ProHoster > Blog > nutizie internet > Liberazione di PowerDNS Recursor 4.2 è iniziativa di u ghjornu di a bandiera DNS 2020

Liberazione di PowerDNS Recursor 4.2 è iniziativa di u ghjornu di a bandiera DNS 2020

Dopu un annu è mezu di sviluppu prisentatu cache di liberazione di u servitore DNS Risorsa PowerDNS 4.2, chì hè rispunsevule per a risoluzione recursiva di nomi. PowerDNS Recursor hè custruitu nantu à a listessa basa di codice cum'è PowerDNS Authoritative Server, ma i servitori DNS recursivi è autoritarii PowerDNS sò sviluppati attraversu diversi cicli di sviluppu è liberati cum'è prudutti separati. Codice di u prugettu distribuitu da licenziatu sottu GPLv2.

A nova versione elimina tutti i prublemi ligati à u processu di pacchetti DNS cù bandieri EDNS. In e versioni più vechje di PowerDNS Recursor prima di 2016, hè stata praticata per ignurà i pacchetti cù bandieri EDNS senza supportu, senza mandà una risposta in u vechju formatu, scartendu i bandieri EDNS, cum'è necessariu da a specificazione. In precedenza, tali comportamenti non standard era supportatu in BIND in forma di una soluzione, ma in u quadru di realizatu iniziative di ferraghju U ghjornu di a bandiera DNS, i sviluppatori di servitori DNS decisu di abbandunà stu pirate.

In PowerDNS, i prublemi principali in u processu di pacchetti cù EDNS sò stati risolti in u 2017 in a versione 4.1, è in u ramu 2016 liberatu in 4.0, emergenu incompatibilità individuali chì sò accaduti in un certu settore di circustanze è in generale ùn interferiscenu micca cù l'operazione normale. In PowerDNS Recursor 4.2, cum'è in LIGA 9.14, sguassate solu solu per sustene i servitori autoritarii chì rispundenu incorrectamente à e dumande cù bandiere EDNS. Finu à avà, se ùn ci hè micca risposta dopu un certu periodu di tempu dopu avè mandatu una dumanda cù bandieri EDNS, u servitore DNS hà cunsideratu chì i bandieri estesi ùn sò micca supportati è hà mandatu una seconda dumanda senza bandieri EDNS. Stu cumpurtamentu hè avà disattivatu, postu chì un tali codice hà risultatu in ritardi aumentati per via di rinviazione di pacchetti, aumentu di a carica di rete è ambiguità in l'absenza di una risposta per fallimenti di a rete, è ancu interferiscenu cù l'implementazione di funzioni basate in EDNS cum'è l'usu. di Cookies DNS per pruteggiri contra attacchi DDoS.

L'annu dopu hè statu decisu di fà un avvenimentu U ghjornu di a bandiera DNS 2020cuncepitu per fucalizza nantu a decisione prublemi cù a frammentazione di l'IP durante u processu di grandi missaghji DNS. In parte di l'iniziativa hè prevista fixà e dimensioni di buffer cunsigliate per EDNS à 1200 byte, è traduce processà e dumande nantu à TCP in a categuria necessariamente supportata da i servitori. Avà u supportu per processà e dumande nantu à UDP hè necessariu, è TCP hè desideratu, ma micca necessariu per u funziunamentu (u standard prescrive a capacità di disattivà TCP). Hè prupostu di sguassà l'opzione per disattivà TCP da u standard è standardizà a transizione da l'inviu di richieste per UDP à l'usu di TCP in i casi induve a dimensione di u buffer EDNS stabilitu ùn hè micca abbastanza.

I cambiamenti pruposti da l'iniziativa eliminà a cunfusione nantu à l'scelta di a dimensione di u buffer EDNS è risolve u prublema di frammentazione di grande messagi UDP, u processu di quale spessu porta à a perdita di pacchetti è timeouts da u cliente. Da u latu di u cliente, a dimensione di u buffer EDNS serà custante, è risposti grandi seranu immediatamente mandati à u cliente nantu à TCP. Evitendu l'inviu di messagi grossi nantu à UDP bluccarà ancu attacchi nantu à l'avvelenamentu di cache DNS, basatu annantu à a manipulazione di pacchetti UDP frammentati (quandu hè spartutu in frammenti, u secondu fragmentu ùn include micca un capu cù un identificatore, perchè pò esse falsificata, per quale hè abbastanza solu per currisponde à u checksum).

