Pagkahuman sa duha ka tuig nga pag-uswag, gipagawas sa ISC consortium ang una nga lig-on nga pagpagawas sa usa ka mayor nga bag-ong sanga sa BIND 9.18 DNS server. Ang suporta para sa branch 9.18 ihatag sulod sa tulo ka tuig hangtod sa 2nd quarter sa 2025 isip kabahin sa usa ka extended support cycle. Ang suporta sa 9.11 nga sanga matapos sa Marso, ug ang suporta sa 9.16 nga sanga sa tungatunga sa 2023. Aron mapalambo ang gamit sa sunod nga stable nga bersyon sa BIND, usa ka experimental branch BIND 9.19.0 ang naporma.
Ang pagpagawas sa BIND 9.18.0 nabantog tungod sa pagpatuman sa suporta alang sa DNS sa HTTPS (DoH, DNS sa HTTPS) ug DNS sa TLS (DoT, DNS sa TLS), ingon man sa XoT (XFR-over-TLS) nga mekanismo. para sa luwas nga pagbalhin sa sulod sa DNS. mga sona tali sa mga server (ang pagpadala ug pagdawat sa mga sona pinaagi sa XoT gisuportahan). Uban sa angay nga mga setting, ang usa ka ngalan nga proseso mahimo nang magsilbi dili lamang sa tradisyonal nga mga pangutana sa DNS, apan usab mga pangutana nga gipadala gamit ang DNS-over-HTTPS ug DNS-over-TLS. Ang suporta sa kliyente alang sa DNS-over-TLS gitukod sa dig utility, nga magamit sa pagpadala sa mga hangyo sa TLS kung ang "+tls" nga bandila gitakda.
Ang pagpatuman sa HTTP/2 protocol nga gigamit sa DoH gibase sa paggamit sa nghttp2 library, nga gilakip isip usa ka opsyonal nga dependency sa assembly. Ang mga sertipiko para sa DoH ug DoT mahimong ihatag sa user o awtomatikong mamugna sa oras sa pagsugod.
Ang pagproseso sa hangyo gamit ang DoH ug DoT gi-enable pinaagi sa pagdugang sa "http" ug "tls" nga mga opsyon sa listen-on nga direktiba. Aron suportahan ang wala ma-encrypt nga DNS-over-HTTP, kinahanglan nimong ipiho ang "tls none" sa mga setting. Ang mga yawe gihubit sa seksyon nga "tls". Ang default network ports 853 para sa DoT, 443 para sa DoH ug 80 para sa DNS-over-HTTP mahimong ma-override pinaagi sa tls-port, https-port ug http-port parameters. Pananglitan:
tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; mga kapilian { https-port 443; listen-on port 443 tls local-tls http myserver {bisan unsa;}; }
Usa sa mga bahin sa pagpatuman sa DoH sa BIND mao ang abilidad sa pagbalhin sa mga operasyon sa pag-encrypt para sa TLS ngadto sa laing server, nga mahimong gikinahanglan sa mga kondisyon diin ang mga sertipiko sa TLS gitipigan sa laing sistema (pananglitan, sa usa ka imprastraktura nga adunay mga web server) ug gipadayon. sa ubang personnel. Ang suporta alang sa wala ma-encrypt nga DNS-over-HTTP gipatuman aron pasimplehon ang pag-debug ug isip usa ka layer alang sa pagpasa ngadto sa laing server sa internal nga network (alang sa pagbalhin sa encryption ngadto sa lain nga server). Sa usa ka hilit nga server, ang nginx mahimong magamit aron makamugna og trapiko sa TLS, susama sa kung giunsa ang pag-organisar sa HTTPS alang sa mga website.
Ang laing bahin mao ang paghiusa sa DoH isip usa ka kinatibuk-ang transportasyon nga mahimong magamit dili lamang sa pagdumala sa mga hangyo sa kliyente ngadto sa solver, kondili usab sa dihang makigkomunikar tali sa mga server, sa dihang magbalhin sa mga sona pinaagi sa usa ka awtoritatibong DNS server, ug sa pagproseso sa bisan unsang mga pangutana nga gisuportahan sa ubang DNS. mga transportasyon.
Lakip sa mga kakulangan nga mahimong mabayran pinaagi sa pag-disable sa pagtukod sa DoH/DoT o pagbalhin sa encryption sa lain nga server, ang kinatibuk-ang komplikasyon sa code base nagbarug - usa ka built-in nga HTTP server ug TLS library ang gidugang, nga mahimoβg adunay sulud. mga kahuyangan ug molihok isip dugang nga mga vector alang sa mga pag-atake. Usab, kon mogamit sa DoH, motaas ang trapiko.
