ProHoster > Blog > noticias de internet > Lanzamento do PowerDNS Recursor 4.2 e a iniciativa do día da marca DNS 2020

Lanzamento do PowerDNS Recursor 4.2 e a iniciativa do día da marca DNS 2020

Despois de ano e medio de desenvolvemento presentado liberación do servidor DNS de caché Recursos PowerDNS 4.2, responsable da conversión recursiva de nomes. PowerDNS Recursor está construído na mesma base de código que PowerDNS Authoritative Server, pero os servidores DNS autorizados e recursivos de PowerDNS desenvólvense a través de diferentes ciclos de desenvolvemento e lánzanse como produtos separados. Código do proxecto distribuído por licenciado baixo GPLv2.

A nova versión elimina todos os problemas relacionados co procesamento de paquetes DNS con bandeiras EDNS. As versións anteriores de PowerDNS Recursor anteriores a 2016 tiñan a práctica de ignorar os paquetes con marcas EDNS non compatibles sen enviar unha resposta no formato antigo, descartando as marcas EDNS tal e como esixe a especificación. Anteriormente, este comportamento non estándar admitíase en BIND en forma de solución, pero dentro do alcance de realizadas iniciativas en febreiro Día da bandeira DNS, os desenvolvedores do servidor DNS decidiron abandonar este hack.

En PowerDNS, os principais problemas no procesamento de paquetes con EDNS elimináronse en 2017 na versión 4.1, e na rama 2016 lanzada en 4.0, apareceron incompatibilidades individuais que xorden baixo un determinado conxunto de circunstancias e, en xeral, non interfiren co normal. operación. En PowerDNS Recursor 4.2, como en VINCULACIÓN 9.14, Elimináronse as solucións alternativas para admitir servidores autorizados que responden incorrectamente ás solicitudes con marcas EDNS. Ata agora, se despois de enviar unha solicitude con marcas EDNS non había resposta despois dun determinado período de tempo, o servidor DNS asumía que as bandeiras estendidas non eran compatibles e enviaba unha segunda solicitude sen marcas EDNS. Este comportamento agora desactivouse xa que este código provocou un aumento da latencia debido ás retransmisións de paquetes, un aumento da carga da rede e da ambigüidade ao non responder debido a fallos na rede e impediu a implementación de funcións baseadas en EDNS, como as cookies DNS para protexerse contra ataques DDoS.

Decidiuse celebrar o evento o ano que vén Día da bandeira DNS 2020deseñado para centrar a atención decisión problemas con fragmentación de IP ao procesar mensaxes DNS grandes. Como parte da iniciativa planifícase corrixir os tamaños de búfer recomendados para EDNS a 1200 bytes e traducir procesar solicitudes a través de TCP é unha función imprescindible nos servidores. Agora é necesario o soporte para procesar solicitudes a través de UDP, e o TCP é desexable, pero non é necesario para o funcionamento (o estándar require a posibilidade de desactivar TCP). Proponse eliminar a opción de desactivar TCP do estándar e estandarizar a transición do envío de solicitudes a través de UDP ao uso de TCP nos casos en que o tamaño do búfer EDNS establecido non sexa suficiente.

Os cambios propostos como parte da iniciativa eliminarán a confusión coa elección do tamaño do búfer EDNS e resolverán o problema da fragmentación das grandes mensaxes UDP, cuxo procesamento adoita levar á perda de paquetes e tempo de espera no lado do cliente. No lado do cliente, o tamaño do búfer EDNS será constante e as respostas grandes enviaranse inmediatamente ao cliente a través de TCP. Evitar enviar mensaxes grandes por UDP tamén che permitirá bloquear ataques para envelenar a caché DNS, baseada na manipulación de paquetes UDP fragmentados (cando se divide en fragmentos, o segundo fragmento non inclúe unha cabeceira cun identificador, polo que pode ser falsificado, para o que só é suficiente para que a suma de verificación coincida) .

