблема не исправимая быстро? Именно невозможность подключения и невозможность это исправить, если специалисты провайдеров действительно понимают что да — надо срочно исправлять проблему (допустим по сценарию «Семь дней в июле» — там один из элементов сюжета — именно то что у всех стран СНГ(+прибалты) интернет между собой — работает, а со всем что было вне — не работает, и не заработает уже, при этом — какой существенной угрозы работе того что осталось — не ожидается, ну кроме того что любой импорт хайтеха — тоже накрылся).
Cerberuser
19.01.2019 09:38+1Проблема в том, что к зарубежным серверам всё ещё можно подключиться и невозможно быстро это запретить.
ilyapirogov
19.01.2019 01:01А зачем им его чинить? После того как rkn.gov.ru и прочие сайты перестанут работать они скажут, что америка саботирует работу госсайтов и выпустят закон запрещающий использование любых DNS серверов, кроме национальных.
SmartyTimmi
18.01.2019 22:16+1Если так ничего и не исправят на гос. сайтах, интересно будет посмотреть, что скажут в новостях))
Ставлю на «Хакерскую атаку США» или «Тёмные силы»dartraiden
18.01.2019 23:03Сенатор Клишас скажет «вы смеялись над моим проектом суверенного Рунета, а я предвидел, я предупреждал!».
Bonio
19.01.2019 21:22Вмешательство в работу российского интернета извне. Формально все так и можно описать. ПО зарубежное, управляется извне, сговор производителей ПО
против россии и стабильности российской сетина лицо. Ох, чувствую, так оно все и будет, хороший повод протолкнуть последние «законы», учитывая повальную техническую неграмотность людей, их принимающих.
a0fs
18.01.2019 23:52+3Люди, которые 2 года боялись заменить ключи корневой зоне, ВНЕЗАПНО решили поломать весь интернет?!.. 0_о
Всё сломается а гугл нашёл из достоверных источников только блогозапись в APNIC?!.. 0_0!!111
Либо мужикам ещё не сказали, что через 2 недели всё сломается, либо ничего не сломается, поскольку интернеты на ушах из-за меньших неприятностей стояли…
Cryvage
19.01.2019 03:42Надо бы заранее записать в файл IP адреса основных сервисов. Ну так, на всякий случай.
fessmage
19.01.2019 09:57+1Забавно то, что у меня например тестер показывает ок для доменов, резолв которых доверен российскому хостеру, но для aws route 53 — minor issues. Правда на доступность доменов это не должно повлиять —
yellowmew
19.01.2019 14:53Судя по тестам, AWS отдает неверный ответ на неверный запрос: в данный момент существует только версия EDNS0 а тесты запрашивают EDNS1, которого не существует.
То есть тест спрашивает у Route53 то, чего не существует, и ожидает что AWS Route53 как-то правильно отреагирует
dewil
19.01.2019 22:04странно, что у них такой кривой тест
yellowmew
20.01.2019 08:56+2Мой комментарий, к стыду моему, действительно дает ощущение что «тест кривой».
На самом деле ожидание правильной обработки неверного запроса входит в RFC, но пока что не реализовано у AWS.
Обсуждение: forums.aws.amazon.com/message.jspa?messageID=851817
Borz
19.01.2019 11:04а кому принадлежит dnsflagday.net? в whois всё обфусцированно: https://www.whois.com/whois/dnsflagday.net
sergey-b
19.01.2019 13:28Царь хороший — бояре плохие. Вот пруф.
kremlin.ru — All OK
government.ru — All OK
mid.ru — All OK
cbr.ru — Fatal error detected
nalog.ru — Fatal error detected
fsb.ru — Serious problem detected
gosuslugi.ru — Serious problem detected
mil.ru — Serious problem detected
pochta.ru — Serious problem detected
rkn.gov.ru — Serious problem detectedalukatsky Автор
19.01.2019 14:54Интересно, что government.ru еще вчера был не ОК
sergey-b
19.01.2019 14:56+1Видимо, Дмитрий Анатольевич не только Фейсбук читает, но и Хабр.
alukatsky Автор
19.01.2019 15:00И это не может не радовать
jaguard
20.01.2019 16:15Уважаемый Димон, верните летние часы. Рассвет в 3 утра надоел.
