Piştî du salan pêşkeftinê, konsorsiyûma ISC yekem serbestberdana aram a şaxek nû ya sereke ya servera BIND 9.18 DNS derxist. Piştgiriya ji bo şaxa 9.18 dê sê salan heta çaryeka 2-ê ya 2025-an wekî beşek ji çerxa piştgirîya dirêjkirî were peyda kirin. Piştgiriya ji bo şaxa 9.11 dê di meha Adarê de biqede, û piştgirî ji bo şaxa 9.16 di nîvê sala 2023 de. Ji bo pêşdebirina fonksiyona guhertoya paşîn a BIND-ê, şaxek ceribandinê BIND 9.19.0 hate damezrandin.
Serbestberdana BIND 9.18.0 ji bo pêkanîna piştgiriya DNS-ê li ser HTTPS (DoH, DNS ser HTTPS) û DNS-ê li ser TLS (DoT, DNS ser TLS), û her weha mekanîzmaya XoT (XFR-ser-TLS) girîng e. ji bo veguheztina ewleh a naveroka DNS.zonên di navbera pêşkêşkeran de (her du deverên şandin û wergirtina bi XoT têne piştgirî kirin). Bi mîhengên guncan re, pêvajoyek bi navkirî naha dikare ne tenê pirsên DNS-ya kevneşopî, lê di heman demê de pirsên ku bi karanîna DNS-ser-HTTPS û DNS-ser-TLS têne şandin jî xizmetê bike. Piştgiriya xerîdar ji bo DNS-ser-TLS di nav amûra dig-ê de hatî çêkirin, ku dema ku ala "+tls" tête diyar kirin dikare were bikar anîn da ku daxwazan li ser TLS bişîne.
Pêkanîna protokola HTTP/2 ya ku di DoH-ê de tê bikar anîn li ser bingeha karanîna pirtûkxaneya nghttp2, ku wekî pêwendiyek kombûnê ya vebijarkî tête navandin, pêk tê. Sertîfîkayên ji bo DoH û DoT dikarin ji hêla bikarhêner ve werin peyda kirin an jî di dema destpêkirinê de bixweber têne çêkirin.
Pêvajoya daxwaznameyê bi karanîna DoH û DoT-ê bi zêdekirina vebijarkên "http" û "tls" li rêbernameya guhdarîkirinê tê çalak kirin. Ji bo piştgirîkirina DNS-ser-HTTP-a neşîfrekirî, divê hûn di mîhengan de "tls none" destnîşan bikin. Mifteyên di beşa "tls" de têne diyarkirin. Portên torê yên xwerû 853 ji bo DoT, 443 ji bo DoH û 80 ji bo DNS-ser-HTTP dikarin bi navgîniya parametreyên tls-port, https-port û http-port werin rakirin. Bo nimûne:
tls local-tls { key-pel "/path/to/priv_key.pem"; cert-pel "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; vebijarkên { https-port 443; porta guhdarîkirinê 443 tls herêmî-tls http myserver {any;}; }
Yek ji taybetmendiyên pêkanîna DoH-ê di BIND de şiyana veguheztina operasyonên şîfrekirinê ji bo TLS-ê ber bi serverek din ve ye, ku dibe ku di şert û mercên ku sertîfîkayên TLS-ê li ser pergalek din têne hilanîn (mînak, di binesaziyek bi pêşkêşkerên malperê) de hewce be û were parastin. ji hêla karmendên din ve. Piştgiriya ji bo DNS-ser-HTTP-ya neşîfrekirî ji bo hêsankirina xeletkirinê û wekî qatek ji bo şandina serverek din a li ser tora hundurîn (ji bo veguheztina şîfrekirinê berbi serverek cihêreng) tête bicîh kirin. Li ser serverek dûr, nginx dikare were bikar anîn da ku seyrûsefera TLS-ê çêbike, mîna ku girêdana HTTPS ji bo malperan tê organîze kirin.
Taybetmendiyek din yekbûna DoH-ê wekî veguhezek gelemperî ye ku dikare ne tenê ji bo birêvebirina daxwazên xerîdar ji çareserker re were bikar anîn, lê di heman demê de dema ku di navbera pêşkêşkeran de danûstendinê, dema veguheztina deveran ji hêla serverek DNS-ya otorîter ve, û dema ku lêpirsînên ku ji hêla DNS-yên din ve têne piştgirî kirin veguhezîne were bikar anîn. veguhestin.
Di nav kêmasiyên ku bi neçalakkirina avakirina bi DoH/DoT an veguheztina şîfrekirinê ber bi serverek din ve dikare were telafî kirin, tevliheviya giştî ya bingeha kodê derdikeve holê - serverek HTTP-ya çêkirî û pirtûkxaneya TLS-ê tê zêdekirin, ku dibe ku tê de hebe. qelsî û ji bo êrîşan wekî vektorên din tevdigerin. Di heman demê de, dema ku DoH bikar tînin, seyrûsefer zêde dibe.
