PowerDNS Recursor 4.2-ի և DNS flag day 2020 նախաձեռնության թողարկում

Մեկուկես տարի զարգացումից հետո ներկայացված քեշավորման DNS սերվերի թողարկում PowerDNS ռեսուրս 4.2, պատասխանատու է ռեկուրսիվ անվան փոխակերպման համար։ PowerDNS Recursor-ը կառուցված է նույն կոդերի բազայի վրա, ինչ PowerDNS հեղինակավոր սերվերը, սակայն PowerDNS ռեկուրսիվ և հեղինակավոր DNS սերվերները մշակվում են զարգացման տարբեր ցիկլերի միջոցով և թողարկվում են որպես առանձին արտադրանք: Ծրագրի կոդը տարածվում է լիցենզավորված GPLv2-ի համաձայն:

Նոր տարբերակը վերացնում է EDNS դրոշներով DNS փաթեթների մշակման հետ կապված բոլոր խնդիրները: PowerDNS Recursor-ի ավելի հին տարբերակները մինչև 2016 թվականը ունեին անտեսելու չաջակցվող EDNS դրոշներով փաթեթները՝ առանց հին ձևաչափով պատասխան ուղարկելու, EDNS դրոշակները հեռացնելով, ինչպես պահանջվում է ճշգրտմամբ: Նախկինում այս ոչ ստանդարտ վարքագիծը աջակցվում էր BIND-ում ելքի ձևով, բայց իրականացվել է փետրվարյան նախաձեռնություններում DNS դրոշի օր, DNS սերվերի մշակողները որոշել են հրաժարվել այս հաքերից։

PowerDNS-ում EDNS-ով փաթեթների մշակման հիմնական խնդիրները վերացվել են դեռևս 2017-ին 4.1 թողարկումով, իսկ 2016-ին թողարկված 4.0 մասնաճյուղում ի հայտ են եկել անհատական ​​անհամատեղելիություններ, որոնք առաջանում են որոշակի հանգամանքներում և, ընդհանուր առմամբ, չեն խանգարում նորմալին: շահագործման. PowerDNS Recursor 4.2-ում, ինչպես ԿԱՊ 9.14, Հեռացվել են ելքեր՝ աջակցելու հեղինակավոր սերվերներին, որոնք սխալ են արձագանքում EDNS դրոշներով հարցումներին: Մինչ այժմ, եթե EDNS դրոշներով հարցում ուղարկելուց հետո որոշակի ժամանակահատվածից հետո պատասխան չի եղել, ապա DNS սերվերը ենթադրում էր, որ ընդլայնված դրոշները չեն աջակցվում և ուղարկում էր երկրորդ հարցումը առանց EDNS դրոշների։ Այս պահվածքն այժմ անջատված է, քանի որ այս կոդը հանգեցրել է փաթեթների վերահաղորդման պատճառով ավելացած հետաձգման, ցանցի բեռնվածության և անորոշության ավելացմանը, երբ չի արձագանքում ցանցի խափանումների պատճառով, և կանխել է EDNS-ի վրա հիմնված գործառույթների ներդրումը, ինչպիսիք են DNS թխուկները՝ DDoS հարձակումներից պաշտպանվելու համար:

Որոշվել է միջոցառումն անցկացնել հաջորդ տարի DNS դրոշի օր 2020 թնախատեսված է ուշադրությունը կենտրոնացնելու համար որոշումը խնդիրներ մեծ DNS հաղորդագրություններ մշակելիս IP-ի մասնատմամբ: Նախաձեռնության շրջանակներում պլանավորված EDNS-ի համար առաջարկվող բուֆերային չափերը շտկել մինչև 1200 բայթ և թարգմանել TCP-ի միջոցով հարցումների մշակումը պարտադիր հատկանիշ է սերվերների վրա: Այժմ UDP-ի միջոցով հարցումների մշակման աջակցությունը պահանջվում է, և TCP-ն ցանկալի է, բայց չի պահանջվում շահագործման համար (ստանդարտը պահանջում է TCP-ն անջատելու հնարավորություն): Առաջարկվում է ստանդարտից հեռացնել TCP-ն անջատելու տարբերակը և ստանդարտացնել անցումը UDP-ով հարցումներ ուղարկելուց դեպի TCP օգտագործելու այն դեպքերում, երբ սահմանված EDNS բուֆերային չափը բավարար չէ:

Նախաձեռնության շրջանակներում առաջարկվող փոփոխությունները կվերացնեն EDNS բուֆերի չափի ընտրության հետ կապված շփոթությունը և կլուծեն մեծ UDP հաղորդագրությունների մասնատման խնդիրը, որոնց մշակումը հաճախ հանգեցնում է փաթեթների կորստի և հաճախորդի կողմից ժամանակի ընդհատումների: Հաճախորդի կողմից EDNS բուֆերի չափը հաստատուն կլինի, և մեծ պատասխանները անմիջապես կուղարկվեն հաճախորդին TCP-ով: UDP-ով մեծ հաղորդագրություններ ուղարկելուց խուսափելը թույլ կտա նաև արգելափակել գրոհներ DNS քեշը թունավորելու համար՝ հիմնված մասնատված UDP փաթեթների մանիպուլյացիայի վրա (երբ բաժանվում է բեկորների, երկրորդ հատվածը չի ներառում նույնացուցիչով վերնագիր, այնպես որ այն կարող է կեղծվել, որի համար բավական է միայն ստուգիչ գումարը համընկնել) .