Serge3leo
20.01.2019 16:39Кому чего ;) Тогда закат будет в 12 (в 24) ;)
ainoneko
21.01.2019 08:10Вы так говорите, как будто это что-то плохое ?\_(?)_/?
(Некоторым надоел закат в 3-4 (в 15-16) зимой и в 8 (в 20) летом.)Serge3leo
21.01.2019 13:54Как Тришкин кафтан не дели, те же три тёмных часа летней ночи, всё одно всем не угодишь ;) Чай не на широте Александрии живём ;) Разве что вспомнить греков: всегда ровно 12 часов от рассвета до заката и 12 часов от заката до рассвета, естественно с разной продолжительность дневных и ночных часов.
А полдень должен быть в полдень. За полжизни, лично я как-то смирился, что полдень не в 12:00, а в 13:00 (в Москве пораньше, в Ленинграде попозже).
Но зачем его сдвигать на 14:00?! Причём ещё и беспорядочно двигать туда-сюда по хаотично меняющимся правилам?! Вот к этому за 30 лет этого безобразия, лично я, привыкнуть так и не смог.
Господь сотворил время непрерывным и равномерным и не стоит его корёжить.
Temych
20.01.2019 13:33+1Да, а потом тяжело вздыхая, открывает серверную консоль и поправляет за всеми баги…
eeeesite
19.01.2019 14:53+1Я уже с ног сбился пытаясь подготовиться к проблеме.
Умрут сотни старых хороших сайтов на которые я иногда захожу.
Я пытаюсь найти решение проблемы.
Первая попытка скачать whois базу на всякий случай. Однако она большая. И более-менее приличные (начиная с более 50 миллионов) стоят приличных денег например 500-1000$.
Например по запросу в гугле whois databasedownload:
www.whoisxmlapi.com/whois-database-download.php
iqwhois.com/whois-database-download
…
или например более старые: Часть ищеться по вебархиву
pir.org/resources/file-zone-access
www.neustar.biz/resources/faqs/domain-name-registry
www.nic.coop/agreements.aspx
info.info/about/registrant-faqs
За те дни которые остались я только в лучшем случае успею найти малую часть нужных адресов.
Однако даже если я найду приличную дешевую или бесплатную бд остается вопрос к очень старым сайтам. И на будущее.
Будет ли, например хозяин старого сайта заморачиваться с этим. И не закроет ли он вообще его?
Открывать все свои десятки тысяч закладок и пытаться сохранить все их в вебархив? Я точно не успею. Есть ли подобное решение быстро сохранить в вебархив?
Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
Можно ли будет получить ip адрес из домена после этого дня? Я не сисадмин поэтому прошу пояснить мне это.
Многие сайты которым много лет и полузаброшены, но них много информации. Например по программированию.
И я сомневаюсь что их владельцы которые заходят раз в год читали этот пост.
Столько проблемных сайтов что мне кажется что отвалиться половина интернета кроме самых посещаемых сайтов.
Это уже который раз за пару этих лет я сбиваюсь с ног(Meltdown… Блокировка telegram..) Я уже боюсь что будет далее.
Все старое убивается с невероятной скоростью.
Обновлено в процессе написания:
Кстати минимальное решение уже найдено: Не качать базу данных а вводить в поиск на том же www.whoisxmlapi.com/whois-database-download.php
Однако все же хотелось спросить о 100% возможности найти адрес после DNS Flag Day программными средствами.
Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.
Новая идея:
Было бы неплохо автоматизировать превращение введенных названий сайтов из списка whois в ip адрес: например создать браузерный плагин для этого и распространить его среди пользователей. Это было бы отличным решением для старых сайтов которые скорее всего никогда не проведут обновление.Cerberuser
19.01.2019 15:22Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.
… и тот не сработает для ситуации нескольких сайтов на одном IP. Придётся руками файл hosts править.eeeesite
19.01.2019 15:36В таком случае не поможет ли редактирование hosts через браузерный плагин, например: Соединив этот плагин с whois api. И кнопку перехода.
Попытки кажется уже были.
Например поиск гугла:programm edit hosts filefirefox plugin
Manage Hosts Files From Within Firefox — gHacks Tech News
или
Hosts file — Google Chrome
…
Вероятность создания плагина для браузера(В автоматическом режиме) для обхода этой проблемы как по мне достаточно высока.
402d
19.01.2019 18:38Немного странно, что Вы решили использовать whois.
