امتثال EDNS و TCP لمناطق AFRINIC العكسية وخوادم اسم ccTLD لإفريقيا
المؤلفون: يزيد أكانهو ومالك الحسن ومايك هونغبادجي وعمريش فوكير
يعد نظام اسم المجال (DNS) أحد أهم الخدمات للتشغيل اليومي للإنترنت. يسمح بتحليل الأسماء إلى عناوين IP والعكس صحيح من خلال نظام هرمي للخوادم الموزعة. كمقدمة ل يوم علم DNS 2020، تم إجراء دراسة لتقييم مستوى جاهزية EDNS و TCP لخوادم DNS الرسمية (خادم الاسم - NS) على المناطق العكسية لعناوين IP التي خصصتها AFRINIC لأعضائها والخوادم الرسمية لنطاقات ccTLD الأفريقية. تجعل هذه الدراسة من الممكن تقييم مستوى توافق DNS في إفريقيا مع الممارسات الجيدة المتعلقة بـ EDNS ، ولكن أيضًا لتسليط الضوء على مختلف الجوانب ذات الصلة بالممارسات الجيدة ومعايير DNS مثل الموقع والتوزيع الجغرافي والمرونة و IPv6 إمكانية الوصول أو إمكانية الوصول إلى هذه الخوادم الموثوقة.
حول يوم العلم DNS
منظمة يوم علم DNS هي مبادرة ولدت من الرغبة المشتركة لمزودي ومشغلي DNS لجعل DNS أكثر موثوقية ومرونة وقابلية للتوسع. تم عقد أول يوم علم لنظام أسماء النطاقات في 1 فبراير 2019 ، وكان مخصصًا لدراسة مستوى تكوين امتداد EDNS على خوادم DNS الرسمية حول العالم.
لعام 2020 ، يخطط يوم علم DNS للتحقق من عنصرين: من ناحية ، حجم المخزن المؤقت EDNS (الذي يجب ألا يتجاوز 1232 بايت لتجنب تجزئة استجابات DNS في UDP) ، ومن ناحية أخرى ، إمكانية الاتصال في وضع TCP بين العميل وخادم DNS.
حول EDNS
EDNS ، اختصارًا لآليات الامتداد لـ DNS ، مُعرَّف في RFC 6891 ، باعتباره امتدادًا لبروتوكول DNS ، لتبادل المعلومات بين العملاء (أدوات الحل) والخوادم. في حين أن EDNS لها وظائف مختلفة ، فإن تركيزها الأساسي كان في الأصل هو تمكين دعم DNSSEC ، والذي يوفر أمانًا مشفرًا للبنية التحتية لنظام أسماء النطاقات.
تم تصميم EDNS ليكون متوافقًا مع الإصدارات السابقة ، مما يعني أنه لا ينبغي أن يؤثر على أداء الخوادم القديمة التي لا تدعم EDNS. من الناحية العملية ، تم العثور على العديد من الخوادم غير متوافقة مع EDNS ، مما أجبر مطوري المحلل على إضافة جميع أنواع الحلول إلى التعليمات البرمجية الخاصة بهم للسماح للعملاء والخوادم بمواصلة تبادل حركة مرور DNS دون انقطاع. وبالتالي ، فإن الخادم المتوافق مع EDNS هو خادم يدعم امتداد EDNS أو قادر على تجاهله وفقًا للمواصفات.
التحقق من توافق EDNS العالمي
من أجل تقييم توافق EDNS العالمي لخادم موثوق ، يجب أن يخضع الأخير لعدة اختبارات موصوفة بالتفصيل هنا. كما قام اتحاد أنظمة الإنترنت (ISC) بتطوير ونشر سلسلة من أدوات اختبار توافق DNS السماح ، من بين أمور أخرى ، للسجلات والمسجلين بالتحقق من امتثال بروتوكول DNS الذي يعمل على الخوادم التي يفوضون إليها المناطق.
الاختبار | أمر |
---|---|
DNS عادي | حفر + norec + noedns soa zoneserver |
سهل EDNS | dig + norec + edns = 0 soa zoneserver |
EDNS - إصدار غير معروف | حفر + norec + edns = 100 + noednsneg soa zoneserver |
EDNS - خيار غير معروف | dig + norec + ednsopt = 100 منطقة soaserver |
EDNS - علامة غير معروفة | حفر + norec + ednsflags = 0x80 منطقة soa @ server |
EDNS - DO = 1 (DNSSEC) | dig + norec + dnssec soa zoneserver |
EDNS - استجابة مقطوعة | حفر + norec + dnssec + bufsize = 512 + تجاهل dnskezoneserver |
EDNS - إصدار غير معروف مع خيار غير معروف | dig + norec + edns = 100 + noednsneg + ednsopt = 100 soa zoneserver |
نتائج اولية
التوافق مع EDNS في AFRINIC Reverse DNS
اعتبارًا من 15 يونيو 2020 ، كان هناك 38,945 IPv4 مناطق عكسية و 348 IPv6 مناطق عكسية معروفة لـ AFRINIC. يتم تحديد هذه المناطق من قبل الأعضاء الذين تلقوا بادئات IP من التسجيل. يوفر إجمالي 3604 (فريد) من خوادم الأسماء الرسمية (NS) دقة عكسية لمنطقة عنونة IP العالمية (الإصداران 4 و 6) التي تديرها AFRINIC: 3224 NS تدير IPv4 space ، بينما يدير 61 NS ملف IPv6 يوفر space و 319 NS دقة عكسية لكل من كتلتي الإصدار 4 و 6 من سجل الإنترنت الإقليمي.
