Às deidh dà bhliadhna de leasachadh, tha co-bhanntachd ISC air a’ chiad fhoillseachadh seasmhach de phrìomh mheur ùr de fhrithealaiche DNS BIND 9.18 a leigeil ma sgaoil. Thèid taic airson meur 9.18 a thoirt seachad airson trì bliadhna chun 2na cairteal de 2025 mar phàirt de chearcall taic leudaichte. Thig taic airson meur 9.11 gu crìch sa Mhàrt, agus taic don mheur 9.16 ann am meadhan 2023. Gus comas-gnìomh an ath dhreach seasmhach de BIND a leasachadh, chaidh meur deuchainneach BIND 9.19.0 a chruthachadh.
Tha sgaoileadh BIND 9.18.0 sònraichte airson taic a chuir an gnìomh airson DNS thairis air HTTPS (DoH, DNS thairis air HTTPS) agus DNS thairis air TLS (DoT, DNS thairis air TLS), a bharrachd air an inneal XoT (XFR-over-TLS). airson gluasad tèarainte de shusbaint DNS. sònaichean eadar frithealaichean (tha an dà chuid sònaichean cur agus faighinn tro XoT a’ faighinn taic). Leis na roghainnean iomchaidh, faodaidh aon phròiseas ainmichte a-nis a bhith a’ frithealadh chan e a-mhàin ceistean DNS traidiseanta, ach cuideachd ceistean a thèid a chuir a’ cleachdadh DNS-over-HTTPS agus DNS-over-TLS. Tha taic teachdaiche airson DNS-over-TLS air a thoirt a-steach don ghoireas cladhach, a dh'fhaodar a chleachdadh gus iarrtasan a chuir thairis air TLS nuair a bhios am bratach "+ tls" air a shònrachadh.
Tha buileachadh a’ phròtacail HTTP/2 a thathar a’ cleachdadh ann an DoH stèidhichte air cleachdadh leabharlann nghttp2, a tha air a ghabhail a-steach mar eisimeileachd co-chruinneachaidh roghainneil. Faodar teisteanasan airson DoH agus DoT a thoirt seachad leis an neach-cleachdaidh no an cruthachadh gu fèin-ghluasadach aig àm tòiseachaidh.
Tha giullachd iarrtasan a’ cleachdadh DoH agus DoT air a chomasachadh le bhith a’ cur na roghainnean “http” agus “tls” ris an stiùireadh èisteachd. Gus taic a thoirt do DNS-over-HTTP gun chrioptachadh, bu chòir dhut “tls none” a shònrachadh anns na roghainnean. Tha iuchraichean air am mìneachadh anns an roinn "tls". Faodar na puirt lìonra bunaiteach 853 airson DoT, 443 airson DoH agus 80 airson DNS-over-HTTP a thoirt thairis tro na paramadairean tls-port, https-port agus http-port. Mar eisimpleir:
tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { puingean crìochnachaidh { "/ dns-query"; }; }; roghainnean { https-port 443; port èisteachd 443 tls local-tls http myserver {sam bith;}; }
Is e aon de fheartan buileachadh DoH ann am BIND an comas gnìomhachd crioptachaidh airson TLS a ghluasad gu frithealaiche eile, a dh’ fhaodadh a bhith riatanach ann an suidheachaidhean far a bheil teisteanasan TLS air an stòradh air siostam eile (mar eisimpleir, ann am bun-structar le frithealaichean lìn) agus air an cumail suas. le luchd-obrach eile. Tha taic airson DNS-over-HTTP neo-chrioptaichte air a bhuileachadh gus debugging a dhèanamh nas sìmplidhe agus mar shreath airson a chuir air adhart gu frithealaiche eile air an lìonra a-staigh (airson crioptachadh a ghluasad gu frithealaiche air leth). Air frithealaiche iomallach, faodar nginx a chleachdadh gus trafaic TLS a ghineadh, coltach ri mar a tha ceangal HTTPS air a chuir air dòigh airson làraich-lìn.
Is e feart eile amalachadh DoH mar chòmhdhail coitcheann a dh’ fhaodar a chleachdadh chan ann a-mhàin gus dèiligeadh ri iarrtasan teachdaiche chun an neach-rèiteachaidh, ach cuideachd nuair a bhios tu a ’conaltradh eadar frithealaichean, nuair a bhios iad a’ gluasad sònaichean le frithealaiche DNS ùghdarrasach, agus nuair a bhios tu a ’giullachd cheistean sam bith le taic bho DNS eile còmhdhail.
Am measg nan easbhaidhean a dh’ fhaodar a dhìoladh le bhith a’ cuir dheth an togail le DoH/DoT no a’ gluasad a’ chrioptachaidh gu frithealaiche eile, tha iom-fhillteachd coitcheann bunait a’ chòd a’ seasamh a-mach - tha frithealaiche HTTP togte agus leabharlann TLS air an cur ris, a dh’ fhaodadh a bhith ann. so-leòntachd agus a bhith nan vectaran a bharrachd airson ionnsaighean. Cuideachd, nuair a bhios tu a’ cleachdadh DoH, bidh trafaic ag àrdachadh.
