21 January 2019

Приближение DNS Flag Day всколыхнуло Рунет

Эксперты разошлись по мнениях о том, как повлияет на работу российских сайтов смена протокола DNS, в частности — на готовность государственных интернет-сервисов к столь масштабной смене устаревшего протокола.

На днях в Сети началось активное обсуждение DNS flag day, который наступит 1 февраля текущего года и ознаменует собой смену очередной эпохи существования Интернета. В этот день произойдёт переход на новые стандарты протокола DNS, а старые попросту перестанут поддерживаться. 

Бизнес-консультант компании Cisco Алексей Лукацкий в своём блоге на Хабре провел небольшой ликбез на тему того, что собственно собой представляет этот самый DNS flag day, а также вкратце описал те риски, с которыми могут столкнуться сайты, не перешедшие на новый протокол. И эта публикация стала причиной достаточно оживлённой дискуссии, в которой можно наблюдать кардинально противоположные мнения относительно последствий этого «судного дня всея Интернета».

Лукацкий напомнил, что как таковой протокол DNS был создан в начале 80-х годов — естественно, с учетом технологий того времени, поэтому с тех пор в протокол добавлялись новые функции и возможности. В 1999 году была опубликована первая версия расширений EDNS0 (Extension Mechanism for DNS), которая «позволила снять некоторые ограчения, например, на размер некоторых полей флагов, кодов возврата и т.п.», отметил эксперт Cisco. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS, создавая тем самым определенные сложности при взаимодействии, необходимости обеспечивать обратную совместимость, что в свою очередь приводит как к замедлению работу всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS.

«Но этой вакханалии пришел конец — с 1-го февраля неподдерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах», — пишет Лукацкий.

Для большинства компаний, уверен эксперт, DNS Flag Day пройдет незамеченным, так как многие DNS-провайдеры уже обновляют или обновили свое ПО до необходимых версий:

«Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов. В результате с 1-го февраля сайты многих ведомств могут стать недоступны или столкнуться с проблемами с доступом».

.

Многие пользователи в Рунете пришли к выводу, что неполадки, которые вследствие безалаберности некоторых госслужащих возникнут у целой армии государственных сайтов, могут быть впоследствии использованы в качестве аргумента в поддержку активно проталкиваемого в Госдуме законопроекта №608767-7 «о суверенизации Рунета».

Проверить наличие соответствующих проблем у сайта можно с помощью сервиса https://dnsflagday.net. И сразу же были найдены достаточно серьёзные проблемы с данным протоколом у сайта «Центра реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации» cert.gov.ru, Роскомнадзора rkn.gov.ru, Госуслуг gosuslugi.ru. РосКомСвобода также проверила ряд сайтов российских госведомств и крупных компаний. Например, сервис пророчит большие проблемы сайту ФСБ:

А вот админы сайта российского МВД заранее озаботились обновлением протоколов:

Удивляет некоторая беспечность представителей телеком-бизнеса:

Как уверяют специалисты, при наличии подобной проблемы в работе сайта могут быть некоторые сбои. Та же самая ситуация с сайтами РИА и ТАСС:

Совсем не всё в порядке и у сайта «национального достояния» России:

Проверить соответствие того или иного сайта новым стандартам DNS можно и другими сервисами:

Пользователи в комментариях к посту Лукацкого набросали ещё один нескончаемый список проблемных сайтов, так или иначе связанных с работой госведомств.

Журналист «Эха Москвы» Александр Плющев в своём Telegram-канале обозначил серьёзность проблемы, заявив:

«…дело серьезное, масштабы велики: там и банки, и почта, и бог знает что.

Так вот, квалификацию политиков, их понимание интернета и обстановку, в которой все это происходит мы с вами отлично знаем. Глазом не моргнут, расскажут, что нас отключили от интернета или устроили масштабную кибератаку.

Впрочем, есть еще 10 дней, чтобы обновиться».

.

Он также проверил и нашел проблемы с протоколом у сайтов nalog.ru, cikrf.ru и многих других, при этом подчеркнув — «у kremlin.ru всё хорошо».

Пиратская партия России иронизирует в своём Telegram-канале: «Хэй, граждане, запасайтесь popcorn’ом! На днях нам угрожали отключением интернета извне… У нас осталось 10 дней! Нет, конечно не полностью, и не отключение, и не рунета, а только части устаревших сайтов типа», после чего приводит свой список сайтов, где некоторые адреса совпадают с уже вышеуказанными, но есть и другие — например:

  • cbr.ru — Fatal error detected;
  • mil.ru — Serious problem detected;
  • pochta.ru — Serious problem detected.

«Почему они, возможно, не будут работать? — продолжает ППР. — …Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах. Запишу-ка я интернет на дискету».

Отвечая на вопрос, насколько серьезную проблему поднял Лукацкий и кого она может коснуться, координатор РосКомСвободы по международному сотрудничеству Александр Исавнин ответил так:

«Серьёзность: на уровне серьёзности невовремя сделанного ТО на машину.

Коснётся: тех кто не следит за обновлениями своего ПО».

.

