ProHoster > Blag > nuacht idirlín > Scaoileadh tionscnamh PowerDNS Recursor 4.2 agus lá brataí DNS 2020

Scaoileadh tionscnamh PowerDNS Recursor 4.2 agus lá brataí DNS 2020

Tar éis bliain go leith d'fhorbairt curtha i láthair scaoileadh caching freastalaí DNS Acmhainn PowerDNS 4.2, freagrach as comhshó ainm athchúrsach. Tá PowerDNS Recursor tógtha ar an mbonn cód céanna le Freastalaí Údarásach PowerDNS, ach déantar freastalaithe DNS athfhillteacha agus údarásacha PowerDNS a fhorbairt trí thimthriallta forbartha éagsúla agus scaoiltear iad mar tháirgí ar leithligh. Cóid tionscadail dáilte ag ceadúnaithe faoi GPLv2.

Cuireann an leagan nua deireadh le gach saincheist a bhaineann le próiseáil paicéid DNS le bratacha EDNS. Bhí sé de nós ag leaganacha níos sine de PowerDNS Recursor roimh 2016 neamhaird a dhéanamh ar phaicéid le bratacha EDNS nach dtacaítear leo gan freagra a sheoladh sa seanfhormáid, agus na bratacha EDNS a chaitheamh de réir mar a éilíonn an tsonraíocht. Roimhe seo, thacaigh BIND leis an iompar neamhchaighdeánach seo i bhfoirm réitigh, ach laistigh de raon feidhme na rinneadh i dtionscnaimh Feabhra Lá bratach DNS, Chinn forbróirí freastalaí DNS an hack seo a thréigean.

I PowerDNS, cuireadh deireadh leis na príomhfhadhbanna maidir le paicéid a phróiseáil le EDNS ar ais i 2017 i scaoileadh 4.1, agus sa bhrainse 2016 a scaoileadh i 4.0, tháinig dromchla ar neamh-chomhoiriúnacht aonair a thagann chun cinn faoi shraith áirithe imthosca agus, go ginearálta, ní chuireann siad isteach ar an ngnáthnós. oibríocht. In PowerDNS Recursor 4.2, mar atá i CEANGAL 9.14, Baineadh réitigh oibre chun tacú le freastalaithe údarásacha a fhreagraíonn go mícheart d'iarratais a bhfuil bratacha EDNS orthu. Go dtí seo, más rud é tar éis iarratas a sheoladh le bratacha EDNS nach raibh aon fhreagra tar éis tréimhse áirithe ama, ghlac an freastalaí DNS leis nach raibh tacaíocht ag bratacha sínte agus sheol sé an dara hiarratas gan bratacha EDNS. Tá an t-iompar seo díchumasaithe anois toisc gur tháinig méadú ar fholaice mar thoradh ar an gcód seo mar gheall ar atarchur paicéid, ualach méadaithe líonra agus athbhrí nuair nach raibh siad ag freagairt mar gheall ar theipeanna líonra, agus chuir sé cosc ​​ar chur i bhfeidhm gnéithe bunaithe ar EDNS ar nós Fianáin DNS chun cosaint a dhéanamh ar ionsaithe DDoS.

Tá sé socraithe an ócáid ​​a reáchtáil an bhliain seo chugainn Lá bratach DNS, 2020deartha chun aird a dhíriú ar an cinneadh fadhbanna le ilroinnt IP nuair a bhíonn teachtaireachtaí DNS móra á bpróiseáil. Mar chuid den tionscnamh pleanáilte na méideanna maolánacha molta do EDNS a shocrú go 1200 beart, agus aistriú Is gné riachtanach é iarratais a phróiseáil trí TCP ar fhreastalaithe. Anois tá gá le tacaíocht chun iarratais a phróiseáil trí UDP, agus tá TCP inmhianaithe, ach níl sé ag teastáil le haghaidh oibríochta (éilíonn an caighdeán an cumas TCP a dhíchumasú). Tá sé beartaithe an rogha TCP a dhíchumasú a bhaint den chaighdeán agus an t-aistriú a chaighdeánú ó iarratais a sheoladh thar UDP go TCP a úsáid i gcásanna nach leor an méid maoláin EDNS atá bunaithe.

Cuirfidh na hathruithe atá beartaithe mar chuid den tionscnamh deireadh leis an mearbhall maidir le roghnú an mhéid maoláin EDNS agus réiteoidh siad an fhadhb a bhaineann le ilroinnt teachtaireachtaí móra CDU, ar minic go gcailltear paicéid agus tréimhsí amanna ar thaobh an chliaint de bharr a bpróiseála. Ar thaobh an chliaint, beidh méid maolánach EDNS seasmhach agus seolfar freagraí móra láithreach chuig an gcliant thar TCP. Má sheachnaíonn tú teachtaireachtaí móra thar UDP beidh tú in ann blocáil a dhéanamh freisin ionsaithe chun an taisce DNS a nimhiú, bunaithe ar ionramháil paicéid UDP ilroinnte (nuair a roinntear iad ina blúirí, ní chuimsíonn an dara blúire ceanntásc le aitheantóir, ionas gur féidir é a bhrionnú, agus is leor é chun an tseic a mheaitseáil) .

