强化DNS安全,三大公共DNS服务商将在2月1日测试EDNS协议

为强化DNS服务的验证,成立于2002年的全球互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers,ICANN),在最近这几年,正不断推广DNS Security Extensions(DNSSEC),目标是提升网络的使用安全,要确保DNS的内容,不会在源头被修改,以及阻止黑客恶意移转DNS用户的流量,同时也让DNS的查询将更加安全。而在DNSSEC中,包含了两个重要关键技术,分别是数字签名与EDNS。

强化DNS安全,三大公共DNS服务商将在2月1日测试EDNS协议

为了导入EDNS协议,最近Cloudflare、GoogleIBM这三大公共DNS服务商,共同宣布将在2019年2月1日,测试其EDNS的符合性功能,并命名为DNS Flag Day。这也意谓着,在2月1日之后,支持EDNS协议的域名,上网将更加安全。而到现在还没有准备就绪的域名,将会受到影响,因为这些公共DNS,如Cloudflare(1.1.1.1)、Google(8.8.8.8)、IBM(9.9.9.9),可能因为无法顺利解析IP位址,或解析反应变慢,造成用户感受到上网速度变慢或无法连线。

对于域名管理者而言,若要确认自家的DNS设定,在DNS Flag Day的专属网站上,已经提供了域名检查的功能,可以检查是否受到影响。若是检测发现到问题时,可依照该网页的说明进行修正。关于检测失败的原因,问题可能出在DNS与防火墙,因此,要解决问题,建议将DNS升级到最新的稳定版本,然后再次进行测试,如果升级DNS后仍然失败的话,建议再检查本身的防火墙配置

另一方面,关于这次三大公共DNS业者测试EDNS,也将会影响到一般使用者上网,如果用户使用这些业者提供的DNS服务,就要注意,上述用户如在2月1日当日发现网站无法连线时,可以更改使用其他DNS服务。

在因应方式上,有不少业者正在推广自家的DNS服务,例如百度免费公共DNS(180.76.76.76),Public DNS(119.29.29.29,182.254.116.116),114 DNS(114.114.114.114,114.114.115.115),AliDNS(223.5.5.5,223.6.6.6),SDNS(1.2.4.8,210.2.4.8)等等。

至于其他DNS服务商何时要启用更安全的EDNS,未来我们也将持续关注。

PS:

DNS Flag Day是一项针对权威DNS的、共识性的全球更新,旨在确保所有主要DNS基础架构都遵循新的EDNS标准(DNS扩展机制)。从2019年2月1日后,对于不支持EDNS协议的权威DNS服务器,在EDNS查询时可能会被Google、Cloudflare、Cisco/OpenDNS、ISC/BIND等公共DNS、递归DNS标记为服务不可用,从而导致域名无法正常解析。在非EDNS查询时域名正常解析,不受影响,中国大陆地区绝大多数为非EDNS查询。

可以使用测试网站( https://dnsflagday.net/ )验证是否符合EDNS标准规范。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-01/156671.htm

原文 

https://www.linuxidc.com/Linux/2019-01/156671.htm

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » 强化DNS安全,三大公共DNS服务商将在2月1日测试EDNS协议

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址