שחרור של PowerDNS Recursor 4.2 ויוזמת הדגל של DNS 2020

לאחר שנה וחצי של פיתוח הציג שחרור שרת DNS לאחסון במטמון משאב PowerDNS 4.2, אחראי להמרת שמות רקורסיבית. PowerDNS Recursor בנוי על אותו בסיס קוד כמו PowerDNS Authoritative Server, אך שרתי DNS רקורסיביים וסמכותיים של PowerDNS מפותחים באמצעות מחזורי פיתוח שונים ומשוחררים כמוצרים נפרדים. קוד פרויקט מופץ על ידי מורשה תחת GPLv2.

הגרסה החדשה מבטלת את כל הבעיות הקשורות לעיבוד מנות DNS עם דגלי EDNS. גרסאות ישנות יותר של PowerDNS Recursor לפני 2016 נהגו להתעלם מחבילות עם דגלי EDNS שאינם נתמכים מבלי לשלוח תגובה בפורמט הישן, ולבטל את דגלי ה-EDNS כנדרש על פי המפרט. בעבר, התנהגות לא סטנדרטית זו נתמכה ב-BIND בצורה של פתרון עוקף, אך במסגרת בוצע ביוזמות פברואר יום דגל DNS, מפתחי שרתי DNS החליטו לנטוש את הפריצה הזו.

ב-PowerDNS, הבעיות העיקריות בעיבוד מנות עם EDNS בוטלו עוד ב-2017 במהדורה 4.1, ובענף 2016 ששוחרר ב-4.0, צצו אי-התאמה אינדיבידואלית המתעוררת בנסיבות מסוימות, ובאופן כללי, אינן מפריעות לנורמליות. מבצע. ב-PowerDNS Recursor 4.2, כמו ב כריכה 9.14, הוסרו דרכים לעקיפת הבעיה כדי לתמוך בשרתים סמכותיים המגיבים באופן שגוי לבקשות עם דגלי EDNS. עד כה, אם לאחר שליחת בקשה עם דגלי EDNS לא הייתה מענה לאחר פרק זמן מסוים, שרת ה-DNS הניח שדגלים מורחבים אינם נתמכים ושלח בקשה שנייה ללא דגלי EDNS. התנהגות זו הושבתה כעת מכיוון שקוד זה הביא להשהייה מוגברת עקב שידורים חוזרים של מנות, עומס רשת מוגבר ואי בהירות כאשר לא מגיבים עקב כשלים ברשת, ומנע את הטמעת תכונות מבוססות EDNS כגון DNS Cookies כדי להגן מפני התקפות DDoS.

הוחלט לקיים את האירוע בשנה הבאה יום הדגל של DNS 2020שנועד למקד את תשומת הלב ההחלטה проблем עם פיצול IP בעת עיבוד הודעות DNS גדולות. במסגרת היוזמה מתוכנן תקן את גדלי המאגר המומלצים עבור EDNS ל-1200 בתים, וכן לתרגם עיבוד בקשות באמצעות TCP הוא תכונה חובה בשרתים. כעת נדרשת תמיכה בעיבוד בקשות באמצעות UDP, ו-TCP רצוי, אך אינו נדרש לתפעול (התקן דורש יכולת לבטל את TCP). מוצע להסיר את האפשרות לנטרל TCP מהתקן ולתקן את המעבר משליחת בקשות דרך UDP לשימוש ב-TCP במקרים בהם גודל המאגר של EDNS שנקבע אינו מספיק.

השינויים המוצעים במסגרת היוזמה יבטלו את הבלבול בבחירת גודל המאגר של ה-EDNS ויפתרו את בעיית הפיצול של הודעות UDP גדולות, שעיבודן מוביל לרוב לאובדן מנות ופסקי זמן בצד הלקוח. בצד הלקוח, גודל המאגר של EDNS יהיה קבוע ותגובות גדולות יישלחו מיד ללקוח באמצעות TCP. הימנעות משליחת הודעות גדולות דרך UDP תאפשר לך גם לחסום התקפות להרעלת מטמון ה-DNS, בהתבסס על מניפולציה של מנות UDP מפוצלות (כאשר מפוצלים לפרגמנטים, הפרגמנט השני אינו כולל כותרת עם מזהה, כך שניתן לזייף, שעבורו זה מספיק רק כדי שסכום הבדיקה יתאים) .