PowerDNS Recursor 4.2 ten en conta problemas con paquetes UDP grandes e cambia ao uso do tamaño do búfer EDNS (edns-outgoing-bufsize) de 1232 bytes, en lugar do límite usado anteriormente de 1680 bytes, o que debería reducir significativamente a probabilidade de perder paquetes UDP. . Escolleuse o valor 1232 porque é o máximo no que o tamaño da resposta DNS, tendo en conta IPv6, encaixa no valor MTU mínimo (1280). O valor do parámetro umbral de truncamento, que se encarga de recortar as respostas ao cliente, tamén se reduciu a 1232.

Outros cambios en PowerDNS Recursor 4.2:

  • Engadido soporte de mecanismos XPF (X-Proxied-For), que é o equivalente DNS da cabeceira HTTP X-Forwarded-For, que permite reenviar información sobre o enderezo IP e o número de porto do solicitante orixinal a través de proxies intermedios e equilibradores de carga (como dnsdist) . Para activar XPF hai opcións "xpf-permitir-desde"E"código xpf-rr";
  • Compatibilidade mellorada para a extensión EDNS Subrede cliente (ECS), que permite transmitir en consultas DNS a un servidor DNS autorizado información sobre a subrede desde a que se envelenou a solicitude inicial transmitida ao longo da cadea (os datos sobre a subrede de orixe do cliente son necesarios para o funcionamento eficaz das redes de entrega de contidos). . A nova versión engade configuracións para o control selectivo sobre o uso da subrede do cliente EDNS: "ecs-add-for» cunha lista de máscaras de rede para as que se utilizará a IP en ECS nas solicitudes de saída. Para os enderezos que non entren dentro das máscaras especificadas, o enderezo xeral especificado na directiva "ecs-scope-zero-address". A través da directiva"use-incoming-edns-subnet» pode definir subredes desde as que non se substituirán as solicitudes entrantes con valores ECS cubertos;
  • Para os servidores que procesan un gran número de solicitudes por segundo (máis de 100 mil), a directiva "fíos-distribuidores", que determina o número de fíos para recibir solicitudes entrantes e distribuílas entre fíos de traballo (ten sentido só cando se usa o "pdns-distributes-queries=si").
  • Configuración engadida ficheiro-lista-de-sufixos-publicos para definir o seu propio ficheiro lista de sufixos públicos dominios nos que os usuarios poden rexistrar os seus subdominios, en lugar da lista integrada en PowerDNS Recursor.

O proxecto PowerDNS tamén anunciou un paso a un ciclo de desenvolvemento de seis meses, coa próxima versión importante de PowerDNS Recursor 4.3 esperada en xaneiro de 2020. Durante todo o ano desenvolveranse actualizacións de versións significativas, despois das cales se publicarán as correccións de vulnerabilidades durante seis meses máis. Así, o soporte para a rama PowerDNS Recursor 4.2 durará ata xaneiro de 2021. Fixéronse cambios similares no ciclo de desenvolvemento para PowerDNS Authoritative Server, que se espera que lance a 4.2 nun futuro próximo.

Características principais de PowerDNS Recursor:

  • Ferramentas para a recollida de estatísticas a distancia;
  • Reinicio instantáneo;
  • Motor incorporado para conectar controladores no idioma Lua;
  • Soporte completo DNSSEC e DNS64;
  • Soporte para RPZ (zonas de política de resposta) e a capacidade de definir listas negras;
  • mecanismos anti-spoofing;
  • Capacidade de gravar os resultados da resolución como ficheiros da zona BIND.
  • Para garantir un alto rendemento, utilízanse mecanismos modernos de multiplexación de conexións en FreeBSD, Linux e Solaris (kqueue, epoll, /dev/poll), así como un analizador de paquetes DNS de alto rendemento capaz de procesar decenas de miles de solicitudes paralelas.

Fonte: opennet.ru

Engadir un comentario