PowerDNS Recursor 4.2 hà indirizzatu i prublemi cù grandi pacchetti UDP è si trasfirìu à utilizà una dimensione di buffer EDNS (edns-outgoing-bufsize) di 1232 byte invece di u limitu utilizatu prima di 1680 byte, chì duverebbe riduce significativamente a probabilità di persu pacchetti UDP. U valore 1232 hè sceltu perchè hè u massimu à quale a dimensione di risposta DNS, tenendu in contu IPv6, si mette in u valore minimu MTU (1280). U valore di u paràmetru di u troncu-soglia, chì hè rispunsevule per truncà e risposti à u cliente, hè ancu ridutta à 1232.

Altri cambiamenti in PowerDNS Recursor 4.2:

  • Supportu di u mecanismu aghjuntu XPF (X-Proxied-For), chì hè l'equivalente DNS di l'intestazione HTTP X-Forwarded-For, chì permette di passà infurmazione nantu à l'indirizzu IP è u numeru di portu di u richiedente originale, trasmessa per mezu di proxies intermedi è balancers di carica (per esempiu, dnsdist). Per attivà XPF, l'opzioni "xpf-permette-da"E"xpf-rr-code";
  • Supportu migliuratu per l'estensione EDNS Client Subnet (ECS), chì permette l'infurmazioni nantu à a subnet da quale a quistione originale hè stata avvelenata in una dumanda DNS à un servitore DNS autoritariu (dati nantu à a subnet fonte di u cliente hè necessariu per u funziunamentu efficace di e rete di spedizione di cuntenutu). A nova versione aghjusta paràmetri per u cuntrollu selettivu annantu à l'usu di a Subnet Client EDNS: «ecs-add-for» cù una lista di maschere di rete per quale l'IP serà utilizatu in ECS in e dumande in uscita. Per l'indirizzi chì ùn currispondenu micca à e maschere specificate, l'indirizzu genericu specificatu in u "ecs-scope-zero-indirizzu". Per mezu di a direttivause-incoming-edns-subnet» pudete definisce subnets, richieste in entrata cù valori ECS cumpleti da quale ùn saranu micca rimpiazzati;
  • Per i servitori chì processanu un gran numaru di richieste per seconda (più di 100 mila), a direttiva "distributori-fili", chì determina u nùmeru di fili per riceve e dumande in entrata è li distribuisce trà i fili di u travagliu (solu sensu quandu si usa "pdns-distributes-queries=sì").
  • Configurazione aghjuntu public-suffix-list-file per definisce u vostru propiu schedariu cù lista di suffissi publichi duminii induve l'utilizatori ponu registrà i so subdomini invece di a lista integrata di PowerDNS Recursor.

U prughjettu PowerDNS hà ancu annunziatu un ciclu di sviluppu di sei mesi, cù a prossima versione maiò di PowerDNS Recursor 4.3 prevista in ghjennaghju 2020. L'aghjurnamenti per e versioni maiò seranu lanciati annantu à un annu, seguitu da altri sei mesi per correzioni di vulnerabilità. Cusì, u supportu per a filiera PowerDNS Recursor 4.2 durà finu à ghjennaghju 2021. I cambiamenti di u ciclu di sviluppu simili sò stati aduttati per u pruduttu PowerDNS Authoritative Server, chì hè previstu di liberà 4.2 prestu.

Funzioni chjave di PowerDNS Recursor:

  • Strumenti per a cullizzioni remota di statistiche;
  • ripartenza immediata;
  • Mutore integratu per cunnette i gestori in lingua Lua;
  • Supportu cumpletu per DNSSEC è DNS 64;
  • Supportu per RPZ (Response Policy Zones) è a capacità di definisce e liste nere;
  • Meccanismi anti-spoofing;
  • Capacità di scrive risultati di risoluzione cum'è schedarii di zona BIND.
  • Per assicurà un altu rendiment, i meccanismi di multiplexing di cunnessione muderni in FreeBSD, Linux è Solaris (kqueue, epoll, /dev/poll) sò usati, è ancu un parser di pacchetti DNS d'altu rendiment capace di processà decine di millaie di richieste parallele.

Source: opennet.ru

Add a comment