MoinQ:

1. DNS/EDNS

DNS/1/EDNS /dnsops2020 /heteml

/letsencrypt

/UDPsize

Minimal EDNS compliance requirements https://tools.ietf.org/id/draft-spacek-edns-camel-diet-01.html Expires: November 30, 2018

DNS responders must either follow RFC 6891 by fully implementing EDNS or at least respond to queries containing OPT record according to older specifications.

Non-compliant implementations which do not respond at all are not worth talking to.

DNS/RFC/6891

1.1. DNS flag day

EDNS Compliance Tester 2020: https://ednscomp.isc.org/ednscomp/5c933251a4

本当に問題(名前解決不能)が発生するのか。 /JPRS速報 は伝聞/意訳にすぎず、間違いもある。

1.2. workaroundsがなにを指すのか

1.3. 正しい返答が得られない

EDNSに対応していなくて、返答をしないサーバーが存在するのだろうか。(そうは思えない。)

EDNSに対する返答が正しく伝わらない経路という状況はあるかもしれない。(KSK ロールオーバーキャンペーンと同根)

なぜ、TCPでの問合せ直しをしないのか。(しているのかも)

「EDNSが正しく動作しているか、確認せよ」と言うだけ。素人を不安にさせるキャンペーンだ。

1.4. noedns

Knot Resolverはもともとnoednsで問合せ直し(work around)は実装していないようだ。(1.1.1.1 を試して)

ednsに返事をしないサーバをJP下で探してみた。見つからない。(どこかにはあるのかも) /netsjapan.jp /pman-hasaki.jp

+noedns には返事をする。 /joppari.co.jp /aaasystem.co.jp /cyberlab.jp /fujiiopt.jp

/tinydns

1.5. packet 長 (経路)

長いパケットがやりとりできない経路が存在するかもしれない。

root zone key ロールオーバー騒ぎで洗い出されたのではないか。

-- ToshinoriMaeno 2018-07-23 00:22:13

フラグメントすり替え攻撃(毒盛)の方が怖い。-- ToshinoriMaeno 2018-11-23 23:18:47

https://community.letsencrypt.org/t/edns-buffer-size-changing-to-512-bytes/77945

As of November 15th, 2018 our DNS resolvers (both staging and production) advertise an EDNS reassembly buffer size of 512 bytes.

1.6. TCP 対応

DNS/TCP

JP登録されているサーバのうち、21000台あまりを調査したら、2000台ほどがTCPには返事をしなかった。


CategoryDns CategoryWatch CategoryTemplate

MoinQ: DNS/EDNS (last edited 2020-10-08 02:31:09 by ToshinoriMaeno)