Atong hinumdoman nga ang DNS-over-HTTPS mahimong mapuslanon sa pagpugong sa pagtulo sa impormasyon bahin sa gihangyo nga host names pinaagi sa DNS servers sa mga providers, pagsumpo sa MITM attacks ug DNS traffic spoofing (pananglitan, kon magkonektar sa publikong Wi-Fi), pag-counter. pag-block sa lebel sa DNS (DNS-over-HTTPS dili makapuli sa usa ka VPN sa pag-bypass sa blocking nga gipatuman sa lebel sa DPI) o alang sa pag-organisar sa trabaho kung imposible nga direktang ma-access ang mga DNS server (pananglitan, kung nagtrabaho pinaagi sa usa ka proxy). Kung sa usa ka normal nga kahimtang ang mga hangyo sa DNS direkta nga gipadala sa mga server sa DNS nga gihubit sa pagsumpo sa sistema, nan sa kaso sa DNS-over-HTTPS ang hangyo aron mahibal-an ang host IP address gi-encapsulated sa trapiko sa HTTPS ug gipadala sa HTTP server, diin giproseso sa solver ang mga hangyo pinaagi sa Web API.
Ang "DNS over TLS" lahi sa "DNS over HTTPS" sa paggamit sa standard DNS protocol (network port 853 ang kasagarang gigamit), giputos sa usa ka encrypted nga channel sa komunikasyon nga giorganisar gamit ang TLS protocol nga adunay host validity checking pinaagi sa TLS/SSL certificates certified pinaagi sa usa ka awtoridad sa sertipikasyon. Ang kasamtangan nga DNSSEC standard naggamit sa encryption lamang sa pag-authenticate sa kliyente ug server, apan dili manalipod sa trapiko gikan sa interception ug dili garantiya sa confidentiality sa mga hangyo.
Ang ubang mga inobasyon:
- Gidugang ang tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer ug udp-send-buffer nga mga setting aron itakda ang mga gidak-on sa mga buffer nga gigamit sa pagpadala ug pagdawat sa mga hangyo sa TCP ug UDP. Sa busy nga mga server, ang pagdugang sa umaabot nga mga buffer makatabang sa paglikay sa mga packet nga mahulog sa panahon sa mga peak sa trapiko, ug ang pagkunhod niini makatabang sa pagtangtang sa memory clogging sa mga daan nga hangyo.
- Usa ka bag-ong log nga kategorya nga "rpz-passthru" ang gidugang, nga nagtugot kanimo sa paglainlain nga pag-log sa RPZ (Response Policy Zones) nga mga aksyon sa pagpasa.
- Sa seksyon sa palisiya sa pagtubag, ang kapilian nga "nsdname-wait-recurse" gidugang, kung gibutang sa "dili", ang mga lagda sa RPZ NSDNAME magamit lamang kung ang mga awtoritatibo nga name server nga naa sa cache makit-an alang sa hangyo, kung dili ang Gibaliwala ang lagda sa RPZ NSDNAME, apan ang impormasyon makuha sa background ug magamit sa sunod nga mga hangyo.
- Alang sa mga rekord nga adunay mga tipo sa HTTPS ug SVCB, ang pagproseso sa seksyon nga "DUGANG" gipatuman.
- Gidugang ang custom update-policy rule type - krb5-subdomain-self-rhs ug ms-subdomain-self-rhs, nga nagtugot kanimo nga limitahan ang update sa SRV ug PTR nga mga rekord. Ang mga bloke sa update-policy nagdugang usab sa abilidad sa pagtakda og mga limitasyon sa gidaghanon sa mga rekord, indibidwal alang sa matag matang.
- Gidugang nga impormasyon bahin sa transport protocol (UDP, TCP, TLS, HTTPS) ug DNS64 prefix sa output sa dig utility. Alang sa mga katuyoan sa pag-debug, ang dig nagdugang sa abilidad sa pagtino sa usa ka piho nga identifier sa hangyo (pagkalot +qid= ).
- Gidugang nga suporta alang sa OpenSSL 3.0 library.
- Aron matubag ang mga isyu sa IP fragmentation kung nagproseso sa dagkong mga mensahe sa DNS nga giila sa DNS Flag Day 2020, ang code nga nag-adjust sa gidak-on sa buffer sa EDNS kung walay tubag sa usa ka hangyo gikuha gikan sa solver. Ang gidak-on sa buffer sa EDNS gitakda na karon sa makanunayon (edns-udp-size) para sa tanang nanggawas nga mga hangyo.
- Ang sistema sa pagtukod gibalhin sa paggamit sa usa ka kombinasyon sa autoconf, automake ug libtool.
- Ang suporta alang sa mga zone file sa "mapa" nga pormat (masterfile-format nga mapa) gihunong na. Ang mga tiggamit niini nga format girekomendar sa pag-convert sa mga zone ngadto sa hilaw nga format gamit ang ginganlan nga-compilezone utility.
- Ang suporta alang sa mas karaan nga DLZ (Dynamically Loadable Zones) nga mga drayber gihunong, gipulihan sa DLZ modules.
- Ang pagtukod ug pagpadagan sa suporta alang sa plataporma sa Windows gihunong na. Ang katapusang sanga nga mahimong ma-install sa Windows mao ang BIND 9.16.
Source: opennet.ru