警告！2020年2月1月起：不支持TCP和UDP協議的DNS伺服器將被關停

世界上最大的DNS服務提供商行業組織計劃強制DNS支持TCP查詢。

世界上最大的DNS服務提供商行業組織已經決定，通過強制對影響整個互聯網速度和性能的小型伺服器運營商，進行某些配置更改來改善DNS生態系統的計劃。

據該組織稱，從2020年2月1日起，不能提供UDP和TCP同時可解析的DNS伺服器將被踢出DNS生態系統，並停止工作。

DNS革新日的創意是讓DNS伺服器運營商更新其伺服器軟體和配置，並確保他們的伺服器可以處理UDP或TCP的DNS查詢。

一、DNS 革新日 2019–第一版

達成一致的行業DNS組織推出了作為新活動的一部分—DNS革新日。本年度2019年2月1日成為第一個DNS革新日（https://www.isc.org/blogs/dns-flag-day/）。

在第一個DNS革新日期間，參與者承諾在其DNS伺服器上推出對DNS擴展（EDNS）協議的支持，並排除與未運行同時符合EDNS的DNS解析器的伺服器的任何通信。

據互聯網系統聯盟（ ISC ）和其他2019的DNS革新日參與者講，該活動被認為是成功的，幾家主要DNS服務提供商更新了他們的基礎設施，效果良好，更多的公司DNS服務解析更快且無法濫用DNS解析器作為DDoS攻擊的一部分。

二、DNS 革新日 2020

現在，同一行業組織再次開會，並就明年新的DNS革新日計劃達成一致，他們決定推動整個DNS生態支持基於TCP的DNS解析。

今天作為互聯網的標準，所有的DNS伺服器支持介紹和回應基於UDP的DNS查詢，但並非所有的dns伺服器都支持TCP的DNS查詢。

一份2017年的統計數據顯示所有的DNS查詢中，僅有3%是通過TCP發送，剩下的都是通過不安全的UDP協議發出。

採用TCP進行DNS查詢最大的障礙，並不是所有的DNS服務支持這一特性，這也導致了很多軟體開發公司為了避免自家程序崩潰，而沒有默認支持TCP的DNS查詢。

QratorLabs（一個抗DDos攻擊的商業服務）周一在博客中說，」對59個頂級域名(TLD，top-level domains)中的3400萬個域進行的分析表明，使用TCP的查詢導致約7％的域名解析出現問題。「

到目前為止，處理不支持通過TCP的DNS查詢的DNS服務提供商或域名註冊商的常用方法，是通過將相同的TCP的DNS查詢轉換為標準UDP查詢的來解決。

遺憾的是，部署這些解決方法的DNS提供商速度較慢，通過TCP方式訪問DNS服務的用戶數量也增速緩慢。

三、同樣的服務提供商

Qrator Lab說大多數的TCP方式的DNS問題來自中國本土的域名註冊商， 其中 7% TCP模式DNS解析的問題，中國域名提供商的問題佔了72%。

此外， 多數問題也出現在同一實體的網路中，這些網路在2019年DNS革新日期間與EDNS兼容的解析器存在問題，這表明大多數DNS生態系統都被同一組公司拖累了，這些公司不願意更新或正確配置他們的伺服器。

Qrator Labs講，「DNS革新日組織成員已經達成共識，組成DNS社區的數千家互聯網服務提供商和DNS運營商不再為了兼容幾十家不更新他們的DNS伺服器的公司公司而買單。」

2020的革新日的大體計劃是：2020年2月1日起，停止TCP解析重定向到UDP解析的DNS兼容方案，屆時，沒有正確更新配置的DNS伺服器會被上游伺服器拒絕DNS查詢服務。

四、更多的DNS革新日

由於2019年DNS革新日非常成功，此行業組織現在計劃每年舉行一次DNS革新日，漸進地迫使DNS提供商和註冊商公司逐漸升級舊軟體和舊配置。

DNS革新日組織成員包括ISC，Cloudflare，Facebook，Google，Cisco，Quad9，CZ.NIC，NLnet Labs，CleanBrowsing和PowerDNS。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！