Açık kaynak kodlu DNS Yazılım sağlayıcıları, bir dizi başka kuruluşla birlikte 1 Şubat 2019′u DNS bayrak günü (Flag Day) ilan ettiler. Buna neden olarakta DNS hizmetinin yavaşlığı, kesintileri, DDOS ve caching base güvenlik zafiyetlerinin olması gösteriliyor. Bir çoğumuzun yaşadığı bu probleme çözüm ise geçmişten bu güne DNS üzerinde geçici çözümler üreterek gelindi.
DNS Flag Day olarak belirlenen bu günde ise geçici üretilen çözümlerin devre dışı bırakılması ve tamamen DNS Standartlarına uyulması planlanıyor. Bu durum ise sadece standartlara uymayan sağlayıcıları etkileyecek. Fazla abartılmasının bir diğer nedeni ise eDNS ve Session özelliklerini kullanmaya teşvik etmek.
Resim-1
EDNS nedir?
20 yıla yakın sürekli geliştirme gösteren DNS geliştirme mekanizmaları, EDNS(0) standartları 2013 yılında RFC 6891 olarak belirlendi.
EDNS (Extension mechanisms for DNS), UDP tarafından taşınan DNS mesajları, Internet Protokolü (IP) ve taşıma katmanı başlıkları dikkate alınmaksızın 512 bayt ile sınırlandırılmıştı.
İletim Kontrol Protokolü’nü (TCP) kullanarak sanal devre (Virtual Circuit, verileri bir paket anahtarlamalı bilgisayar ağı üzerinden bu verinin kaynak ve hedef uç sistemleri arasında tahsis edilmiş bir fiziksel katman bağlantısı varmış gibi görünecek şekilde aktarmanın bir yoludur.) taşımacılığına başvurmak, ek yükü büyük ölçüde arttırır. Bu, DNS’e yeni özellikler eklemenin önünde büyük bir engel oluşturuyordu. 1999’da Paul Vixie Yeni bayraklara ve yanıt kodlarına izin vermek ve önceki uygulamalarla geriye dönük olarak uyumlu bir çerçevede daha uzun yanıtlar için destek sağlamak üzere DNS’nin genişletilmesini önermişti.
ENDS cevap veren sunucu yüzdesi,
Resim-2
Neden Gerekli?
Bugün karşımıza çıkan sorun DNS sunucularının EDNS özelliklerini desteklememesinden kaynaklanıyor. DNS Sunucusuna gelen isteğin, isteğe verilen yanıt biçimi ile ilgili. Standartlara uymayan bir DNS sunucusu isteğe hiçbir şekilde yanıt veremeyecek veya çökecektir. Sonuç olarak DNS istek-cevap süresi 5-10 saniye gibi uzun süre alacak.
Ayrıca Bu tür sunucuların istemcileri, yerel olarak DNSSEC doğrulamasını gerçekleştiremez. 1 Şubattan itibaren bu şekilde oluşan DNS gecikmelerinin önüne geçmek için büyük bir adım atılıyor. Eğer standartlara uymayan bir websitesine sahipseniz 1 Şubattan itibaren DNS sunucuları size cevap vermeyecek.
Nasıl Kontrol Ederim?
https://dnsflagday.net/ adresinden test edebilirsiniz. Başarılı görünüyorsa servis sağlayıcınıza teşekkür ederbilirsiniz :). Olumsuz durumlarda ise servis sağlayıcınızdan kontrol etmesini isteyebilirsiniz.
Resim-3
Çözüm
Aşağıda açık kaynak dns yazılımlarının dns standartlarına uymaya hazırlandılar.
Cloud sağlayıcılar üzerinden aldığınız DNS hizmetleri için herhangi bir işleme ihtiyacınız gerekmeyecektir.
[bd_table]
| DNS Server | Desteklediği Versiyon |
| BIND DNS | 9.7.14 |
| PowerDNS | 4.2.0 |
| Knot DNS | 3.3.0 |
| Unbound DNS | 1.8.4 |
[/bd_table]
Microsoft DNS tarafında ise aşağıdaki komutu kontrollü olarak çalıştırabilir ve ardından test sayfasından tekrar test edebilirsiniz.
dnscmd /config /EnableEdnsProbes 1 dnscmd /config /EDnsCacheTimeout 00:30:00
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
https://kb.isc.org/docs/aa-01219
TAGs: dnsflagday, dnssec, edns, edns nedir,DDOS,DNS bayrak günü,DDoS atak nedir
