ProHoster > Bloc > notícies d'internet > Llançament de PowerDNS Recursor 4.2 i la iniciativa del dia de la bandera de DNS 2020

Llançament de PowerDNS Recursor 4.2 i la iniciativa del dia de la bandera de DNS 2020

Després d'un any i mig de desenvolupament presentat llançament del servidor DNS de la memòria cau PowerDNS Recursor 4.2, responsable de la conversió recursiva de noms. PowerDNS Recursor es basa en la mateixa base de codi que PowerDNS Authoritative Server, però els servidors DNS recursius i autoritzats de PowerDNS es desenvolupen a través de diferents cicles de desenvolupament i es publiquen com a productes separats. Codi del projecte Distribuït per amb llicència GPLv2.

La nova versió elimina tots els problemes relacionats amb el processament de paquets DNS amb senyaladors EDNS. Les versions anteriors de PowerDNS Recursor anteriors al 2016 tenien la pràctica d'ignorar els paquets amb senyals EDNS no compatibles sense enviar una resposta en el format antic, descartant els indicadors EDNS tal com ho exigeix ​​l'especificació. Anteriorment, aquest comportament no estàndard era compatible amb BIND en forma de solució alternativa, però dins de l'abast de realitzat iniciatives al febrer Dia de la bandera de DNS, els desenvolupadors de servidors DNS van decidir abandonar aquest pirateig.

A PowerDNS, els principals problemes en el processament de paquets amb EDNS es van eliminar el 2017 a la versió 4.1, i a la branca 2016 llançada el 4.0, van sorgir incompatibilitats individuals que sorgeixen en un conjunt determinat de circumstàncies i, en general, no interfereixen amb la normalitat. funcionament. A PowerDNS Recursor 4.2, com en VINCULAR 9.14, S'han eliminat solucions alternatives per admetre servidors autoritzats que responen incorrectament a les sol·licituds amb senyals EDNS. Fins ara, si després d'enviar una sol·licitud amb senyaladors EDNS no hi havia resposta després d'un període de temps determinat, el servidor DNS assumia que els indicadors ampliats no eren compatibles i enviava una segona sol·licitud sense senyaladors EDNS. Aquest comportament s'ha desactivat, ja que aquest codi va provocar un augment de la latència a causa de les retransmissions de paquets, l'augment de la càrrega de la xarxa i l'ambigüitat quan no responia a causa d'errors de xarxa, i va impedir la implementació de funcions basades en EDNS, com ara les galetes DNS per protegir-se dels atacs DDoS.

S'ha decidit fer l'acte l'any vinent Dia de la bandera DNS 2020dissenyat per centrar l'atenció la decisió problemes amb fragmentació d'IP quan es processen missatges DNS grans. Com a part de la iniciativa es planifica arreglar les mides de memòria intermèdia recomanades per a EDNS a 1200 bytes i traduir processar sol·licituds mitjançant TCP és una característica imprescindible als servidors. Ara es requereix suport per processar sol·licituds mitjançant UDP i TCP és desitjable, però no és necessari per al funcionament (l'estàndard requereix la possibilitat de desactivar TCP). Es proposa eliminar l'opció de desactivar TCP de l'estàndard i estandarditzar la transició de l'enviament de sol·licituds a través d'UDP a l'ús de TCP en els casos en què la mida del buffer EDNS establerta no sigui suficient.

Els canvis proposats com a part de la iniciativa eliminaran la confusió amb l'elecció de la mida de la memòria intermèdia EDNS i solucionaran el problema de la fragmentació dels grans missatges UDP, el processament dels quals sovint condueix a la pèrdua de paquets i temps d'espera al costat del client. Al costat del client, la mida del buffer EDNS serà constant i les respostes grans s'enviaran immediatament al client mitjançant TCP. Evitar enviar missatges grans per UDP també us permetrà bloquejar atacs per enverinar la memòria cau DNS, basat en la manipulació de paquets UDP fragmentats (quan es divideix en fragments, el segon fragment no inclou una capçalera amb un identificador, de manera que es pot falsificar, per a la qual cosa només n'hi ha prou perquè coincideixi la suma de control) .

