2020年2月起，不支持TCP和UDP协议的DNS服务器将被强制关闭！

世界上最大的DNS服务提供商行业组织已经同意一项计划，通过强制对影响整个互联网速度和性能的小型服务器运营商进行某些配置更改来改善DNS生态系统状态。据该组织称，从2020年2月开始，无法同时处理UDP和TCP上的DNS查询的DNS服务器可能会被强制踢出DNS生态系统并停止工作。DNS标志日的理念是让DNS服务器运营商更新其服务器软件和配置，并确保他们的服务器可以处理以UDP或TCP数据包接收的DNS查询。

一、2019年-第一版DNS标志日

行业达成一致，推出了名为DNS标志日的新活动的一部分，该活动于2019年2月1日在今年首次推出。

在第一个DNS标志日期间，参与者承诺在其DNS服务器上推出对DNS扩展协议的支持，并锁定与未运行同时符合EDNS的DNS解析器的服务器的任何通信。

根据互联网系统联盟和其他2019DNSFlagDay参与者的说法，该活动被认为是成功的，几大主要的服务提供商更新了他们的基础设施，导致更多公司的DNS解析器运行更快，且无法将其滥用为DDoS攻击的一部分。

二、2020-DNS标志日

现在，同一个行业组织再次开会，并就明年新的DNSFlagDay计划达成一致，他们决定推动整个生态系统实现对DNSoverTCP的支持。

今天，根据互联网标准，所有DNS服务器都支持通过UDP接收和回答DNS查询，但并非所有所有服务器都支持通过TCP接收和应答DNS查询。

2017年的一项统计数据显示，所有DNS查询中只有3％的是通过TCP发送的，其余的则是通过更不安全的UDP协议进行处理。

采用DNSoverTCP的一个重大障碍是，并非所有DNS服务提供商都支持此功能，这导致许多软件制造商默认避免使用它，因为这可能会破坏他们的应用程序。

“对59个顶级域名中3400万个域名的分析表明，使用TCP的要求会导致大约7％的域名出现问题，”DDoS缓解服务提供商QratorLabs周一在一篇博客文章中表示。

到目前为止，处理不支持DNSoverTCP查询的DNS服务提供商或域名注册商的常用方法是，将相同的DNSoverTCP查询转换为标准UDP。

遗憾的是，部署这些解决方法的DNS提供商速度较慢，通过TCP查询创建这些DNS的用户也是如此。

三、相同的服务供应商

QratorLabs表示，通过TCP处理域名查询的绝大多数问题已经本地化到中国域名注册商，7%以TCP模式处理的DNS故障中，有72%的问题是来自三家中国公司。

此外，大多数问题也出现在同一实体的网络中，这些网络在2019年DNS标志日期间与EDNS兼容的解析器存在问题，这表明大部分DNS生态系统都被不愿更新或正确配置服务器的同一组公司拖累了。

“国旗日组织者已经达成共识，组成DNS社区的数千家互联网服务提供商和DNS运营商不应再为一些不更新其服务器的公司支付解决方案的费用，”QratorLabs说。

主要的计划是从2020年2月1日起，停止部署在TCP查询上重写DNS的变通方法。在那之前，不会更新其配置的DNS服务器可能会被来自上游提供商/服务器的拒绝DNS查询请求。

四、更多DNS标志的未来

随着DNSFlagDay2019的成功推行，该行业组织计划每年都进行类似的推动，并逐渐迫使公司摆脱旧软件或坏配置。

DNSFlagDay的组织成员包括ISC，Cloudflare，Facebook，Google，Cisco，Quad9，CZ.NIC，NLnetLabs，CleanBrowsing和PowerDNS。