Он также отметил, что «dnsflagday» анонсирован ещё в мае 2018, и там не планировалось “отключать” кого-то. «Предполагается, что начиная с этой даты производители (открытого в основном) ПО для ДНС-серверов поменяют «умолчальные» настройки для поддержки улучшений протокола на более строгие, что возможно, форсирует поддержку этих улучшений. То есть чтобы 1 февраля что-то перестало работать, кто-то должен обновить ПО и при этом ещё не обращать внимание на проблемы пользователей», — говорит Исавнин.

Кроме этого, по словам Александра, специалисты прогосударственных НКО «Координационный центр домена RU», а также государственных «Технического центра Интернет» и MSK-IX участвуют в работе международных рабочих групп, связанных с обсуждением операционных проблем протокола ДНС, «и даже проводили заседание такой группы в Москве прошлым летом (сразу после анонса)». По каким-то своим причинам эти специалисты предпочли не распространять в России эту информацию, удивляется он.

В общей в массе, считает Исавнин, «это страшилка от технарей, обычно никто в интернете себя так не ведёт, бизнес придерживает активность технарей и дружественно смотрит на пользователей, даже если пользователи — госорганы».

На вопрос, каким образом данное событие скажется на альтернативных системах DNS, эксперт ответил, что произойдёт это как и у всех остальных, «поскольку протокол и ПО используются одинаковые». «Альтернативность технически выражается в замене одной из строчек конфигурации ПО (и да, вы можете сделать это на своём компе)», — отметил он.

Может ли это стать причиной конфликта между определёнными кругами бизнеса или даже государствами? Александр допускает — вполне возможно:

«Причиной конфликта в РФ может стать что угодно, с какими угодно последствиями. В более развитых экономиках если какой-то бизнес пойдёт на конфликт с интересами пользователей — его место займет другой бизнес.

Ну а с учетом истерии, разведённой депутатами и чиновниками СМИ готовы (не разобравшись до конца) начать педалировать любую истерию связанную с интернетом.

Будет неплохо если операторы и пользователи интернета по результатам этой истерии будут внимательнее относиться к используемым ими технологиям и ПО».

.

«Должен заметить, что все сильно сложнее и не так разрушительно, — пишет в своём Telegram-канале глава DiPHOST Филипп Кулин. — Интернет создавался в качестве устойчивой сети. И чтобы его «завалить» нужны какие-то специальные действия. Например, законопроект «об автономной сети». И то не хватит».

«Что произойдёт?» — продолжает он. В основные DNS-сервера, в программное обеспечение, будут внесены изменения, запрещающие использовать устаревшую версию протокола DNS. Т.е. все ещё обновиться должны, чтобы это сработало. С другой стороны, поддержка только старой версии DNS в 2019 году — это или ошибка конфигурации, или ошибка реализации каких-то специальных фильтров.

С российскими же сайтами всё достаточно «сложно». «Например, функционирование части сайтов из gov.ru обеспечивается Спецсвязью, — отмечает Кулин. — Естественно там субподряд на субподряде и субподрядом погоняет. DNS для многих gov.ru отдан RU-CENTER и неким E-Soft (m-10.ru). Кто из них первичен — неизвестно. Сервера E-Soft или древние, или кривые, или у них «особые требования к качеству обслуживания, что обычно означает — всё криво и через одно место, с очень крутыми бесполезными фильтрами. И вот у E-Soft сервера через пень-колоду работают. То TCP нет, то UDP (!), то вообще не отвечает, то EDNS не поддерживает (не ясно как это они сделали в 2019 году). С другой стороны, давайте посмотрим на сайт rkn.gov.ru — он и так не работает у 20% сетей в стране (защита от атак у них такая). То, что не будут работать пара DNS-серверов из 5-6 — никто не заметит».

В конце своего Telegram-поста глава DiPHOST приходит к следующему выводу:

«Но на самом деле — это новость о наплевательском отношении к работе и гипер неэффективности работы всей государственной машины РФ. Во всяком случае в области интернета, или, как это сейчас модно именовать — Цифровой Экономики».

.

Технический директор РосКомСвободы Станислав Шакиров считает DNS Flag Day вполне рядовым событием, поэтому ему не совсем понятен вдруг возникший уровень нервозности. Если у кого-то возникнут проблемы, то перечень таких сервисов, уверен Станислав, будет минимален. «Да и те, — добавляет он, — быстро исправятся».

Времени для подготовки к переходу на новый протокол у всех было достаточно, говорит он:

«Другое дело, что люди обычно относятся к этому несерьёзно. Но весь «крупняк» вроде Amazon и Cloudflare в курсе, поэтому всё пройдёт практически незаметно».

.

«С альтернативными DNS сложно сказать, что будет, — продолжает Станислав. — Если они обновили свой софт в соответствии с изменениями (а я думаю, что обновили), то некоторые сайты и у них могут не работать до тех пор, пока админы этих сайтов не «прочухаются». Если не обновились, то тех, кто их использует, вряд ли затронет происходящее».

Поделитесь материалом

Похожие статьи

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

+7 903 003-89-52