فيما يتعلق بتوافق EDNS الإجمالي للخوادم التي تم اختبارها ، فإن 1.78 ٪ فقط متوافقين بشكل صارم مع جميع معلمات EDNS التي تم اختبارها لـ NS لمناطق AFRINIC العكسية ، أي أن جميع الاختبارات تُرجع الاستجابات المتوقعة بالضبط وحجم ذاكرة التخزين المؤقت EDNS بين 512 و 1232 بايت. في الواقع ، لا توجد قيمة ثابتة محتفظ بها لتكوين المخزن المؤقت EDNS. يعرّف RFC6891 حجمًا أقصى يبلغ 4096 بايت. ومع ذلك ، لتجنب تجزئة استجابات DNS ، يوصى باستخدام قيمة بين 1220 و 1232 بايت ؛ السبب الرئيسي هو أن MTU على ارتباط Ethernet هو 1500 بايت. يوصي منظمو يوم علم DNS 2020 بـ 1,232 بايت.
ومع ذلك ، يجب وضع هذا في الاعتبار لأن حوالي 75٪ من الخوادم التي تم اختبارها للمناطق العكسية تدعم EDNS0 بمخزن مؤقت بين 512 و 4096 بايت ، وهو أمر مشجع للغاية بالفعل. وجدنا أنه من أصل 3604 NS ، 872 (25.4٪) أرجع خطأ بالحالة: مرفوض.
الشكل 1. توزيع أحجام المخزن المؤقت لـ AFRINIC Reverse DNS
الامتثال EDNS في ccTLDs الأفريقية
اعتبارًا من 15 يونيو 2020 ، تم حساب 54 ccTLDs تخدمها 225 NS فريدة في القارة الأفريقية. واحد فقط من NS من ccTLD .cm (benoue.camnet.cm.) لم يكن لديه سجل من النوع A أو AAAA. 81 NS كانت IPv4 فقط و 143 كانت مكدسة مزدوجة.
لم نتمكن من استرداد أحجام المخزن المؤقت EDNS لـ 53.8٪ من NS في ccTLDs الأفريقية إما بسبب مشكلة في الشبكة أو انتهاء المهلة ، وهو ما كان مفاجئًا للغاية. وكانت نتائج باقي التوزيع كما يلي: 82 (36.4٪) 4096 ، 16 (7.1٪) 512 ، 5 (2.2٪) 1680 و 1 (0.4٪) 512 بايت.
الشكل 2. توزيع أحجام المخزن المؤقت لـ ccTLDs
عندما يتعلق الأمر بامتثال TCP لنطاقات ccTLD الإفريقية ، فمن الصعب جدًا إجراء تقييم دقيق للعدد الحقيقي لخوادم الأسماء الرسمية التي يمكنها الاستجابة لطلبات DNS باستخدام TCP. ومع ذلك ، تلقينا إجابات من 43.55٪ من تلك الخوادم التي تستخدم بروتوكول TCP.
عنصر آخر مهم في DNS هو أن خوادم الأسماء يجب أن تكون قادرة على معالجة استعلامات DNS في وضع TCP. يحدد RFC1035 أن خادم اسم DNS يجب أن يكون قادرًا على معالجة استعلامات DNS باستخدام TCP أو UDP على المنفذ 53. ومع ذلك ، فقد تم استخدام بروتوكول UDP تاريخيًا في الغالب لبساطته وسرعته.
مع إدخال DNSSEC على وجه الخصوص ، أصبحت الحاجة إلى التواصل عبر TCP ضرورية لأن استجابات DNS يمكن أن تكون الآن أكبر من 512 بايت. إجمالاً ، وجدنا أن 71.7٪ من خوادم اسم المنطقة العكسية AFRINIC تحل الطلبات المرسلة عبر TCP. ومع ذلك ، من الصعب توضيح ما إذا كان الخادم غير مهيأ للاستجابة لطلبات TCP أو إذا كان جدار الحماية موجودًا بين العميل والخادم الذي يرفض هذا النوع من حركة المرور (للأسف ، لا يزال العديد من مسؤولي الشبكة يعتبرون أن DNS يجب فقط العمل على UDP).
وفي الختام
للتلخيص ، في مجموعة NS للمنطقة العكسية ، 25.4٪ من الخوادم لا تدعم امتداد EDNS. على جانب ccTLD ، تكون النسبة مضاعفة ، حوالي 54٪. في كلتا الحالتين ، هذه خوادم تعمل بإصدار برنامج قديم أو بسبب تعطيل إعداد EDNS في تكوينها ، وهو أمر غير مستحسن. إجمالاً ، وجدنا أن 71.7٪ من خوادم أسماء المنطقة العكسية AFRINIC تحل الطلبات المرسلة عبر TCP مقارنة بـ 43.55٪ في حالة ccTLDs. أتاحت هذه الدراسة الحصول على النتائج ذات الصلة والحصول على رؤية أفضل لمستوى تنفيذ العديد من التوصيات والممارسات الجيدة الحالية في نظام أسماء الحقول في القارة الأفريقية مثل EDNS ودعم برنامج التعاون الفني من بين أمور أخرى.
إخلاء مسؤولية
تم إنشاء التقرير التالي في وقت محدد ويهدف إلى تقديم نظرة عامة عامة عن الامتثال لـ EDNS في إفريقيا. تعتمد النتائج على قابلية الوصول إلى خادم DNS. ربما قدمت مشكلات الشبكة في وقت التجربة بعض الإيجابيات الخاطئة.
شكر وتقدير
تمت رعاية هذه الدراسة من قبل AFRINIC في إطار 2019 برنامج AFRINIC Research Collaboration (ARC).
نود أن نشكر Amreesh Phokeer ، مدير الأبحاث في AFRINIC ، على دعمه وتوجيهه في هذا المشروع.