PowerDNS Recursor 4.2 및 DNS 플래그 데이 2020 이니셔티브 출시

XNUMX년 반의 개발 끝에 제시된 캐싱 DNS 서버 출시 PowerDNS 리소스 4.2, 재귀적인 이름 변환을 담당합니다. PowerDNS Recursor는 PowerDNS Authoritative Server와 동일한 코드 베이스를 기반으로 구축되었지만 PowerDNS Recursive 및 Authoritative DNS 서버는 서로 다른 개발 주기를 통해 개발되어 별도의 제품으로 출시됩니다. 프로젝트 코드 배포자 GPLv2에 따라 라이센스가 부여되었습니다.

새 버전에서는 EDNS 플래그가 있는 DNS 패킷 처리와 관련된 모든 문제가 제거되었습니다. 2016년 이전 버전의 PowerDNS Recursor에서는 이전 형식으로 응답을 보내지 않고 지원되지 않는 EDNS 플래그가 있는 패킷을 무시하고 사양에서 요구하는 대로 EDNS 플래그를 삭제하는 관행이 있었습니다. 이전에는 이 비표준 동작이 해결 방법의 형태로 BIND에서 지원되었지만 수행 XNUMX월 이니셔티브에서 DNS 플래그 데이, DNS 서버 개발자는 이 해킹을 포기하기로 결정했습니다.

PowerDNS에서는 EDNS를 사용하여 패킷을 처리할 때 발생하는 주요 문제가 2017년 릴리스 4.1에서 제거되었으며, 2016년에 릴리스된 4.0 분기에서는 특정 상황에서 발생하는 개별 비호환성이 표면화되었으며 일반적으로 정상 작동을 방해하지 않습니다. 작업. PowerDNS Recursor 4.2에서는 다음과 같습니다. 바인딩 9.14, EDNS 플래그가 있는 요청에 잘못 응답하는 권한 있는 서버를 지원하기 위한 해결 방법을 제거했습니다. 지금까지는 EDNS 플래그가 포함된 요청을 보낸 후 일정 시간이 지나도 응답이 없으면 DNS 서버는 확장 플래그가 지원되지 않는다고 가정하고 EDNS 플래그가 포함되지 않은 두 번째 요청을 보냈습니다. 이 코드로 인해 패킷 재전송으로 인해 대기 시간이 증가하고, 네트워크 오류로 인해 응답하지 않을 때 네트워크 로드 및 모호성이 증가하고, DDoS 공격으로부터 보호하기 위한 DNS 쿠키와 같은 EDNS 기반 기능의 구현이 방해되었기 때문에 이제 이 동작이 비활성화되었습니다.

내년에 행사를 개최하기로 결정되었습니다 DNS 플래그 데이 2020주의를 집중하도록 설계되었습니다. 결정 проблем 대규모 DNS 메시지를 처리할 때 IP 조각화가 발생합니다. 이니셔티브의 일환으로 계획된 EDNS의 권장 버퍼 크기를 1200바이트로 수정합니다. 옮기다 TCP를 통한 요청 처리는 서버의 필수 기능입니다. 이제 UDP를 통한 요청 처리 지원이 필요하며 TCP가 바람직하지만 작동에는 필요하지 않습니다(표준에서는 TCP를 비활성화하는 기능이 필요함). 표준에서 TCP를 비활성화하는 옵션을 제거하고 설정된 EDNS 버퍼 크기가 충분하지 않은 경우 UDP를 통한 요청 전송에서 TCP 사용으로의 전환을 표준화하는 것이 제안되었습니다.

이니셔티브의 일부로 제안된 변경 사항은 EDNS 버퍼 크기 선택과 관련된 혼란을 없애고 대용량 UDP 메시지의 조각화 문제를 해결합니다. 이 문제는 종종 클라이언트 측에서 패킷 손실 및 시간 초과로 이어집니다. 클라이언트 측에서는 EDNS 버퍼 크기가 일정하며 큰 응답이 TCP를 통해 클라이언트에 즉시 전송됩니다. UDP를 통해 대용량 메시지를 보내지 않으면 다음도 차단할 수 있습니다. 공격 조각화된 UDP 패킷의 조작을 기반으로 DNS 캐시를 오염시키기 위해(조각으로 분할될 때 두 번째 조각에는 식별자가 있는 헤더가 포함되지 않으므로 위조될 수 있으며 일치하는 체크섬에만 충분합니다) .