Cuireann PowerDNS Recursor 4.2 san áireamh fadhbanna le paicéid mhóra UDP agus aistríonn sé go dtí an méid maolánach EDNS (edns-outgoing-bufsize) de 1232 bytes a úsáid, in ionad na teorann a úsáideadh roimhe seo de 1680 beart, rud a laghdódh go mór an dóchúlacht go gcaillfear paicéid UDP. . Roghnaíodh an luach 1232 toisc gurb é an t-uasmhéid ag a luíonn méid an fhreagra DNS, ag cur IPv6 san áireamh, leis an luach íosta MTU (1280). Laghdaíodh freisin luach an pharaiméadar teasctha-tairseach, atá freagrach as freagraí a ghearradh ar an gcliant, go 1232.

Athruithe eile ar PowerDNS Recursor 4.2:

  • Tacaíocht meicníochta breise XPF (X-Proxied-For), arb ionann é agus DNS leis an gceanntásc X-Forwarded-For HTTP, a cheadaíonn faisnéis faoi sheoladh IP agus uimhir phoirt an iarrthóra bhunaidh a chur ar aghaidh trí sheachvótálaithe idirmheánacha agus comhardaitheoirí ualaigh (amhail dnsdist) . Chun XPF a chumasú tá roghanna "xpf-cheadú ó"Agus"Cód xpf-rr";
  • Tacaíocht fheabhsaithe do shíneadh EDNS Subnet Cliant (ECS), a ligeann duit fiosrúcháin DNS a tharchur chuig freastalaí DNS údarásach faisnéis faoin bhfolíon ónar nimhíodh an t-iarratas tosaigh a tharchuireadh feadh an tslabhra (tá sonraí faoi fho-líon foinse an chliaint riachtanach chun líonraí seachadta inneachair a oibriú go héifeachtach) . Cuireann an scaoileadh nua socruithe le haghaidh rialú roghnach ar úsáid EDNS Cliant Subnet: “ecs-add-for» le liosta maisc líonra a n-úsáidfear an IP in ECS in iarratais amach. Maidir le seoltaí nach dtagann faoi réim na maisc sonraithe, an seoladh ginearálta a shonraítear sa treoir "ecs-scope-zero-seoladh“. Tríd an treoir"use-incoming-edns-subnet» is féidir leat folíonta a shainiú nach n-athrófar iarratais isteach a bhfuil luachanna ECS líonta acu;
  • Maidir le freastalaithe a phróiseálann líon mór iarrataí in aghaidh an tsoicind (níos mó ná 100 míle), tá an treoir “dáileoir-snáitheanna", a chinneann líon na snáitheanna chun iarratais isteach a fháil agus iad a dháileadh idir snáitheanna oibrithe (ní dhéanann sé ciall ach amháin nuair a úsáidtear an "pdns-distributes-queries=tá").
  • Cuireadh socrú leis public-iarmhír-liosta-chomhad chun do chomhad féin a shainiú le liosta na n-iarmhíreanna poiblí fearainn inar féidir le húsáideoirí a gcuid fofhearainn a chlárú, in ionad an liosta a tógadh isteach i PowerDNS Recursor.

D’fhógair an tionscadal PowerDNS freisin bogadh chuig timthriall forbartha sé mhí, agus táthar ag súil go mbeidh an chéad mhórscaoileadh eile de PowerDNS Recursor 4.3 ann i mí Eanáir 2020. Forbrófar nuashonruithe le haghaidh eisiúintí suntasacha i rith na bliana, agus ina dhiaidh sin scaoilfear réitigh leochaileachta ar feadh sé mhí eile. Mar sin, mairfidh an tacaíocht do bhrainse PowerDNS Recursor 4.2 go dtí Eanáir 2021. Rinneadh athruithe den chineál céanna ar thimthriall forbartha do fhreastalaí PowerDNS Údarásach, a bhfuiltear ag súil go scaoilfear 4.2 go luath amach anseo.

Príomhghnéithe PowerDNS Recursor:

  • Uirlisí le haghaidh cianbhailiú staitisticí;
  • Atosú toirt;
  • Inneall ionsuite chun láimhseálaithe a nascadh sa teanga Lua;
  • Tacaíocht iomlán DNSSEC agus DNS64;
  • Tacaíocht do RPZ (Criosanna Beartais Freagartha) agus an cumas liostaí dubha a shainiú;
  • Meicníochtaí frith-spoofing;
  • Cumas torthaí réitigh a thaifeadadh mar chomhaid chrios ceangail.
  • Chun ardfheidhmíocht a chinntiú, úsáidtear meicníochtaí nua-aimseartha ilphléacsála naisc in FreeBSD, Linux agus Solaris (kqueue, epoll, /dev/vóta), chomh maith le parsálaí paicéad DNS ardfheidhmíochta atá in ann na mílte iarratas comhthreomhar a phróiseáil.

Foinse: oscailtenet.ru

Add a comment