Ma hope o ʻelua mau makahiki o ka hoʻomohala ʻana, ua hoʻokuʻu ka consortium ISC i ka hoʻokuʻu paʻa mua o kahi lālā hou nui o ka server BIND 9.18 DNS. E hāʻawi ʻia ke kākoʻo no ka lālā 9.18 no ʻekolu makahiki a hiki i ka hapaha 2 o 2025 ma ke ʻano he ʻāpana o ka pōʻai kākoʻo lōʻihi. E pau ke kākoʻo no ka lālā 9.11 i Malaki, a me ke kākoʻo no ka lālā 9.16 i waena o 2023. No ka hoʻomohala ʻana i ka hana o ka mana paʻa aʻe o BIND, ua hoʻokumu ʻia kahi lālā hoʻokolohua BIND 9.19.0.
He mea kaulana ka hoʻokuʻu ʻana o BIND 9.18.0 no ka hoʻokō ʻana i ke kākoʻo no DNS ma luna o HTTPS (DoH, DNS ma luna o HTTPS) a me DNS ma luna o TLS (DoT, DNS ma luna o TLS), a me ka hana XoT (XFR-over-TLS) no ka hoʻololi paʻa ʻana o ka ʻike DNS. nā ʻāpana ma waena o nā kikowaena (ua kākoʻo ʻia nā ʻāpana hoʻouna a me ka loaʻa ʻana ma o XoT). Me nā hoʻonohonoho kūpono, hiki i ke kaʻina hana hoʻokahi ke lawelawe i nā nīnau DNS kuʻuna, akā i nā nīnau i hoʻouna ʻia me ka DNS-over-HTTPS a me DNS-over-TLS. Hoʻokumu ʻia ke kākoʻo o nā mea kūʻai aku no DNS-over-TLS i loko o ka pono eli, hiki ke hoʻohana ʻia e hoʻouna i nā noi ma luna o TLS ke hōʻike ʻia ka hae "+tls".
ʻO ka hoʻokō ʻana i ka protocol HTTP/2 i hoʻohana ʻia ma DoH e pili ana i ka hoʻohana ʻana i ka waihona nghttp2, kahi i hoʻokomo ʻia ma ke ʻano he hilinaʻi hui koho. Hiki ke hāʻawi ʻia nā palapala hōʻoia no DoH a me DoT e ka mea hoʻohana a i ʻole i hana ʻia i ka manawa hoʻomaka.
Hoʻohana ʻia ka hana noi me DoH a me DoT ma ka hoʻohui ʻana i nā koho "http" a me "tls" i ke kuhikuhi hoʻolohe. No ke kākoʻo ʻole ʻana i DNS-over-HTTP, pono ʻoe e kuhikuhi i ka "tls none" i nā hoʻonohonoho. Ua wehewehe ʻia nā kī ma ka ʻāpana "tls". Hiki ke hoʻopau ʻia nā awa pūnaewele paʻamau 853 no DoT, 443 no DoH a me 80 no DNS-over-HTTP ma o nā ʻāpana tls-port, https-port a me http-port. ʻo kahi laʻana:
tls local-tls { kī-faila "/path/to/priv_key.pem"; palapala hōʻoia "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; nā koho { https-port 443; listen-on port 443 tls local-tls http myserver {kekahi;}; }
ʻO kekahi o nā hiʻohiʻona o ka hoʻokō DoH ma BIND ʻo ia ka hiki ke hoʻoneʻe i nā hana hoʻopunipuni no TLS i kahi kikowaena ʻē aʻe, pono paha i nā kūlana kahi e mālama ʻia ai nā palapala hōʻoia TLS ma kahi ʻōnaehana ʻē aʻe (e laʻa, ma kahi ʻenehana me nā kikowaena pūnaewele) a mālama ʻia. na kanaka e ae. Hoʻokō ʻia ke kākoʻo no ka DNS-over-HTTP unencrypted e hoʻomaʻamaʻa i ka debugging a ma ke ʻano he papa no ka hoʻouna ʻana i kahi kikowaena ʻē aʻe ma ka pūnaewele kūloko (no ka neʻe ʻana i ka hoʻopili ʻana i kahi kikowaena kaʻawale). Ma kahi kikowaena mamao, hiki ke hoʻohana ʻia ka nginx e hoʻohua i ke kaʻa TLS, e like me ka hoʻonohonoho ʻana o ka paʻa ʻana o HTTPS no nā pūnaewele.
