PowerDNS Recursor 4.2 および DNS Flag Day 2020 イニシアチブのリリース

XNUMX年半の開発期間を経て 提示された キャッシュDNSサーバーのリリース PowerDNSリソース4.2、再帰的な名前変換を担当します。 PowerDNS Recursor は PowerDNS Authoritative Server と同じコード ベースに構築されていますが、PowerDNS 再帰サーバーと権威 DNS サーバーは異なる開発サイクルで開発され、別の製品としてリリースされます。 プロジェクトコード によって配布 GPLv2に基づいてライセンスされています。

新しいバージョンでは、EDNS フラグを持つ DNS パケットの処理に関連するすべての問題が解消されます。 2016 年より前の古いバージョンの PowerDNS Recursor では、サポートされていない EDNS フラグを持つパケットを古い形式で応答を送信せずに無視し、仕様の要求に従って EDNS フラグを破棄するという慣行がありました。以前は、この非標準の動作は回避策の形で BIND でサポートされていましたが、その範囲内でした。 実施した XNUMX月の取り組み DNS フラッグデー, DNSサーバー開発者はこのハッキングを放棄することを決定しました。

PowerDNS では、EDNS でパケットを処理する際の主な問題は 2017 年のリリース 4.1 で解消され、2016 年にリリースされた 4.0 ブランチでは、特定の状況下で発生する個別の非互換性が表面化しましたが、一般的には通常の動作には干渉しません。手術。 PowerDNS Recursor 4.2 では、次のように バインド9.14, EDNS フラグを持つリクエストに誤って応答する権威サーバーをサポートするための回避策を削除しました。これまでは、EDNS フラグを使用してリクエストを送信した後、一定時間が経過しても応答がなかった場合、DNS サーバーは拡張フラグがサポートされていないと判断し、EDNS フラグを使用せずに XNUMX 番目のリクエストを送信していました。このコードにより、パケットの再送信による遅延の増加、ネットワーク障害による応答がないときのネットワーク負荷とあいまいさの増加、DDoS 攻撃から保護するための DNS Cookie などの EDNS ベースの機能の実装が妨げられるため、この動作は現在無効になっています。

来年も開催が決定しました 2020 年 DNS フラッグデー注意を集中させるように設計されています 決定 проблем 大きな DNS メッセージを処理するときに IP 断片化が発生します。取り組みの一環として 計画中 EDNS の推奨バッファ サイズを 1200 バイトに修正し、 翻訳する TCP 経由のリクエストの処理はサーバーに必須の機能です。現在、UDP 経由のリクエスト処理のサポートが必要であり、TCP が望ましいですが、動作には必須ではありません (標準では TCP を無効にする機能が必要です)。標準から TCP を無効にするオプションを削除し、確立された EDNS バッファ サイズが十分ではない場合に、UDP 経由でのリクエストの送信から TCP の使用への移行を標準化することが提案されています。

この取り組みの一環として提案されている変更により、EDNS バッファ サイズの選択に関する混乱が解消され、大きな UDP メッセージの断片化の問題が解決されます。この問題の処理により、クライアント側でパケット損失やタイムアウトが発生することがよくあります。クライアント側では、EDNS バッファ サイズは一定となり、大きな応答は TCP 経由でクライアントに即座に送信されます。 UDP 経由で大きなメッセージを送信しないようにすると、ブロックすることもできます。 攻撃 フラグメント化された UDP パケットの操作に基づいて、DNS キャッシュをポイズニングします (フラグメントに分割すると、XNUMX 番目のフラグメントには識別子を含むヘッダーが含まれないため、偽造できます。チェックサムが一致するだけで十分です)。 。

PowerDNS Recursor 4.2 では、大きな UDP パケットに関する問題が考慮され、以前使用されていた 1232 バイトの制限ではなく、1680 バイトの EDNS バッファ サイズ (edns-outcoming-bufsize) の使用に切り替わります。これにより、UDP パケットが失われる可能性が大幅に減少します。 。値 1232 が選択されたのは、IPv6 を考慮した DNS 応答のサイズが最小 MTU 値 (1280) に収まる最大値であるためです。クライアントへの応答をトリミングする役割を担う truncation-threshold パラメータの値も 1232 に減らされました。

PowerDNS Recursor 4.2 のその他の変更点:

• 追加されたメカニズムのサポート XPF (X-Proxied-For)、X-Forwarded-For HTTP ヘッダーに相当する DNS であり、元のリクエスタの IP アドレスとポート番号に関する情報を中間プロキシとロード バランサ (dnsdist など) 経由で転送できるようにします。 。 XPF を有効にするには、次のオプションがあります。xpf-許可-から"そして"xpf-rr-コード";
• EDNS 拡張機能のサポートの改善 クライアントサブネット (ECS)。チェーンに沿って送信された最初のリクエストの送信元のサブネットに関する情報を、DNS クエリで権威 DNS サーバーに送信できます (クライアントのソース サブネットに関するデータは、コンテンツ配信ネットワークの効果的な運用に必要です)。 。新しいリリースでは、EDNS クライアント サブネットの使用を選択的に制御するための設定が追加されています。ecs-追加用» 発信リクエストで ECS で使用される IP のネットワーク マスクのリスト。指定されたマスクの範囲内に収まらないアドレスの場合は、ディレクティブで指定された一般的なアドレスが使用されます。ecs-scope-zero-address」。指令を通じて「受信ednsサブネットを使用する» ECS 値が入力された受信リクエストが置き換えられないサブネットを定義できます。
• 100 秒あたりに大量のリクエスト (XNUMX 万以上) を処理するサーバーの場合、ディレクティブ「ディストリビュータスレッド" は、受信リクエストを受信し、それらをワーカー スレッド間で分散するためのスレッドの数を決定します ("pdns-distributes-queries=yes«）。
• 追加された設定 パブリックサフィックスリストファイル 独自のファイルを定義するには パブリックサフィックスのリスト PowerDNS Recursor に組み込まれたリストの代わりに、ユーザーが自分のサブドメインを登録できるドメイン。

PowerDNS プロジェクトは、4.3 か月の開発サイクルへの移行も発表し、PowerDNS Recursor 2020 の次のメジャー リリースは 4.2 年 2021 月に予定されています。重要なリリースのアップデートは年間を通して開発され、その後、脆弱性修正はさらに 4.2 か月間リリースされます。したがって、PowerDNS Recursor XNUMX ブランチのサポートは XNUMX 年 XNUMX 月まで続きます。 PowerDNS Authoritative Server にも同様の開発サイクルの変更が加えられており、近い将来 XNUMX がリリースされる予定です。

PowerDNS Recursor の主な機能:

• リモート統計収集用ツール。
• 即時再起動。
• Lua 言語でハンドラーを接続するための組み込みエンジン。
• DNSSEC の完全なサポートと DNS64;
• RPZ (レスポンス ポリシー ゾーン) のサポートとブラックリストを定義する機能。
• スプーフィング防止メカニズム。
• 解決結果を BIND ゾーン ファイルとして記録する機能。
• 高いパフォーマンスを確保するために、FreeBSD、Linux、Solaris では最新の接続多重化メカニズム (kqueue、epoll、/dev/poll) が使用されており、また、数万のリクエストを並行して処理できる高性能 DNS パケット パーサーも使用されています。

出所： オープンネット.ru