ការចេញផ្សាយ PowerDNS Recursor 4.2 និងគំនិតផ្តួចផ្តើម DNS flag day 2020

បន្ទាប់ពីមួយឆ្នាំកន្លះនៃការអភិវឌ្ឍន៍ បង្ហាញ ការចេញផ្សាយម៉ាស៊ីនមេ DNS ឃ្លាំងសម្ងាត់ ធនធាន PowerDNS 4.2ទទួលខុសត្រូវចំពោះការបំប្លែងឈ្មោះដដែលៗ។ PowerDNS Recursor ត្រូវបានបង្កើតឡើងនៅលើមូលដ្ឋានកូដដូចគ្នាទៅនឹង PowerDNS Authoritative Server ប៉ុន្តែម៉ាស៊ីនមេ DNS ដែលប្រើឡើងវិញ និងអនុញ្ញាត PowerDNS ត្រូវបានបង្កើតឡើងតាមរយៈវដ្តនៃការអភិវឌ្ឍន៍ផ្សេងៗគ្នា ហើយត្រូវបានចេញផ្សាយជាផលិតផលដាច់ដោយឡែក។ កូដគម្រោង ចែកចាយ​ដោយ មានអាជ្ញាប័ណ្ណក្រោម GPLv2.

កំណែថ្មីលុបបំបាត់បញ្ហាទាំងអស់ដែលទាក់ទងនឹងដំណើរការនៃកញ្ចប់ DNS ដែលមានទង់ EDNS ។ កំណែចាស់របស់ PowerDNS Recursor មុនឆ្នាំ 2016 មានការអនុវត្តមិនអើពើកញ្ចប់ព័ត៌មានដែលមានទង់ EDNS ដែលមិនគាំទ្រដោយមិនចាំបាច់ផ្ញើការឆ្លើយតបក្នុងទម្រង់ចាស់ ដោយបោះបង់ទង់ EDNS តាមតម្រូវការដោយការបញ្ជាក់។ ពីមុន ឥរិយាបថមិនស្តង់ដារនេះត្រូវបានគាំទ្រក្នុង BIND ក្នុងទម្រង់ជាដំណោះស្រាយ ប៉ុន្តែនៅក្នុងវិសាលភាពនៃ បានអនុវត្ត នៅខែកុម្ភៈ គំនិតផ្តួចផ្តើម ទិវាទង់ជាតិ DNSអ្នកអភិវឌ្ឍន៍ម៉ាស៊ីនមេ DNS បានសម្រេចចិត្តបោះបង់ការលួចចូលនេះ។

នៅក្នុង PowerDNS បញ្ហាចម្បងក្នុងដំណើរការកញ្ចប់ព័ត៌មានជាមួយ EDNS ត្រូវបានលុបចោលវិញនៅឆ្នាំ 2017 ក្នុងការចេញផ្សាយ 4.1 ហើយនៅក្នុងសាខា 2016 ដែលបានចេញផ្សាយនៅឆ្នាំ 4.0 ភាពមិនឆបគ្នារបស់បុគ្គលបានលេចឡើងដែលកើតឡើងក្រោមកាលៈទេសៈជាក់លាក់មួយ ហើយជាទូទៅមិនជ្រៀតជ្រែកជាមួយធម្មតាទេ។ ប្រតិបត្តិការ។ នៅក្នុង PowerDNS Recursor 4.2 ដូចនៅក្នុង ចង 9.14, បានលុបដំណោះស្រាយដើម្បីគាំទ្រម៉ាស៊ីនមេដែលមានការអនុញ្ញាតដែលឆ្លើយតបមិនត្រឹមត្រូវទៅនឹងសំណើដែលមានទង់ EDNS ។ រហូតមកដល់ពេលនេះ ប្រសិនបើបន្ទាប់ពីការផ្ញើសំណើជាមួយទង់ EDNS មិនមានការឆ្លើយតបបន្ទាប់ពីរយៈពេលជាក់លាក់ណាមួយនោះ ម៉ាស៊ីនមេ DNS សន្មត់ថាទង់បន្ថែមមិនត្រូវបានគាំទ្រ និងបានផ្ញើសំណើទីពីរដោយគ្មានទង់ EDNS ។ ឥរិយាបទនេះត្រូវបានបិទនៅពេលនេះ ដោយសារកូដនេះបណ្តាលឱ្យមានភាពយឺតយ៉ាវកើនឡើងដោយសារតែការបញ្ជូនកញ្ចប់ព័ត៌មានឡើងវិញ ការកើនឡើងការផ្ទុកបណ្តាញ និងភាពមិនច្បាស់លាស់នៅពេលមិនឆ្លើយតបដោយសារការបរាជ័យបណ្តាញ និងបានរារាំងការអនុវត្តមុខងារដែលមានមូលដ្ឋានលើ EDNS ដូចជា DNS Cookies ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារដោយ DDoS ។