ʻO kekahi hiʻohiʻona ʻo ka hoʻohui ʻana o DoH ma ke ʻano he kaʻa maʻamau e hiki ke hoʻohana ʻia ʻaʻole wale no ka lawelawe ʻana i nā noi a ka mea kūʻai aku i ka mea hoʻonā, akā i ka wā e kamaʻilio ai ma waena o nā kikowaena, i ka wā e hoʻololi ai i nā ʻāpana e kahi kikowaena DNS mana, a i ka wā e hoʻoponopono ai i nā nīnau i kākoʻo ʻia e nā DNS ʻē aʻe. nā halihali.
Ma waena o nā hemahema i hiki ke uku ʻia ma ka hoʻopau ʻana i ke kūkulu ʻana me DoH/DoT a i ʻole ka neʻe ʻana i ka encryption i kahi kikowaena ʻē aʻe, kū ka hoʻopiʻi maʻamau o ke kumu code - ua hoʻohui ʻia kahi kikowaena HTTP i kūkulu ʻia a me ka waihona TLS, hiki ke loaʻa. nā nāwaliwali a hana ma ke ʻano he vectors hou no ka hoʻouka ʻana. Eia kekahi, i ka hoʻohana ʻana iā DoH, piʻi ka huakaʻi.
E hoʻomanaʻo kākou e hiki ke hoʻohana pono ʻia ka DNS-over-HTTPS no ka pale ʻana i ka ʻike e pili ana i nā inoa host i noi ʻia ma o nā kikowaena DNS o nā mea hoʻolako, ka hakakā ʻana i nā hoʻouka kaua MITM a me ka spoofing DNS traffic (no ka laʻana, i ka wā e pili ana i ka Wi-Fi lehulehu), countering ka pale ʻana ma ka pae DNS (ʻaʻole hiki i DNS-over-HTTPS ke hoʻololi i kahi VPN ma ke kāpae ʻana i ka pale ʻana i hoʻokō ʻia ma ka pae DPI) a i ʻole no ka hoʻonohonoho ʻana i ka hana inā hiki ʻole ke komo pololei i nā kikowaena DNS (no ka laʻana, i ka wā e hana ana ma o kahi koho). Inā ma kahi kūlana maʻamau e hoʻouna pololei ʻia nā noi DNS i nā kikowaena DNS i wehewehe ʻia i ka hoʻonohonoho ʻōnaehana, a laila ma ka hihia o DNS-over-HTTPS ka noi e hoʻoholo ai i ka host IP address ua encapsulated ma HTTPS traffic a hoʻouna ʻia i ka server HTTP, kahi. ke noi aku nei ka mea hoʻoholo ma o API Web.
ʻOkoʻa ka "DNS ma luna o TLS" mai ka "DNS ma luna o HTTPS" i ka hoʻohana ʻana i ka protocol DNS maʻamau (ua hoʻohana maʻamau ʻia ka port network 853), i kāʻei ʻia i kahi kaila kamaʻilio i hoʻopili ʻia i hoʻonohonoho ʻia me ka protocol TLS me ka nānā pono ʻana o ka host ma o nā palapala hōʻoia TLS/SSL. e ka mana hōʻoia. Ke hoʻohana nei ka maʻamau DNSSEC i kēia manawa i ka hoʻopunipuni e hōʻoia i ka mea kūʻai aku a me ka server, akā ʻaʻole ia e pale i ke kaʻa mai ka interception a ʻaʻole e hōʻoiaʻiʻo i ka hūnā o nā noi.