Этот сервис возвращает имя(ена) nserver. Не ip адрес сайта.
Ситуация когда whois возвращает еще и ip существует, но это по разряду исключений
nserver: ns1.sitename.zone. xx.xx.xx.xx
nserver: ns2.sitename.zone. yy.yy.yy.yy
eeeesite
19.01.2019 21:06Уже нашел более лучшие решения:
Например вот список пар dns-ip: dns-database-download.whoisxmlapi.com
как раз несколько 1.2 миллиона платно и 10 тысяч бесплатно.
Сейчас занят поиском таких вот баз данных dns.
Конечно 1.2 миллиона мало. Но это только 1 из вариантов.
sergey-b
19.01.2019 18:45Можете привести пример хотя бы одного сайта, который умрет? По-моему DNS — это функция DNS-провайдеров и хостеров, которые никуда не денутся.
alukatsky Автор
19.01.2019 20:11Есть организации, которые не доверяют внешним DNS-провайдерам и которые ставят свои DNS-сервера. Или есть госуха, которых обслуживает один DNS-провайдер. В этих случаях могут быть проблемы
sergey-b
19.01.2019 20:38+2Это понятно. Речь не о сайтах компаний с криворукими админами. Им руки распрямят в течение 1-й недели февраля.
Речь о гипотетических полезных неподдерживаемых сайтах, которые, если верить eeeesite, пропадут навсегда.
alukatsky Автор
19.01.2019 23:17А фиг знает. Я философски на это все смотрю :-) Буду больше читать книжек
Gamliel_Fishkin
20.01.2019 00:19
GlassEagle
20.01.2019 22:39Там опечатка — должно быть не FIFTEEN, а FIFTY.
ainoneko
21.01.2019 08:13Где-то было про аналитика, который говорил что-то вроде «Ко мне каждый год приходили алармисты и обещали мировую войну в следующем году. Я им не верил. За первую половину XX века я ошибся всего 2 раза.»
Gamliel_Fishkin
21.01.2019 11:34Если часы стоя?т, то дважды в сутки они показывают правильное время — надо только вовремя посмотреть на них (Приключения капитана Врунгеля).
Serge3leo
20.01.2019 13:49Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
Поставьте себе свой кэширующий DNS сервер с BIND 9.12.3 и настройте его для разрешения DNS запросов для всех своих компьютеров. Делов-то ;)InterceptorTSK
20.01.2019 16:25-2Ждем про это дело статью, делов-то…
Особенно про установку на вёнду пожалуйста не забудьте.Serge3leo
20.01.2019 16:37+1Возникнет проблема, будет и статья, и не одна ;) Только сдаётся мне, судя по молчанию того же Яндекс DNS, что многие публичные DNS сервера будут поддерживать устаревшие домены ещё долго, долго.
VanquisherWinbringer
20.01.2019 23:05Вспомнил новые звездные войны — «Пусть старое умрет. Дай ему умереть». :)
zikkuratvk
19.01.2019 15:37Что то мне подсказывает, что проблема не проблема. И интернет 1 февраля не заметит разницы по сравнению с предыдущим днем.
eeeesite
19.01.2019 15:41Интернет может не заметить, но я точно замечу. Я часто читаю материалы многих старых сайтов. Часть информации с годами не меняется.Иногда ценность даже вырастает.
Иногда заходишь на старый сайт который каким-то чудом дожил до современности и сразу становиться светлее на душе. В конце концов старое будет утеряно. :(
Часть людей точно заметит. Если использовать только самые популярные сайты — в таком случае я соглашусь с вами.alukatsky Автор
19.01.2019 16:26Дело же не в том, когда был создан сайт, а какого DNS-провайдера этот сайт использует. Использует Google и все будет пучком
KanuTaH
19.01.2019 16:31+2Вопрос не в сайтах, а в DNS-зонах, точнее, в тех, кто их хостит. Если зона даже ооочень старого сайта находится на DNS-серверах какого-нибудь относительно популярного массового DNS-хостинга, который вовремя обновляет свои BINDы (или что у него там) и не балуется сверх меры с настройками файрвола, то этим сайтам абсолютно ничего не угрожает. Если же хозяин сайта хостит домен сам на домашней машине на BIND 8 родом из 90-х, то тогда проблемы само собой будут, но, я думаю, таких все же меньшинство.
alukatsky Автор
19.01.2019 16:24В массе своей да. Проблемы будут у тех, кто свой DNS использует по принципу «поставил и забыл» или у тех, кто не проверяет актуальность правил МСЭ. Я не думаю, что у многих свой собственный DNS. В массе своей все используют популярных DNS-провайдеров, которые должны будут обновиться. Поэтому это не проблема, а напоминание
OasisInDesert
19.01.2019 16:32Дает ошибку «Invalid input or other unexpected error, sorry!»