វាត្រូវបានសម្រេចចិត្តរៀបចំព្រឹត្តិការណ៍នៅឆ្នាំក្រោយ ទិវាទង់ជាតិ DNS ឆ្នាំ ២០២០រចនាឡើងដើម្បីផ្តោតការយកចិត្តទុកដាក់ ការ​សម្រេច​ចិត្ត បញ្ហា ជាមួយនឹងការបែងចែក IP នៅពេលដំណើរការសារ DNS ធំ។ ជាផ្នែកមួយនៃគំនិតផ្តួចផ្តើម បានគ្រោងទុក ជួសជុលទំហំផ្ទុកដែលបានណែនាំសម្រាប់ EDNS ដល់ 1200 បៃ និង បកប្រែ ដំណើរការសំណើតាមរយៈ TCP គឺជាមុខងារដែលត្រូវតែមាននៅលើម៉ាស៊ីនមេ។ ឥឡូវនេះការគាំទ្រសម្រាប់ដំណើរការសំណើតាមរយៈ UDP គឺត្រូវបានទាមទារ ហើយ TCP គឺជាការចង់បាន ប៉ុន្តែមិនត្រូវបានទាមទារសម្រាប់ប្រតិបត្តិការទេ (ស្តង់ដារទាមទារសមត្ថភាពក្នុងការបិទ TCP) ។ វាត្រូវបានស្នើឡើងដើម្បីលុបជម្រើសដើម្បីបិទ TCP ពីស្តង់ដារ និងកំណត់ស្តង់ដារនៃការផ្លាស់ប្តូរពីការផ្ញើសំណើតាម UDP ទៅប្រើ TCP ក្នុងករណីដែលទំហំផ្ទុក EDNS មិនគ្រប់គ្រាន់។

ការផ្លាស់ប្តូរដែលបានស្នើឡើងជាផ្នែកនៃគំនិតផ្តួចផ្តើមនឹងលុបបំបាត់ការភាន់ច្រលំជាមួយនឹងការជ្រើសរើសទំហំសតិបណ្ដោះអាសន្ន EDNS និងដោះស្រាយបញ្ហានៃការបែងចែកសារ UDP ធំ ដែលដំណើរការដែលជារឿយៗនាំទៅរកការបាត់បង់កញ្ចប់ព័ត៌មាន និងការអស់ពេលនៅខាងអតិថិជន។ នៅផ្នែកខាងអតិថិជន ទំហំសតិបណ្ដោះអាសន្ន EDNS នឹងមានលក្ខណៈថេរ ហើយការឆ្លើយតបដ៏ធំនឹងត្រូវបានផ្ញើភ្លាមៗទៅកាន់អតិថិជនតាមរយៈ TCP ។ ការជៀសវាងការផ្ញើសារធំនៅលើ UDP ក៏នឹងអនុញ្ញាតឱ្យអ្នកទប់ស្កាត់ផងដែរ។ ការវាយប្រហារ សម្រាប់ការបំពុលឃ្លាំងសម្ងាត់ DNS ដោយផ្អែកលើការរៀបចំនៃកញ្ចប់ព័ត៌មាន UDP ដែលបែកខ្ញែក (នៅពេលបំបែកទៅជាបំណែក បំណែកទីពីរមិនរួមបញ្ចូលបឋមកថាជាមួយឧបករណ៍កំណត់អត្តសញ្ញាណទេ ដូច្នេះវាអាចត្រូវបានក្លែងបន្លំ ដែលវាគ្រប់គ្រាន់សម្រាប់តែមូលប្បទានប័ត្រដែលត្រូវគ្នា) .