PowerDNS Recursor 4.2 té en compte els problemes amb paquets UDP grans i canvia a utilitzar la mida del buffer EDNS (edns-outgoing-bufsize) de 1232 bytes, en lloc del límit utilitzat anteriorment de 1680 bytes, que hauria de reduir significativament la probabilitat de perdre paquets UDP. . S'ha escollit el valor 1232 perquè és el màxim al qual la mida de la resposta DNS, tenint en compte IPv6, s'ajusta al valor MTU mínim (1280). El valor del paràmetre del llindar de truncament, que s'encarrega de retallar les respostes al client, també s'ha reduït a 1232.

Altres canvis a PowerDNS Recursor 4.2:

  • S'ha afegit el suport del mecanisme XPF (X-Proxied-For), que és l'equivalent DNS de la capçalera HTTP X-Forwarded-For, que permet reenviar informació sobre l'adreça IP i el número de port del sol·licitant original mitjançant servidors intermediaris i equilibradors de càrrega (com ara dnsdist) . Per habilitar XPF hi ha opcions "xpf-permet-de"I"xpf-rr-code";
  • Suport millorat per a l'extensió EDNS Subxarxa del client (ECS), que permet transmetre en consultes DNS a un servidor DNS autoritzat informació sobre la subxarxa des de la qual es va enverinar la sol·licitud inicial transmesa al llarg de la cadena (les dades sobre la subxarxa font del client són necessàries per al funcionament efectiu de les xarxes de lliurament de contingut) . La nova versió afegeix la configuració per al control selectiu sobre l'ús de la subxarxa del client EDNS: "ecs-add-for» amb una llista de màscares de xarxa per a les quals s'utilitzarà la IP a ECS en les sol·licituds de sortida. Per a les adreces que no entren dins de les màscares especificades, l'adreça general especificada a la directiva "ecs-scope-zero-address". A través de la directiva "use-incoming-edns-subnet» podeu definir subxarxes des de les quals no es substituiran les sol·licituds entrants amb valors ECS emplenats;
  • Per als servidors que processen un gran nombre de peticions per segon (més de 100 mil), la directiva "distribuïdor-fils", que determina el nombre de fils per rebre sol·licituds entrants i distribuir-los entre fils de treball (només té sentit quan s'utilitza el "pdns-distributes-queries=sí").
  • Configuració afegit fitxer-lista-de-sufixos-publics per definir el vostre propi fitxer llista de sufixos públics dominis en què els usuaris poden registrar els seus subdominis, en lloc de la llista integrada a PowerDNS Recursor.

El projecte PowerDNS també va anunciar un pas a un cicle de desenvolupament de sis mesos, amb la propera versió important de PowerDNS Recursor 4.3 previst al gener de 2020. Al llarg de l'any es desenvoluparan actualitzacions per a versions importants, després de les quals es publicaran correccions de vulnerabilitats durant sis mesos més. Així, el suport per a la branca PowerDNS Recursor 4.2 durarà fins al gener de 2021. S'han fet canvis similars al cicle de desenvolupament per a PowerDNS Authoritative Server, que s'espera que llançarà la 4.2 en un futur proper.

Característiques principals de PowerDNS Recursor:

  • Eines per a la recollida d'estadístiques a distància;
  • Reinici instantani;
  • Motor integrat per connectar gestors en l'idioma Lua;
  • Suport complet DNSSEC i DNS64;
  • Suport per a RPZ (zones de política de resposta) i la possibilitat de definir llistes negres;
  • Mecanismes anti-spoofing;
  • Possibilitat d'enregistrar resultats de resolució com a fitxers de zona BIND.
  • Per garantir un alt rendiment, s'utilitzen mecanismes de multiplexació de connexions moderns a FreeBSD, Linux i Solaris (kqueue, epoll, /dev/poll), així com un analitzador de paquets DNS d'alt rendiment capaç de processar desenes de milers de peticions paral·leles.

Font: opennet.ru

Afegeix comentari