強化DNS安全,三大公共DNS服務商將在2月1日測試EDNS協定 - ithome
摘要:
為強化DNS服務的驗證,成立於2002年的全球網域名稱管理機構(Internet Corporation for Assigned Names and Numbers,ICANN),在最近這幾年,正不斷推廣DNS Security Extensions(DNSSEC),目標是提升網路的使用安全,像是要確保DNS的內容,不會在源頭被修改,以及阻止駭客惡意移轉DNS用戶的流量,同時也讓DNS的查詢將更加安全。而在DNSSEC中,包含了兩個重要關鍵技術,分別是數位簽章與EDNS,其中EDNS就是DNS內的延伸安全協定,主要提供DNS的安全性功能,並可擴展DNS封包。
為了導入EDNS協定,最近Cloudflare、Google、IBM這三大公共DNS服務商,共同宣布將在2019年2月1日,測試其EDNS的符合性功能,並命名為DNS Flag Day。這也意謂著,在2月1日之後,支援EDNS協定的域名,上網將更加安全。而到現在還沒有準備就緒的網域,將會受到影響,因為這些公眾DNS,如Cloudflare(1.1.1.1)、Google(8.8.8.8)、IBM(9.9.9.9),可能因為無法順利解析IP位址,或解析反應變慢,造成用戶感受到上網速度變慢或無法連線。
大致如 hinet 公告,簡明扼要:
一、 因應部分Public DNS服務(如Cloudflare 1.1.1.1、Google 8.8.8.8、IBM 9.9.9.9等)將於2019年2月1日執行EDNS符合性驗證(Extension mechanisms for DNS, DNS延伸機制),屆時如不支援EDNS協定之域名將造成Public DNS無法順利解析或解析反應變慢。 ( 參閱TWNIC 2019-01-23最新消息 https://blog.twnic.net.tw/2019/01/23/2286/ )
二、 使用HiNet DNS服務(168.95.1.1與168.95.192.1)及HiNet代管DNS服務,皆可正常解析不受影響。
三、 若使用上述Public DNS服務,發生有部分域名無法解析情況,可改使用HiNet DNS服務,即可恢復正常解析。
其它相關訊息
DNS Flag Day來臨!2月1日以後,有些網站將受影響!趕快更改您的DNS設定!
DNS support edns-client-subnet (介紹技術細節)
DNSSEC─數位簽章與 EDNS0
這篇介紹的滿詳細的
方法 1
檢查自己的網域所用的 Name Server 是否支援 EDNS:
https://ednscomp.isc.org/ednscomp
https://dnsflagday.net/
方法 2
或是用 dig 查詢 Name Server 支援 EDNS ?
例如,查詢 168.95.1.1 這台 有無支援 EDNS
$ dig @168.95.1.1 hinet.net +subnet=0.0.0.0/0
::: ::
::: ::
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 3072 有出現這行 表示支援 EDNS
; CLIENT-SUBNET: 0.0.0.0/0/0
;; QUESTION SECTION:
一般用戶,可以設定公共(免費) 的 DNS 服務:
Google Public DNS: 8.8.8.8
IBM Public DNS (Quad9): 9.9.9.9
Cloudflare Public DNS: 1.1.1.1
TWNIC Public DNS: 101.101.101.101. 或 101.102.103.104
國內各寬頻業者的資料:
HiNet (中華電信) DNS: 168.95.192.1 或 168.95.1.1
Seednet (遠傳/數位聯合電信/速博)DNS: 139.175.1.1 或 139.175.1.244