PowerDNS Recursor 4.2 គិតពីបញ្ហាជាមួយកញ្ចប់ UDP ធំ ហើយប្តូរទៅប្រើទំហំសតិបណ្ដោះអាសន្ន EDNS (edns-outgoing-bufsize) នៃ 1232 bytes ជំនួសឱ្យដែនកំណត់ដែលបានប្រើពីមុនគឺ 1680 bytes ដែលគួរតែកាត់បន្ថយលទ្ធភាពនៃការបាត់បង់កញ្ចប់ UDP យ៉ាងខ្លាំង។ . តម្លៃ 1232 ត្រូវបានជ្រើសរើសព្រោះវាជាអតិបរមាដែលទំហំនៃការឆ្លើយតប DNS ដោយគិតពី IPv6 សមនឹងតម្លៃ MTU អប្បបរមា (1280) ។ តម្លៃនៃប៉ារ៉ាម៉ែត្រ truncation-threshold ដែលទទួលខុសត្រូវចំពោះការកាត់បន្ថយការឆ្លើយតបចំពោះអតិថិជនក៏ត្រូវបានកាត់បន្ថយមកត្រឹម 1232 ផងដែរ។

ការផ្លាស់ប្តូរផ្សេងទៀតនៅក្នុង PowerDNS Recursor 4.2៖

• បានបន្ថែមការគាំទ្រយន្តការ XPF (X-Proxied-For) ដែលសមមូល DNS នៃបឋមកថា X-Forwarded-For HTTP ដែលអនុញ្ញាតឱ្យព័ត៌មានអំពីអាសយដ្ឋាន IP និងលេខច្រករបស់អ្នកស្នើសុំដើមត្រូវបានបញ្ជូនបន្តតាមរយៈប្រូកស៊ីកម្រិតមធ្យម និងឧបករណ៍ផ្ទុកតុល្យភាព (ដូចជា dnsdist) . ដើម្បីបើក XPF មានជម្រើស "xpf-អនុញ្ញាត-ពី"ហើយ"xpf-rr-កូដ“;
• ធ្វើឱ្យប្រសើរឡើងនូវការគាំទ្រសម្រាប់ផ្នែកបន្ថែម EDNS បណ្តាញរងរបស់អតិថិជន (ECS) ដែលអនុញ្ញាតឱ្យអ្នកបញ្ជូនក្នុងសំណួរ DNS ទៅកាន់ព័ត៌មានម៉ាស៊ីនមេ DNS ដែលមានការអនុញ្ញាតអំពីបណ្តាញរងដែលសំណើដំបូងដែលបានបញ្ជូនតាមខ្សែសង្វាក់ត្រូវបានបំពុល (ទិន្នន័យអំពីបណ្តាញរងប្រភពរបស់អតិថិជនគឺចាំបាច់សម្រាប់ប្រតិបត្តិការប្រកបដោយប្រសិទ្ធភាពនៃបណ្តាញចែកចាយមាតិកា) . ការចេញផ្សាយថ្មីនេះបន្ថែមការកំណត់សម្រាប់ការគ្រប់គ្រងជ្រើសរើសលើការប្រើប្រាស់បណ្តាញរង EDNS Client Subnet៖ “ecs-add-for» ជាមួយនឹងបញ្ជីរបាំងបណ្តាញដែល IP នឹងត្រូវបានប្រើនៅក្នុង ECS ក្នុងការស្នើសុំចេញ។ សម្រាប់អាសយដ្ឋានដែលមិនស្ថិតនៅក្នុងរបាំងមុខដែលបានបញ្ជាក់ អាសយដ្ឋានទូទៅដែលបានបញ្ជាក់នៅក្នុងការណែនាំ "ecs-scope-zero-address"។ តាមរយៈការណែនាំ "use-incoming-edns-subnet» អ្នក​អាច​កំណត់​បណ្ដាញ​រង​ដែល​សំណើ​ចូល​ដែល​បាន​បំពេញ​តម្លៃ ECS នឹង​មិន​ត្រូវ​បាន​ជំនួស​ឡើយ។
• សម្រាប់ម៉ាស៊ីនមេដែលដំណើរការសំណើមួយចំនួនធំក្នុងមួយវិនាទី (ច្រើនជាង 100 ពាន់) ការណែនាំ "អ្នកចែកចាយ - ខ្សែស្រឡាយ" ដែលកំណត់ចំនួនខ្សែស្រឡាយសម្រាប់ការទទួលសំណើចូល និងចែកចាយពួកវារវាងខ្សែស្រឡាយកម្មករ (មានន័យតែនៅពេលប្រើ "pdns-distributes-queries=បាទ/ចាស«) ។
• បានបន្ថែមការកំណត់ public-suffix-list-file ដើម្បីកំណត់ឯកសារផ្ទាល់ខ្លួនរបស់អ្នកជាមួយ បញ្ជីនៃបច្ច័យសាធារណៈ ដែនដែលអ្នកប្រើប្រាស់អាចចុះឈ្មោះដែនរងរបស់ពួកគេ ជំនួសឱ្យបញ្ជីដែលបានបង្កើតឡើងនៅក្នុង PowerDNS Recursor ។

