Många stora dns-leverantörer kommer att uppdatera den dns-mjukvara de använder till sina dns-tjänster, både för att snabba upp dns-förfrågningar och för att motverka de ddos-attacker som de senaste åren utnyttjat brister i protokollet för att utföra attackerna.

Uppgraderingen syftar konkret till att komma bort från de många protokoll-tillägg eller -utökningar i resolver-mjukvaran som idag tynger protokollet, och som i många fall bidrar till att attackerna kan genomföras. Dessa utökningar används fortfarande i hög grad, av både stora och små dns-leverantörer, men nu ska de bort.

Förändringarna i dns-mjukvaror som exempelvis BIND och Microsofts Azure DNS kommer att införas den 1 februari, eller i närtid därefter, och de flesta stora dns-tjänster som Cloudflare, Cleanbrowsing, Facebook, Cisco, Google, Microsoft och Quad9 kommer att följa med. Tanken är att alla från och med nu ska följa edns och inget annat.

Förändringarna kommer att påverka alla auktoritativa dns-servrar som inte strikt stödjer den första dns-standarden från 1987 (RFC1035) eller de nyare edns-standarderna från 1999 (RFC2671 och RFC6891). Edns är exempelvis en förutsättning för att kunna använda säkerhetsprotokollet dnssec. Den som vill testa sin domän kan göra det på DNS Flag Days webbsida.

Dessa dns-mjukvaror kommer inte att tillmötesgå dns-förfrågningar som inte stödjer edns:

  • BIND 9.13.3 (development) och 9.14.0 (production)
  • Knot Resolver (har redan implementerat striktare edns-hantering i alla nuvarande versioner)
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0

Om du är en vanlig internetanvändare, privatperson eller företag, kommer du inte att påverkas av uppdateringen; detta gäller om du driftar din egen domän med egen dns-resolver och inte följer gällande standarder, det vill säga om du använder de protokoll-utökningar som nu kommer tas bort. Om du äger en egen domän, men använder en extern dns-tjänst, kan det vara värt att kontrollera framtida funktion med din dns-leverantör.

Jannike Tillå
Jannike Tillå, IIS.

Jannike Tillå, presschef på Internetstiftelsen i Sverige (IIS), säger till Techworld att ”alla företag som har egen dns-drift behöver vara på alerten, det är inte bara resolvrar som kan ställa till det i kedjan, även brandväggar och annan mjukvara kan vara dålig på att följa standarder. Även om inget kanske syns och märks direkt på DNS Flag Day kan de som inte har koll på sina system drabbas framöver".

IIS har tillsammans med sitt ”systerregistry” i Tjeckien (CZ.NIC) gjort en analys för hela se- och nu-zonen, och enligt Jannike Tillå är det ”inte stora mängder domäner (i procent) som påverkas”.

– I dag släppte vi en pre-release i vårt verktyg Zonemaster, som är ett samarbete med AFNIC [frankrikes motsvarighet till IIS]. Zonemaster kan därmed hjälpa domännamnsinnehavare att bland annat hitta de buggar som DNS Flag Day handlar om, säger Jannike Tillå.

Utöver IIS testverktyg Zonemaster rekommenderar Jannike Tillå det testverktyg som tillhandahålls av ISC, organisationen som bland annat ligger bakom dns-servern BIND. Även samarbetsorganisationen bakom DNS Flag Day har tagit fram ett testverktyg.

Även om diverse prestandaproblem kommer att redas ut med hjälp av uppdateringen av dns-systemet är det i hög grad de ddos-attacker som utnyttjat sårbarheten i dns som arrangörerna av DNS Flag Day nu vill komma åt. Om de inte kommer att stoppas helt, så är tanken att de i vart fall kommer bli avsevärt svårare att genomföra. De protokoll-tillägg som nu tas bort spelar på olika sätt en avgörande roll för att dessa attacker kan genomföras. Protokoll-tilläggen komplicerar och påverkar hela dns-systemet på ett sätt som gör det svårt att införa nya metoder för att bekämpa attackerna.

Det är i synnerhet två typer av attacker man vill komma åt:

  • DNS flood: en domäns dns-servrar överflödas med dns-förfrågningar så att tjänsten inte kan svara på legitima förfrågningar. Detta sker ofta med hjälp av stora IoT-baserade bot-nätverk. Attackerna sker ofta mot stora dns-leverantörer (se attacken mot Dyn) och syftet är att göra så många online-tjänster som möjligt onåbara.
  • DNS amplification: utnyttjar en annan svaghet i dns-servrar som tillåter förövarna att generera enorma mängder trafik med hjälp av illa konfigurerade öppna dns-resolvrar som instrueras att skicka svaren på förfrågningarna mot målet för attacken. Även dessa attacker utförs ofta med hjälp av botnät och syftar till att slå ut målets tjänst, och dessutom dölja förövarna.

Patrik Fältström, teknikdirektör på internet-knutpunkten Netnod, skriver i ett mejl till Techworld att dessa attacker är de man främst vill komma åt, men även att man inte ska lita på exempelvis så kallade DNS cookies och andra nya dns-funktioner som är tänkta att förhindra attacker. ”Vi behöver i dns-funktionen edns. Och vi behöver att folk implementerar detta korrekt. De måste normalt uppgradera eller byta sin programvara. Det är alla ’workarounds’ som gör att dns-förfrågningar får högre fördröjning”.

– Netnod hjälper till genom att arbeta tillsammans med andra dns-tillhandahållare i Sverige att titta på de (få) som inte är rätt. De som behöver hjälp behöver individer (tekniker) som de kan prata med så att de gör rätt saker, skriver Patrik Fältström.

Jannike Tillå på IIS bedömer läget i Sverige inför DNS Flag Day som tillfredställande:

– Vi bedömer att vi inte behöver göra någon extra insats för DNS Flag Day. För dns-administratörer som vill vara säkra på att deras domäner följer alla standarder och fungerar som de ska kan vi tipsa om verktyget EDNS Compliance Tester utöver vår egen Zonemaster.

Testverktyg:
https://zonemaster.iis.se/sv/
https://dnsflagday.net/
https://ednscomp.isc.org/ednscomp/

Läs också:
Ny våg av domänkapningar ”saknar motstycke”
8.8.8.8 – Nu börjar Google med DNS över TLS