PowerDNS Recursor 4.2는 대용량 UDP 패킷의 문제를 고려하여 이전에 사용된 1232바이트 제한 대신 1680바이트의 EDNS 버퍼 크기(edns-outgoing-bufsize)를 사용하도록 전환하여 UDP 패킷 손실 가능성을 크게 줄입니다. . 값 1232는 IPv6를 고려한 DNS 응답 크기가 최소 MTU 값(1280)에 맞는 최대값이기 때문에 선택되었습니다. 클라이언트에 대한 응답 자르기를 담당하는 truncation-threshold 매개변수의 값도 1232로 감소되었습니다.

PowerDNS Recursor 4.2의 기타 변경 사항:

• 메커니즘 지원 추가 XPF (X-Proxied-For)는 X-Forwarded-For HTTP 헤더와 동등한 DNS로, 원래 요청자의 IP 주소 및 포트 번호에 대한 정보가 중간 프록시 및 로드 밸런서(예: dnsdist)를 통해 전달되도록 허용합니다. . XPF를 활성화하려면 "xpf-허용-from"그리고"xpf-rr-코드";
• EDNS 확장에 대한 지원 개선 클라이언트 서브넷 (ECS) - 체인을 따라 전송된 초기 요청이 손상된 서브넷에 대한 정보를 권한 있는 DNS 서버에 DNS 쿼리로 전송할 수 있습니다(클라이언트의 소스 서브넷에 대한 데이터는 콘텐츠 전달 네트워크의 효과적인 작동에 필요합니다). . 새 릴리스에는 EDNS 클라이언트 서브넷 사용을 선택적으로 제어하기 위한 설정이 추가되었습니다.ECS 추가용» 발신 요청 시 ECS에서 IP가 사용될 네트워크 마스크 목록이 포함되어 있습니다. 지정된 마스크에 속하지 않는 주소의 경우 "지시문에 지정된 일반 주소ECS-범위-XNUMX-주소". 지시문을 통해 "사용-수신-edns-서브넷» 채워진 ECS 값이 포함된 수신 요청이 대체되지 않는 서브넷을 정의할 수 있습니다.
• 초당 많은 수(100만 개 이상)의 요청을 처리하는 서버의 경우 "배포자 스레드"는 들어오는 요청을 수신하고 이를 작업자 스레드 간에 배포하기 위한 스레드 수를 결정합니다("pdns-distributes-queries=yes").
• 설정 추가 공개 접미사 목록 파일 자신의 파일을 정의하려면 공개 접미사 목록 PowerDNS Recursor에 내장된 목록 대신 사용자가 하위 도메인을 등록할 수 있는 도메인입니다.

PowerDNS 프로젝트는 또한 4.3개월 개발 주기로 전환하고 PowerDNS Recursor 2020의 다음 주요 릴리스가 4.2년 2021월로 예상된다고 발표했습니다. 중요한 릴리스에 대한 업데이트는 일년 내내 개발될 예정이며, 이후 4.2개월 동안 취약점 수정 사항이 릴리스됩니다. 따라서 PowerDNS Recursor XNUMX 분기에 대한 지원은 XNUMX년 XNUMX월까지 지속됩니다. 가까운 시일 내에 XNUMX가 출시될 예정인 PowerDNS Authoritative Server에 대해서도 유사한 개발 주기 변경이 이루어졌습니다.

PowerDNS Recursor의 주요 기능:

• 원격 통계 수집 도구
• 즉시 다시 시작;
• Lua 언어로 핸들러를 연결하기 위한 내장 엔진;
• 완전한 DNSSEC 지원 및 DNS64;
• RPZ(Response Policy Zones) 지원 및 블랙리스트 정의 기능
• 스푸핑 방지 메커니즘
• 해결 결과를 BIND 영역 파일로 기록하는 기능.
• 고성능을 보장하기 위해 FreeBSD, Linux 및 Solaris(kqueue, epoll, /dev/poll)에서는 최신 연결 다중화 메커니즘과 수만 개의 병렬 요청을 처리할 수 있는 고성능 DNS 패킷 파서가 사용됩니다.

출처 : opennet.ru