Aufräumarbeiten im DNS: DNS Flag Day 2020 macht Druck für TCP als DNS-Transportprotokoll
Das Großreinemachen bei DNS-Servern soll im kommenden Jahr auf dem Flag Day fortgesetzt werden. TCP soll zum Standardprotokoll werden.
DNS-Softwarehersteller und große Resolver-Betreiber sind auf den Geschmack gekommen: Nach dem ersten DNS Flag Day am 1. Februar diesen Jahres wollen sie auch 2020 weiter "aufräumen" bei DNS-Servern. Im Februar 2020 wollen sie der Verpflichtung zum Einsatz von TCP als Standardprotokoll für den Transport von DNS-Paketen Nachdruck verschaffen. Beim 78. RIPE Treffen in Reykjavik stellten Vertreter der DNS-Software Anbieter cz.nic und ISC die Pläne vor.
Für mehr Sicherheit im DNS wollen die Macher des DNS Flag Days mit der zweiten Ausgabe des "Großreinemachtags" sorgen. Dazu haben sie die Fragmentierung von DNS-Paketen aufs Korn genommen. Der Einsatz von DNSSEC zur Authentifizierung von Domain-Antworten, aber auch der allmähliche Umstieg auf die IPv6-Adressen machen die Header von DNS-Paketen in aktuellen Datenverkehren zunehmend länger. Auf solche fetteren Header ist das klassischerweise für den DNS eingesetzte Transportprotokoll UDP nicht eingestellt. Werden die für UDP vorgesehenen 512 Bytes überschritten, kommt es zur Fragmentierung von Paketen und damit zu Problemen.
Verpflichtender Einsatz von TCP
In einem eigenen RFC aus dem Jahr 2016 hatten Experten bei der Internet Engineering Task Force (IETF) daher das mächtigere TCP als verpflichtend festgeschrieben, zumindest als Fallback bei großen Paketen. TCP wird ohnehin notwendig, sobald DNS-Antworten mit TLS verschlüsselt werden sollen, denn dafür sind Handshake und weitere Eigenschaften notwendig, die UDP nicht bietet. Generell gilt TCP als robuster gegen Spoofing und DDOS Attacken, denen durch die Fragmentierung zusätzlich ein Tor geöffnet wird.
Auf dem DNS Flag Day 2020 soll daher die Verpflichtung zum Einsatz von TCP für große DNS-Antworten durchgesetzt werden, sowohl für Authoritive Server als auch für Resolver. Wie schon beim Flag Day 2019 erwarten die Macher eine beachtliche Konzentration von Problemen bei wenigen Anbietern: Beim Flag Day 2019 bekamen rund sechs Prozent der Domains weltweit Schwierigkeiten, schätzen die Macher. Ein Teil davon seien aber wohl geparkte Domains. Nun rechnet man mit ähnlichen Zahlen bei TCP-Verweigerern und erwartet eine starke Konzentration bei wenigen Providern. Allein auf den chinesischen ISP HiChina entfallen laut aktuellen Schätzungen zwei Drittel der Probleme.
Ein graphisches Interface zur Überprüfung der eigenen DNS-Verbindung wollen die Macher des Flagday demnächst zur Verfügung stellen. Beim jährlichen Großreinemachen gilt es nach Ansicht von kritischen Beobachtern allerdings darauf zu achten, dass man nicht zur "Protokoll-Polizei" wird. 2019 hatten die Flag-Day-Macher ihre Server nicht mehr so aufgesetzt, dass sie die nicht mit dem Standard kompatiblen Workarounds der Kundschaft mitbedienen konnten. Dieses Mal wollen sie Druck in Richtung des Einsatzes eines Transportprotokolls machen. (olb)