Werin em bînin bîra xwe ku DNS-ser-HTTPS dikare ji bo pêşîlêgirtina agahdariya li ser navên mêvandar ên daxwazkirî bi navgîniya pêşkêşkerên DNS-ê yên pêşkêşkeran ve, li dijî êrişên MITM û xapandina seyrûsefera DNS-ê (wek nimûne, dema ku bi Wi-Fi-ya gelemperî ve girêdayî ye), bikêrhatî be. astengkirina di asta DNS-ê de (DNS-ser-HTTPS nikare şûna VPN-ê bigire di derbaskirina astengkirina ku di asta DPI-ê de hatî bicîh kirin) an jî ji bo organîzekirina xebatê gava ku ne gengaz e ku meriv rasterast bigihîje serverên DNS (mînak, dema ku bi navgînek ve dixebitin). Ger di rewşek normal de daxwazên DNS rasterast ji serverên DNS yên ku di veavakirina pergalê de hatine destnîşan kirin têne şandin, wê hingê di mijara DNS-ser-HTTPS de daxwaza destnîşankirina navnîşana IP-ya mêvandar di seyrûsefera HTTPS-ê de tê girtin û ji servera HTTP re tê şandin, li wir. çareserker bi navgîniya Web API-ê daxwazan pêvajoyê dike.
"DNS ser TLS" ji "DNS ser HTTPS" di karanîna protokola DNS-ya standard de cûda dibe (porta torê 853 bi gelemperî tête bikar anîn), ku di kanalek ragihandinê ya şîfrekirî de hatî organîze kirin ku bi protokola TLS ve hatî organîze kirin û bi kontrolkirina derbasdariya mêvandar re bi sertîfîkayên TLS/SSL ve hatî pejirandin. ji hêla rayedarek pejirandinê ve. Standarda DNSSEC ya heyî tenê şîfrekirinê bikar tîne da ku xerîdar û serverê rast bike, lê seyrûseferê ji destgirtinê naparêze û nepenîtiya daxwazan garantî nake.
Hin nûbûnên din:
- Mîhengên tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer û udp-send-buffer zêde kirin da ku mezinahiyên tamponên ku dema şandin û wergirtina daxwazan li ser TCP û UDP têne bikar anîn destnîşan bikin. Li ser pêşkêşkerên mijûl, zêdekirina tamponên hatinê dê bibe alîkar ku pakêt di dema lûtkeya trafîkê de neyên avêtin, û kêmkirina wan dê bibe alîkar ku ji girtina bîranînê ya bi daxwazên kevin xilas bibe.
- Kategoriyek têketinê ya nû "rpz-passthru" hate zêdekirin, ku dihêle hûn çalakiyên şandina RPZ (Zênên Siyaseta Bersivdanê) ji hev cuda binivîsin.
- Di beşa bersiv-siyasetê de, vebijarka "nsdname-sekinandin-vegerandin" hate zêdekirin, dema ku li ser "na" were danîn, qaîdeyên RPZ NSDNAME tenê heke pêşkêşkerên navên otorîter ên ku di cache de ji bo daxwazê têne dîtin têne sepandin, wekî din Rêbaza RPZ NSDNAME nayê paşguh kirin, lê agahdarî li paşnavê têne wergirtin û ji bo daxwazên paşîn derbas dibe.
- Ji bo tomarên bi celebên HTTPS û SVCB, pêvajoykirina beşa "ZÊDE" hatiye bicihkirin.
- Cûreyên qaîdeyên nûvekirin-siyaseta xwerû lê zêde kirin - krb5-subdomain-self-rhs û ms-subdomain-self-rhs, ku dihêle hûn nûvekirina tomarên SRV û PTR sînordar bikin. Blokên nûvekirin-siyasetê di heman demê de şiyana danîna sînorên li ser hejmara tomaran, kesane ji bo her celebê jî zêde dikin.
- Agahdariya li ser protokola veguheztinê (UDP, TCP, TLS, HTTPS) û pêşgirên DNS64 li derana kargêriya dig de zêde kir. Ji bo mebestên xeletkirinê, dig şiyana diyarkirina nasnameyek daxwazek taybetî zêde kiriye (dig +qid= ).
- Piştgiriya ji bo pirtûkxaneya OpenSSL 3.0 zêde kir.
- Ji bo çareserkirina pirsgirêkên bi perçebûna IP-yê dema ku peyamên mezin ên DNS-ê yên ku ji hêla DNS Flag Day 2020-an ve hatine nas kirin têne hilberandin, koda ku mezinahiya tamponê EDNS eyar dike dema ku bersivek ji daxwazek re tune be, ji çareserkerê hate rakirin. Mezinahiya tamponê EDNS naha ji bo hemî daxwazên derketinê wekî domdar (edns-udp-size) hatî danîn.
- Pergala avakirinê ji bo karanîna tevliheviya otoconf, otomake û libtool hate guheztin.
- Piştgiriya pelên zonê yên di forma "nexşeyê" de (nexşeya pelê-format) hate sekinandin. Bikarhênerên vê formatê têne pêşniyar kirin ku bi karanîna navgîniya berhevokê deveran veguherînin forma xav.
- Piştgiriya ji bo ajokarên kevntir ên DLZ (Zênên Bi Dînamîk Barkirî) hate sekinandin, li şûna modulên DLZ.
- Piştgiriya çêkirin û xebitandin ji bo platforma Windows-ê hate sekinandin. Şaxa paşîn a ku dikare li ser Windows-ê were saz kirin BIND 9.16 e.
Source: opennet.ru