Возможно сервис перегружен.
402d
19.01.2019 18:23а вот ns2.reg.ru. почти все ок, кроме
dns=ok edns=ok,nsid edns1=noerror,badversion,soa,nsid edns@512=ok ednsopt=ok,nsid edns1opt=noerror,badversion,soa,nsid do=ok ednsflags=ok,nsid docookie=ok edns512tcp=ok optlist=ok,nsid (ns8.reg.ru)
а ns1.reg.ru все строки похожие на то, что выше
Проверяю другим сервисом и вижу, что
SOA Serial Number Format is Invalid
ns1.reg.ru reported Serial 1529996645: Suggested serial format year was 1529 which is before 1970.
Так, что если NS от регистратора, то часть их серверов может быть неправильно настроена.
KanuTaH
19.01.2019 19:45Насколько я помню, требование к serial зоны ровно одно — чтобы он увеличивался при каждом изменении ее содержимого. Да, существуют рекомендации по построению serial в виде YYYYMMDDNN, но это просто вопрос удобства в плане читабельности, и не обязательно для корректного функционирования DNS. Это скорее вопрос к сервису-проверялке, почему у него такие требования странные. Serial от reg.ru сам по себе вполне валиден.
sergey-b
19.01.2019 19:43Кто еще не успел, закупайтесь быстрее. Время не ждет.
aliexpress.com — Fatal error detected
nebster21
19.01.2019 20:07-3Привет всем.Я новичёк и могли вы бы мне порекемендовать что изучать с начала? Заранее спасибо(мне 12)
Cerberuser
20.01.2019 07:26+1В контексте этой статьи? Полагаю — уровни модели OSI, в первую очередь, чтобы понимать, на чём всё это вообще основано. Потом, вероятно, есть смысл заняться практикой — ну, хотя бы и свою реализацию какого-нибудь протокола написать (пользуясь предоставленными системой нижележащими реализациями), HTTP поверх TCP/IP, к примеру.
artemlight
20.01.2019 22:17В 12 модель OSI многовато.
Зато основы computer science в самый раз.
Из своей средней школы я помню олимпиадные задачки на комбинаторику, пересечения прямых, перевод систем счисления, рекурсию итд.
Вот они здорово помогли в свое время набрать базу, и далее двигаться самостоятельно.
Ботай математику и какой-нибудь питон\паскаль\на чем там сейчас учат. Сначала процедурное программирование, потом ООП, потыкайся немного в СУБД.
И самое главное — учи английский язык, потом вырастешь и поймешь как это было важно. Читай stackoverflow, учись задавать вопросы хотя бы с переводчиком. Если всё будешь делать правильно — в 21-22 года уже будет отличная работа и куча перспектив.
gkorzhuk
19.01.2019 20:08Поддержка резолвинга для NS без поддержки EDNS будет отключена на публичных резолверах навроде 8.8.8.8 и 1.1.1.1 (полный список есть на dnsflagday.net). Выглядит довольно странно, ибо в результате этого резолверы точно потеряют часть клиентов — «на восьмерках не резолвит, а вот у 1.2.3.4 — резолвит!». Мне понятно стремление к лучшему, но непонятен метод достижения через «давайте сломаем, а они как-нибудь с горящей жопой починят».
Ну и уж тем более все заинтересованные в использовании старых NS могут поставить себе резолвер, и резолвить как угодно и с поддержкой чего угодно.alukatsky Автор
19.01.2019 20:15EDNS в 2013-м приняли. Учитывая стремление к повальной безопасности в Интернет и внедрению DNSSEC, DNS cookies и т.п., вполне понятно, что должно было наступить время, когда за соответствие стандарту возьмутся всерьез. Вот и взялись.
askhats
20.01.2019 11:59Я так думал, что самый распространенный сервер DNS это BIND. На dnsflagday.net написано, что EDNS поддерживается начиная с «BIND 9.13.3 (development) and 9.14.0 (production)». При этом на isc.org последний stable это 9.12. И как быть? Ставить нестабильную версию?