Cuimhnich gum faod DNS-over-HTTPS a bhith feumail airson casg a chuir air aodion fiosrachaidh mu na h-ainmean aoigheachd a chaidh iarraidh tro na frithealaichean DNS de sholaraichean, cuir an-aghaidh ionnsaighean MITM agus spoofing trafaic DNS (mar eisimpleir, nuair a bhios tu a ’ceangal ri Wi-Fi poblach), a’ cur an aghaidh bacadh air aig ìre DNS (chan urrainn dha DNS-over-HTTPS VPN a chuir an àite ann a bhith a’ seachnadh bacadh air a chuir an gnìomh aig ìre DPI) no airson obair a chuir air dòigh nuair nach eil e comasach faighinn gu frithealaichean DNS gu dìreach (mar eisimpleir, nuair a bhios tu ag obair tro neach-ionaid). Ma tha iarrtasan DNS ann an suidheachadh àbhaisteach air an cur gu dìreach gu frithealaichean DNS a tha air am mìneachadh ann an rèiteachadh an t-siostaim, an uairsin a thaobh DNS-over-HTTPS tha an t-iarrtas airson seòladh IP an aoigh a dhearbhadh air a chuairteachadh ann an trafaic HTTPS agus air a chuir chun t-seirbheisiche HTTP, far a bheil bidh an neach-fuasglaidh a’ pròiseasadh iarrtasan tro Web API.
Tha “DNS over TLS” eadar-dhealaichte bho “DNS thairis air HTTPS” ann an cleachdadh a ’phròtacal DNS àbhaisteach (bidh port lìonra 853 air a chleachdadh mar as trice), air a phasgadh ann an seanal conaltraidh crioptaichte air a chuir air dòigh a’ cleachdadh protocol TLS le dearbhadh dligheachd aoigheachd tro theisteanasan TLS / SSL air an dearbhadh le ùghdarras teisteanais. Bidh an inbhe DNSSEC a th’ ann mar-thà a’ cleachdadh crioptachadh a-mhàin gus an teachdaiche agus an frithealaiche a dhearbhadh, ach chan eil e a’ dìon trafaic bho eadar-theachd agus chan eil e a’ gealltainn dìomhaireachd iarrtasan.
Nithean innleachdan eile:
- Chuir sinn ris tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer agus udp-send-buffer gus meudan bufair a chleachdadh nuair a thathar a’ cur agus a’ faighinn iarrtasan thairis air TCP agus UDP. Air luchd-frithealaidh trang, cuidichidh àrdachadh bufairean a tha a’ tighinn a-steach le bhith a’ seachnadh phasganan a bhith air an leigeil sìos aig stùcan trafaic, agus cuidichidh sin le bhith gan lughdachadh le bhith faighinn cuidhteas clogging cuimhne le seann iarrtasan.
- Chaidh roinn log ùr “rpz-passthru” a chur ris, a leigeas leat gnìomhan cur air adhart RPZ (Sònaichean Poileasaidh Freagairt) a chlàradh air leth.
- Anns an earrann poileasaidh freagairt, chaidh an roghainn “nsdname-wait-recurse” a chur ris, nuair a thèid a shuidheachadh gu “chan eil”, tha riaghailtean RPZ NSDNAME air an cur an sàs dìreach ma lorgar frithealaichean ainmean ùghdarrasach a tha an làthair san tasgadan airson an iarrtais, air neo ma lorgar an Thathas a’ toirt aire do riaghailt RPZ NSDNAME, ach tha am fiosrachadh air fhaighinn air ais air a’ chùl agus a’ buntainn ri iarrtasan às deidh sin.
- Airson clàran le seòrsaichean HTTPS agus SVCB, chaidh giullachd na h-earrainn “BREITHEACH” a chuir an gnìomh.
- Chaidh seòrsaichean riaghailtean poileasaidh ùrachadh gnàthaichte a chur ris - krb5-subdomain-self-rhs agus ms-subdomain-self-rhs, a leigeas leat ùrachadh chlàran SRV agus PTR a chuingealachadh. Bidh na blocaichean poileasaidh ùrachadh cuideachd a’ cur ris a’ chomas crìochan a shuidheachadh air an àireamh de chlàran, fa leth airson gach seòrsa.
- Chuir sinn fiosrachadh a-steach mun phròtacal còmhdhail (UDP, TCP, TLS, HTTPS) agus ro-leasachain DNS64 ri toradh a’ ghoireas cladhach. Airson adhbharan dì-bhugachaidh, tha dig air comas aithnichear iarrtas sònraichte a shònrachadh (dig + qid= ).
- Taic a bharrachd airson leabharlann OpenSSL 3.0.
- Gus dèiligeadh ri cùisean le sgaradh IP nuair a bhios tu a’ giullachd teachdaireachdan DNS mòra a chaidh an comharrachadh le DNS Flag Day 2020, chaidh còd a dh’ atharraicheas meud bufair EDNS nuair nach eil freagairt ri iarrtas a thoirt air falbh bhon rèiteach. Tha meud bufair EDNS a-nis air a shuidheachadh gu seasmhach (edns-udp-size) airson a h-uile iarrtas a-mach.
- Chaidh an siostam togail atharrachadh gu bhith a’ cleachdadh measgachadh de autoconf, automake agus libtool.
- Chaidh stad a chuir air taic airson faidhlichean sòn ann an cruth “mapa” (mapa cruth masterfile). Thathas a’ moladh do luchd-cleachdaidh a’ chruth seo sònaichean a thionndadh gu cruth amh a’ cleachdadh a’ ghoireas ainmichte-compilezone.
- Chaidh stad a chuir air taic do dhraibhearan DLZ nas sine (Sònaichean a ghabhas luchdachadh gu Dynamically), agus modalan DLZ nan àite.
- Chaidh stad a chuir air taic togail is ruith airson àrd-ùrlar Windows. Is e am meur mu dheireadh a ghabhas a chuir a-steach air Windows BIND 9.16.
Source: fosgailtenet.ru