#DNSFLAGDAY is coming!

Estas última semanas se está generando bastante revuelo en torno a los servidores DNS y dominios en general, debido a la campaña #DNSFLAGDAY.

Con dicha campaña, los principales desarrolladores de software de resolución DNS (Bind, PowerDNS…) junto con empresas como Cisco, Facebook, Google…están invitando a los proveedores DNS (autoritativos y/o de resolución) a que actualicen sus plataformas en caso de no ser completamente compatibles con el estándar DNS, de lo contrario, a partir de mañana, día 1 de Febrero de 2019, puede que las respuestas DNS sean excesivamente lentas (lo cual impacta en todas las conexiones del resto de protocolos) o incluso que el dominio deje de resolver.

Como bien comentan, durante muchos años se ha estado arrastrando el soporte de software muy antiguo, no estándar y que no permite la evolución del protocolo e implementación de mejoras, de ahí que haya llegado el momento de cortar por lo sano. Por ejemplo, hay servidores que no responden correctamente a las queries relativas a EDNS, una extensión del protocolo que permite paquetes UDP más largos de los 512 bytes habituales (ojo en este punto que hay firewalls que tampoco lo soportan y deben ser actualizados también), nuevos flags…etc.

Por lo tanto, lo primero que habría que hacer es comprobar si tu dominio va a seguir funcionando correctamente, algo que puede hacerse desde el formulario de la web http://www.dnsflagday.net. En ella, se mostrarán los resultados sobre los NS del dominio consultado, indicando si va a tener problemas o si cada uno de los servidores DNS autoritativos del dominio, sigue los estándares. En caso de que salga algún error “rojo”, mejor contactar rápidamente con tu soporte o administrador de sistemas ya que puede que a partir de mañana, tengas problemas.

Cuando los resolvers DNS de Google no resuelven

Cuando un dominio no resuelve en los resolvers DNS públicos de Google (8.8.8.8 y 8.8.4.4), lo primero que piensas es que tiene algún fallo en sus registros DNS (los NS de la zona, por ejemplo), que el dominio ha caducado…etc. Pero cuando compruebas que todo es correcto y que el resto de resolvers responden bien a a las consultas DNS, entonces se acaban las ideas.

Buscando errores similares, llegué a un artículo que comentaba:

Google’s Public DNS service is now performing DNSSEC validation for all DNS queries by default!

We have recently enabled validation by default globally, and you should now get SERVFAIL for validation failures. Apologies again for the original, unclear announcement.

Sigue leyendo