Serge3leo
20.01.2019 13:14Там написано не так, с этих версий они перестают работать навстречу с BIND ранних версий до 9.0.0 и 8.3.0.
А для более менее «спокойной жизни» требуется проверить, что на ваших DNS серверах установлен BIND версий 9.0.0 и 8.3.0 или выше.
khim
20.01.2019 21:48+1EDNS поддерживается с каких-то очень старых версий. Указанные версии перестанут поддерживать старый протокол.
kRosis
20.01.2019 22:46У меня вообще bind9/stable,stable,now 1:9.10.3.dfsg.P4-12.3+deb9u4 amd64 [installed]
На dnsflagday.net пишет всё ок.
oxff
20.01.2019 18:03Не знаю как насчёт Cloudflare, а для Google это никогда не было проблемой. Захотят -завтра совсем отключат. Большинство сервисов (не связанных непосредственно с рекламной деятельностью) не приносят прибыли компании. Они говорят что это just for fun, попытка сделать мир чуточку лучше.
BasilioCat
21.01.2019 11:36Ну да, корпорация добра. Сбор информации о посещаемых сайтах непосредственно связан с рекламной деятельностью.
berdck
19.01.2019 20:08Подскажите, а за какое время до 1 февраля стоит трясти своего хостинг провайдера, чтоб все работало, как надо?
alukatsky Автор
19.01.2019 20:12+1А у вашего провайдера проблемы? Если нет, то и не надо его трясти. А если проблемы, то трясите уже сейчас или сами поменяйте себе DNS на непровайдерские
402d
20.01.2019 00:03+2Одно слово журналисты.
Вот если просто бы написали:
Вниманию системных администраторов. В новых версиях Bind, Knot Resolver, PowerDNS и Unbound, выпущенных после 1.02.2019 ответы NS серверов, которые не соответствуют стандарту EDNS будут отбрасываться как не достоверные.
Что реально может сломаться первого февраля, если выльют релиз ?
Ваш роутер обновит прошивку. Возможно, но я не знаю моделей, которые
прошивки обновляют сами. Как лечить? Указать другой DNS вместо 192.168.x.1
У вашего провайдера? И прям одновременно у всех публичных днс?
Спокойнее. Просто примите инфу к сведению.
Если где-то что-то отвалиться, то лечиться downgradом версий.
Акция или сдуется или народ просто перестанет обновлять bind и т.п.
Serge3leo
20.01.2019 11:13На сайте dnsflagday.net есть фраза «On or around Feb 1st, 2019… Also public DNS providers listed below will disable workarounds», если это действительно так, то ввиду широкой распространённости пользовательских настроек типа: 1.1.1.1 или 77.88.8.8, работа доменов с неправильными DNS серверами будет затруднена или заблокирована.
Однако, вроде как, на конференциях выступали только производители ПО, а откуда следует, что публичные DNS сервера поддержат 1 февраля не очень понятно.alukatsky Автор
20.01.2019 11:59Google в списке тех, кто поддерживает эту инициативу. Cisco с Umbrella. CloudFlare. Ну а дальше остается только ждать :-)
Ghool
20.01.2019 15:10Zuxel умеют автообновление. А ваш коммент в целом — это «авось не сразу сдохнет».
Для большой компании (а так же для хорошего админа!) пол часа простоя — это недопустимо, а значит надо решать такие проблемы ДО их наступления.402d
20.01.2019 15:35по пробую еще раз сформулировать свою мысль
Здесь в комментариях проскочили приготовления к армагеддону интернета.
Срочно выкачивайте whois. Хотя информация представленная в нем
носит СПРАВОЧНЫЙ характер и при ресолве домена в ип не используется.
Вообще whois протокол имхо самый не стандартизированный. Многие зоны
даже не поддерживают запрос по 43 порту. Зачем выкачивать, то что не меняется?
Я бы описал, то что предстоит, как зомби апокалипсис НАОБОРОТ.
В течении некоторого периода времени кривонастроенные сайты
выпадут из индекса поисковиков.
Если мы знаем про такого зомби или нашли ссылку на него,
то придется освоить несколько заклинаний некроманта.
whois, nslookup, etc/hosts
А живые проекты со временем исправятся.