ʻO kekahi mau hana hou:
- Hoʻohui ʻia nā hoʻonohonoho tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer a me udp-send-buffer e hoʻonohonoho i ka nui o nā mea pale i hoʻohana ʻia i ka hoʻouna ʻana a me ka loaʻa ʻana o nā noi ma luna o TCP a me UDP. Ma nā kikowaena paʻahana, ʻo ka hoʻonui ʻana i nā mea hoʻopaʻa komo e kōkua i ka pale ʻana i nā ʻeke i ka wā o ka piʻi ʻana o ke kaʻa, a ʻo ka hōʻemi ʻana iā lākou e kōkua i ka hoʻopau ʻana i ka hoʻomanaʻo ʻana me nā noi kahiko.
- Ua hoʻohui ʻia kahi ʻāpana log hou "rpz-passthru", e hiki ai iā ʻoe ke hoʻokaʻawale i ka RPZ (Response Policy Zones) i nā hana hoʻouna.
- Ma ka ʻāpana pane-kulekele, ua hoʻohui ʻia ke koho "nsdname-wait-recurse", i ka wā i hoʻonohonoho ʻia i ka "no", hoʻohana ʻia nā lula RPZ NSDNAME inā loaʻa nā inoa inoa mana i loko o ka cache no ka noi, inā ʻaʻole ka ʻAʻole mālama ʻia ka lula RPZ NSDNAME, akā e kiʻi ʻia ka ʻike ma hope a pili i nā noi ma hope.
- No nā moʻolelo me nā ʻano HTTPS a me SVCB, ua hoʻokō ʻia ka hana ʻana o ka ʻāpana "ADDITIONAL".
- Hoʻohui ʻia nā ʻano lula hoʻohou-kulekele - krb5-subdomain-self-rhs a me ms-subdomain-self-rhs, e ʻae iā ʻoe e kaupalena i ka hoʻonui ʻana o nā moʻolelo SRV a me PTR. Hoʻohui pū nā poloka-kulekele hou i ka hiki ke kau i nā palena i ka helu o nā moʻolelo, kēlā me kēia ʻano no kēlā me kēia ʻano.
- Hoʻohui ʻia ka ʻike e pili ana i ka protocol transport (UDP, TCP, TLS, HTTPS) a me DNS64 prefixes i ka hoʻopuka o ka pono eli. No nā kumu hoʻopiʻi, ua hoʻohui ʻo dig i ka hiki ke kuhikuhi i kahi mea noi noi kikoʻī (dig + qid= ).
- Hoʻohui i ke kākoʻo no ka waihona OpenSSL 3.0.
- No ka hoʻoponopono ʻana i nā pilikia me ka ʻāpana IP i ka wā e hoʻoili ai i nā leka DNS nui i ʻike ʻia e DNS Flag Day 2020, code e hoʻoponopono i ka nui buffer EDNS inā ʻaʻohe pane i kahi noi ua wehe ʻia mai ka mea hoʻonā. Hoʻonohonoho ʻia ka nui buffer EDNS i mau (edns-udp-size) no nā noi puka a pau.
- Ua hoʻololi ʻia ka ʻōnaehana kūkulu i ka hui pū ʻana o autoconf, automake a me libtool.
- Ua hoʻopau ʻia ke kākoʻo ʻana i nā faila ma ke ʻano "palapala palapala" (masterfile-format map). Manaʻo ʻia nā mea hoʻohana o kēia ʻano e hoʻololi i nā ʻāpana i ka ʻano maka me ka hoʻohana ʻana i ka pono inoa-compilezone.
- Ua hoʻopau ʻia ke kākoʻo no nā mea hoʻokele kahiko DLZ (Dynamically Loadable Zones), i pani ʻia e nā modula DLZ.
- Ua hoʻopau ʻia ke kākoʻo kūkulu a hoʻokele no ka paepae Windows. ʻO ka lālā hope loa i hiki ke hoʻokomo ʻia ma Windows ʻo BIND 9.16.
Source: opennet.ru