គម្រោង PowerDNS ក៏បានប្រកាសពីការផ្លាស់ប្តូរទៅកាន់វដ្តនៃការអភិវឌ្ឍន៍រយៈពេលប្រាំមួយខែ ជាមួយនឹងការចេញផ្សាយដ៏សំខាន់បន្ទាប់នៃ PowerDNS Recursor 4.3 ដែលរំពឹងទុកនៅក្នុងខែមករា ឆ្នាំ 2020។ ការអាប់ដេតសម្រាប់ការចេញផ្សាយសំខាន់ៗនឹងត្រូវបានបង្កើតឡើងពេញមួយឆ្នាំ បន្ទាប់ពីនោះការជួសជុលភាពងាយរងគ្រោះនឹងត្រូវបានចេញផ្សាយសម្រាប់រយៈពេលប្រាំមួយខែទៀត។ ដូច្នេះ ការគាំទ្រសម្រាប់សាខា PowerDNS Recursor 4.2 នឹងមានរយៈពេលរហូតដល់ខែមករា ឆ្នាំ 2021។ ការផ្លាស់ប្តូរវដ្តនៃការអភិវឌ្ឍន៍ស្រដៀងគ្នានេះត្រូវបានធ្វើឡើងសម្រាប់ PowerDNS Authoritative Server ដែលត្រូវបានគេរំពឹងថានឹងចេញផ្សាយ 4.2 នាពេលខាងមុខនេះ។

មុខងារសំខាន់ៗរបស់ PowerDNS Recursor៖

• ឧបករណ៍សម្រាប់ការប្រមូលស្ថិតិពីចម្ងាយ;
• ចាប់ផ្តើមឡើងវិញភ្លាមៗ;
• ម៉ាស៊ីនដែលភ្ជាប់មកជាមួយសម្រាប់ភ្ជាប់ឧបករណ៍ដោះស្រាយជាភាសា Lua;
• ការគាំទ្រ DNSSEC ពេញលេញ និង DNS64;
• ការគាំទ្រសម្រាប់ RPZ (តំបន់គោលនយោបាយឆ្លើយតប) និងសមត្ថភាពក្នុងការកំណត់បញ្ជីខ្មៅ;
• យន្តការប្រឆាំងនឹងការក្លែងបន្លំ;
• សមត្ថភាពក្នុងការកត់ត្រាលទ្ធផលដំណោះស្រាយជាឯកសារតំបន់ចង។
• ដើម្បីធានាបាននូវដំណើរការខ្ពស់ យន្តការពហុគុណនៃការតភ្ជាប់ទំនើបត្រូវបានប្រើនៅក្នុង FreeBSD, Linux និង Solaris (kqueue, epoll, /dev/poll) ក៏ដូចជាឧបករណ៍ញែកកញ្ចប់ DNS ដែលមានប្រសិទ្ធភាពខ្ពស់ដែលមានសមត្ថភាពដំណើរការសំណើប៉ារ៉ាឡែលរាប់ម៉ឺន។

ប្រភព: opennet.ru