Ghool
20.01.2019 15:45Ну почему же армагеддону.
Человек решил, что хочет иметь доступ и к сайтам, чьи владельцы не озаботятся их состоянием.
Как я понял, если эта ситуация наступит — получить IP из имени для такого сайта будет гемморойно.
Человек решил решить вопрос кардинально — слить всю базу, что бы не составлять список всех сайтов, которые ему могут понадобиться.
Serge3leo
20.01.2019 11:16Алексей, я так понял, dnsflagday.net отражает точку зрения производителей ПО о производственых планах. А были ли публичные высказывания собственно самих Google DNS, Яндекс DNS и др.? Собираются ли они вообще обновляться и когда?
Неужто aliexpress перестанет быть доступным, скажем, через Google DNS и придётся переключаться, скажем, на Яндекс DNS или наоборот?alukatsky Автор
20.01.2019 11:57Почему производителей? Там в списке поддерживающих Google, Cisco, CloudFlare. Яндекс поддерживает EDNS.
Serge3leo
20.01.2019 12:42Все доклады на которые есть ссылки — от производителей, а ссылок на доклады или публичные выступления Google или Яндекс в части планов и порядка перехода на новые опасные версии нет же.
Яндекс DNS, конечно же давно поддерживает EDNS, но, как и все остальные, отлично работает с традиционными DNS серверами. Мне так кажется, что если бы они собирались переходить на эти новые версии, то они бы публично б написали бы: семейные сервера 77.88.8.7/3 перестают обрабатывать устаревшие домены в таком-то году, безопасные сервера 77.88.8.88/2 в таком-то году, базовые сервера 77.88.8.8/1 в этаком году. При возникновении проблем с теми или иными сайтами, пользователи могут изменить используемые сервера Яндекс DNS.
Но ведь этого нет же? Похоже, Яндекс DNS собирается работать со старыми DNS серверами ещё достаточно долго. Да и насчёт Google тоже как-то не верится, что они будут стрелять себе в ногу.
P.S.
«On or around Feb 1st, 2019» это ж может быть и к 2038 ;)
ma3xxx
20.01.2019 11:551.1.1.1 — Cloudflare & APNIC DNS присоединайтесь
Cloudflare управляет одной из самых больших и быстрых сетей в мире. APNIC — некоммерческая организация, управляющая распределением IP-адресов в регионах Азиатско-Тихоокеанского региона и Океании.Serge3leo
20.01.2019 13:17А оно гарантирует совместимость с традиционными DNS серверами? И в течении какого срока? А то их на dnsflagday.net тоже внесли в список экстремалов экспериментаторов.
Serge3leo
20.01.2019 13:23Антиресно, быть может, кто-то уже создал специальный тестовый домен, типа нет-EDNS.рф с BIND 8.2 или ниже. Просто, что б можно было мониторить будут ли его распознавать те или иные публичные DNS сервера?
beardman
20.01.2019 16:19ПриватБанк - Minor problems detected!
Киевстар - Serious problem detected!
СБУ - Minor problems detected!
не удивлен…
unwrecker
20.01.2019 21:19Ой, как внезапно. Про ДНС от регистратора домена говорит что slow, а про свежеподнятый bind — fatal error. Намечается веселье...
alukatsky Автор
20.01.2019 22:05Так текущая стабильная версия BIND еще не поддерживает
encyclopedist
21.01.2019 03:12Поддерживает, не вводите в заблуждение. Версии которые указаны на сайте перестанут общаться с пре-EDNS серверами.
PavelBelyaev
20.01.2019 22:54Обновил bind на debian9, проходит валидацию, но любопытно, часть доменов у меня на dns от reg.ru и там пишет Minor problems detected!
vesper-bot
21.01.2019 11:37+1WS2012R2 в качестве DNS-сервера: minor problems. Так какой такой байнд на нем обновить?
busuzima
21.01.2019 14:03bmw.de — Serious problem detected!
bmw.ru — All ok!
Может написать немцам имейл?
InterceptorTSK
Запасаемся попкорном)
Ну как бы ладно частники, но таки вангую забавы с гос.сектором, ибо тут все как обычно же — «снег идет всегда внезапно, а его и не ждал никто».
И да, дописал чють позже, ну так, что бы поржать)
habr.com — All Ok!
gosuslugi.ru — Serious problem detected!
fssprus.ru — Minor problems detected!
nalog.ru — Fatal error detected!
cikrf.ru — Serious problem detected!