PowerDNS Recursor 4.2 לוקח בחשבון בעיות עם מנות UDP גדולות ועובר לשימוש בגודל מאגר EDNS (edns-outgoing-bufsize) של 1232 בתים, במקום המגבלה שנעשתה בעבר של 1680 בתים, מה שאמור להפחית משמעותית את הסבירות לאובדן מנות UDP . הערך 1232 נבחר מכיוון שהוא המקסימום שבו גודל תגובת ה-DNS, בהתחשב ב-IPv6, מתאים לערך ה-MTU המינימלי (1280). גם הערך של פרמטר ה-triuncation-threshold, שאחראי על חיתוך התגובות ללקוח, ירד ל-1232.

שינויים נוספים ב-PowerDNS Recursor 4.2:

• נוספה תמיכה במנגנון XPF (X-Proxied-For), שהיא המקבילה ל-DNS של כותרת ה-X-Forwarded-For HTTP, המאפשרת להעביר מידע על כתובת ה-IP ומספר היציאה של המבקש המקורי באמצעות פרוקסי ביניים ומאזני עומסים (כגון dnsdist) . כדי להפעיל XPF יש אפשרויות "xpf-allow-from"ו"xpf-rr-code";
• תמיכה משופרת בהרחבת EDNS רשת משנה של לקוח (ECS), המאפשרת לך להעביר ב-DNS שאילתות לשרת DNS סמכותי מידע על תת-הרשת שממנה הורעלה הבקשה הראשונית ששודרה לאורך השרשרת (נתונים על תת-הרשת המקור של הלקוח נחוצים לפעילות יעילה של רשתות אספקת תוכן) . המהדורה החדשה מוסיפה הגדרות לשליטה סלקטיבית על השימוש ברשת המשנה של לקוח EDNS: "ecs-add-for» עם רשימה של מסכות רשת שעבורן ישמש ה-IP ב-ECS בבקשות יוצאות. עבור כתובות שאינן נכנסות למסכות שצוינו, הכתובת הכללית המצוינת בהנחיה "ecs-scope-zero-address". דרך ההנחיה"use-incoming-edns-subnet» אתה יכול להגדיר רשתות משנה שמהן לא יוחלפו בקשות נכנסות עם ערכי ECS מלאים;
• עבור שרתים המעבדים מספר רב של בקשות בשנייה (יותר מ-100 אלף), ההנחיה "חוטי מפיץ", אשר קובע את מספר השרשורים לקבלת בקשות נכנסות והפצתם בין שרשורי עובדים (הגיוני רק בעת שימוש ב-"pdns-distributes-queries=yes").
• נוספה הגדרה קובץ-סיומת-ציבור כדי להגדיר איתו קובץ משלך רשימה של סיומות ציבוריות דומיינים שבהם משתמשים יכולים לרשום את תת-הדומיינים שלהם, במקום הרשימה המובנית ב- PowerDNS Recursor.

פרויקט PowerDNS הכריז גם על מעבר למחזור פיתוח של שישה חודשים, כאשר המהדורה הגדולה הבאה של PowerDNS Recursor 4.3 צפויה בינואר 2020. עדכונים למהדורות משמעותיות יפותחו במהלך השנה, ולאחר מכן ישוחררו תיקוני פגיעות למשך שישה חודשים נוספים. לפיכך, התמיכה בסניף PowerDNS Recursor 4.2 תימשך עד ינואר 2021. שינויים דומים במחזור הפיתוח נעשו עבור PowerDNS Authoritative Server, שצפוי לשחרר את 4.2 בעתיד הקרוב.

תכונות עיקריות של PowerDNS Recursor:

• כלים לאיסוף נתונים סטטיסטיים מרחוק;
• הפעלה מחדש מיידית;
• מנוע מובנה לחיבור מטפלים בשפת Lua;
• תמיכה מלאה ב-DNSSEC ו DNS64;
• תמיכה ב-RPZ (Response Policy Zones) והיכולת להגדיר רשימות שחורות;
• מנגנונים נגד זיוף;
• יכולת להקליט תוצאות רזולוציה כקבצי אזור BIND.
• כדי להבטיח ביצועים גבוהים, נעשה שימוש במנגנוני ריבוי חיבורים מודרניים ב-FreeBSD, Linux ו-Solaris (kqueue, epoll, /dev/poll), כמו גם מנתח מנות DNS בעל ביצועים גבוהים המסוגל לעבד עשרות אלפי בקשות מקבילות.

מקור: OpenNet.ru