PowerDNS Recursor 4.2-ը հաշվի է առնում մեծ UDP փաթեթների հետ կապված խնդիրները և փոխում է EDNS բուֆերի չափը (edns-outgoing-bufsize) 1232 բայթ օգտագործելու համար, նախկինում օգտագործված 1680 բայթ սահմանի փոխարեն, ինչը պետք է զգալիորեն նվազեցնի UDP փաթեթների կորստի հավանականությունը: . 1232 արժեքը ընտրվել է, քանի որ դա առավելագույնն է, որով DNS պատասխանի չափը, հաշվի առնելով IPv6-ը, տեղավորվում է նվազագույն MTU արժեքի մեջ (1280): Կրճատման շեմային պարամետրի արժեքը, որը պատասխանատու է հաճախորդի պատասխանների կրճատման համար, նույնպես կրճատվել է մինչև 1232:

Այլ փոփոխություններ PowerDNS Recursor 4.2-ում.

• Ավելացված է մեխանիզմի աջակցություն XPF- ն (X-Proxied-For), որը X-Forwarded-For HTTP վերնագրի DNS-ի համարժեքն է, որը թույլ է տալիս սկզբնական հայցողի IP հասցեի և նավահանգստի համարի մասին տեղեկատվությունը փոխանցել միջանկյալ վստահված անձանց և բեռների հավասարակշռիչների միջոցով (օրինակ՝ dnsdist) . XPF-ն ակտիվացնելու համար կան տարբերակներxpf-թույլատրել-ից"Եւ"xpf-rr-կոդ";
• Բարելավված աջակցություն EDNS ընդլայնման համար Հաճախորդի ենթացանց (ECS), որը թույլ է տալիս DNS հարցումներում փոխանցել հեղինակավոր DNS սերվերի մասին տեղեկատվություն այն ենթացանկի մասին, որից թունավորվել է շղթայի երկայնքով փոխանցված նախնական հարցումը (հաճախորդի աղբյուրի ենթացանցին վերաբերող տվյալները անհրաժեշտ են բովանդակության առաքման ցանցերի արդյունավետ աշխատանքի համար) . Նոր թողարկումն ավելացնում է կարգավորումներ EDNS Client Subnet-ի օգտագործման ընտրովի վերահսկման համար.ecs-add-for» ցանցային դիմակների ցանկով, որոնց համար IP-ն կօգտագործվի ECS-ում ելքային հարցումներում: Հասցեների համար, որոնք չեն մտնում նշված դիմակների մեջ, հրահանգում նշված ընդհանուր հասցեն «ecs-scope-zero-address«. հրահանգի միջոցով»use-incoming-edns-subnet»կարող եք սահմանել ենթացանցեր, որոնցից լրացված ECS արժեքներով մուտքային հարցումները չեն փոխարինվի.
• Վայրկյանում մեծ թվով հարցումներ մշակող սերվերների համար (ավելի քան 100 հազար), հրահանգը «դիստրիբյուտոր-թելեր«, որը որոշում է մուտքային հարցումների ստացման և աշխատող թելերի միջև դրանք բաշխելու թելերի քանակը (իմաստ է միայն օգտագործելու դեպքում «pdns-distributes-queries=այո»):
• Ավելացվեց կարգավորում public-supix-list-file հետ սահմանել ձեր սեփական ֆայլը հրապարակային վերջածանցների ցանկ տիրույթներ, որոնցում օգտվողները կարող են գրանցել իրենց ենթադոմեյնները՝ PowerDNS Recursor-ում ներկառուցված ցանկի փոխարեն:

PowerDNS նախագիծը նաև հայտարարեց վեցամսյա զարգացման ցիկլի անցնելու մասին, իսկ PowerDNS Recursor 4.3-ի հաջորդ հիմնական թողարկումը սպասվում է 2020 թվականի հունվարին: Նշանակալից թողարկումների թարմացումները կմշակվեն ամբողջ տարվա ընթացքում, որից հետո խոցելիության շտկումները կթողարկվեն ևս վեց ամսով: Այսպիսով, PowerDNS Recursor 4.2 մասնաճյուղի աջակցությունը կտևի մինչև 2021 թվականի հունվար: Նմանատիպ զարգացման ցիկլի փոփոխություններ են կատարվել PowerDNS հեղինակավոր սերվերի համար, որը մոտ ապագայում նախատեսվում է թողարկել 4.2-ը:

PowerDNS Recursor-ի հիմնական առանձնահատկությունները.

• Հեռավոր վիճակագրության հավաքագրման գործիքներ;
• Ակնթարթային վերագործարկում;
• Ներկառուցված շարժիչ Lua լեզվով կարգավորիչների միացման համար;
• Ամբողջական DNSSEC աջակցություն և DNS64- ը;
• Աջակցություն RPZ-ին (արձագանքման քաղաքականության գոտիներ) և սև ցուցակներ սահմանելու հնարավորությունը.
• Հակակղծման մեխանիզմներ;
• Լուծման արդյունքները որպես BIND գոտու ֆայլեր գրանցելու ունակություն:
• Բարձր արդյունավետություն ապահովելու համար FreeBSD-ում, Linux-ում և Solaris-ում օգտագործվում են կապի մուլտիպլեքսավորման ժամանակակից մեխանիզմներ (kqueue, epoll, /dev/poll), ինչպես նաև բարձր արդյունավետությամբ DNS փաթեթների վերլուծիչ, որը կարող է մշակել տասնյակ հազարավոր զուգահեռ հարցումներ:

Source: opennet.ru