и т.д.
Впрочем даж не надо было и проверять, ибо изначально и так все очевидно чють более чем полностью.
staticlab
Авангард — avangard.ru — Serious problem detected!
Альфа-Банк — alfabank.ru — Minor problems detected!
Банк Санкт-Петербург — bspb.ru — All Ok!
ВТБ — vtb.ru — All Ok!
Газпромбанк — gazprombank.ru — Serious problem detected!
ДельтаКредит — deltacredit.ru — All Ok!
Модульбанк — modulbank.ru — All Ok!
Московский Кредитный Банк — mkb.ru — All Ok!
ФК «Открытие» — open.ru — All Ok!
Почта Банк — pochtabank.ru — All Ok!
Промсвязьбанк — psbank.ru — Fatal error detected!
Райффайзенбанк — raiffeisen.ru — All Ok!
РНКБ — rncb.ru — Serious problem detected!
Росбанк — rosbank.ru — All Ok!
Россельхозбанк — rshb.ru — Minor problems detected!
Сбербанк — sberbank.ru — Serious problem detected!
Сетелем Банк — cetelem.ru — All Ok!
Тинькофф — tinkoff.ru — Minor problems detected!
Точка Банк — tochka.com — Fatal error detected!
Хоум Кредит Банк — homecredit.ru — Minor problems detected!
ЮниКредит Банк — unicreditbank.ru — Fatal error detected!
Drag13
github.com — Minor problems detected!
semen-pro
rutracker.org: All Ok!
telegram.org: All Ok!
torproject.org: All Ok!
pornhub.com: All Ok!
Oplkill
Вконтакте — vk.com — Minor problems detected!
Твиттер — twitter.com — Minor problems detected!
Facebook — facebook.com — All Ok!
Одноклассники — ok.ru — All Ok!
Instagram — instagram.com — Minor problems detected!
tvr
Flibusta.is — All OK.
Всё, я спокоен.
TuMaN1122
rutracker и pornhub будут жить и я вместе сними))
Temych
Эти порталы выживут даже после атомной войны. Заложенная в них суть — максимально помехоустойчива к любым катастрофам (ну почти).
spaceoberon
<-sarcasm->Я думаю, что разработчики протоколов под эти сайты и работают. Остальные вынуждены подстраиваться потом))))</-sarcasm->
coramba
Теперь главное, чтобы когда у них все ляжет, криворукость не объяснили проявлением угроз целостности, устойчивости и безопасности функционирования на территории Российской Федерации сети ’’Интернет” и не стали бы в дальнейшем использовать как «прецедент».
Понимаю, что звучит бредово, но, учитывая современные реалии, совсем исключать такой вариант, боюсь, не стоит.
wlnx
Или чтобы товарищи снаружи не объявили, что во всём хайли лайкли виноваты рашен хакерс…
medotkato
Боюсь, как бы так и не случилось. Слишком велик соблазн оправдаться внешней угрозой, тем более, что она как бы действительно «извне»:
« — Мы ничего не трогали, но все упало. По имеющимся сообщениям из остальных органов исполнительной власти — таможни, налоговой, прокуратуры — у них все то же. Это не мы!
Мысль можно развернуть ещё дальше: к этому событию и готовились… когда специально ничего портить не надо. Достаточно просто не следить за некоторыми неочевидными тонкостями.
PocketSam
Абсолютно не бредово. Вы рассуждаете как здравомыслящий человек без шкурного интереса. Но ведь это крайне удобный случай для нагнетания обстановки при реализации своих целей. Разбираться в вопросе почти никто не станет, и для обывателя в любом случае катастрофически сложно будет понять суть проблемы, зато многим придётся столкнуться лично. А личное — это всегда крайне болезненно. Я бы сказал, это единственное, что ещё как-то может добраться до человека через толстую шкуру равнодушия у нас сегодня.
Temych
РКН же просто объявит это DNS-атакой. А Ашманов — "ЦРУшным трояном".
vanxant
(del)
WeltRogg
Самое ужасное, что алиэкспресс не будет работать, остальное ерунда.
Да и если серьезно, то все равно ерунда, мне не один гос сайт не нужен, как и сбербанк, главное сервисы гугл и все, больше ничего не нужно.