ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vun PowerDNS Recursor 4.2 an DNS Fändel Dag 2020 Initiativ

Verëffentlechung vun PowerDNS Recursor 4.2 an DNS Fändel Dag 2020 Initiativ

No engem Joer an en halleft Entwécklung presentéiert Verëffentlechung vum Caching DNS Server PowerDNS Ressource 4.2, responsabel fir rekursive Numm Konversioun. PowerDNS Recursor ass op der selwechter Codebasis wéi PowerDNS Autoritative Server gebaut, awer PowerDNS rekursiv an autoritär DNS Server ginn duerch verschidden Entwécklungszyklen entwéckelt a ginn als separat Produkter verëffentlecht. Projet Code verdeelt duerch lizenzéiert ënner GPLv2.

Déi nei Versioun eliminéiert all Themen am Zesummenhang mat der Veraarbechtung vun DNS Pakete mat EDNS Fändelen. Eeler Versioune vu PowerDNS Recursor virum 2016 haten d'Praxis fir Päckchen mat net ënnerstëtzten EDNS Fändelen ze ignoréieren ouni eng Äntwert am alen Format ze schécken, d'EDNS Fändelen ofzeginn wéi néideg vun der Spezifizéierung. Virdru gouf dëst net-Standard Verhalen a BIND a Form vun enger Léisung ënnerstëtzt, awer am Kader vun ausgefouert am Februar Initiativen DNS Fändel Dag, DNS Server Entwéckler hunn decidéiert dësen Hack opzeginn.

Am PowerDNS goufen d'Haaptprobleemer bei der Veraarbechtung vu Pakete mat EDNS am Joer 2017 an der Verëffentlechung 4.1 eliminéiert, an an der 2016 Branche, déi am 4.0 verëffentlecht gouf, sinn individuell Inkompatibilitéiten opgedaucht, déi ënner engem bestëmmte Set vun Ëmstänn entstinn an allgemeng net mat normalen Amëschung stéieren. Operatioun. An PowerDNS Recursor 4.2, wéi an BINDEN 9.14, Ewechhuele Léisunge fir autoritär Server z'ënnerstëtzen, déi falsch op Ufroe mat EDNS Fändelen reagéieren. Bis elo, wann no enger Ufro mat EDNS Fändelen geschéckt gouf et no enger gewësser Zäit keng Äntwert gouf, huet den DNS Server ugeholl datt verlängert Fändelen net ënnerstëtzt goufen an eng zweet Ufro ouni EDNS Fändelen geschéckt. Dëst Verhalen gouf elo deaktivéiert well dëse Code zu enger erhéiter Latenz gefouert huet wéinst Paket-Wiedertransmissiounen, erhéicht Netzwierkbelaaschtung an Ambiguitéit wann net reagéiert wéinst Netzwierkfehler, a verhënnert d'Ëmsetzung vun EDNS-baséiert Funktiounen wéi DNS Cookien fir géint DDoS Attacken ze schützen.

Et gouf decidéiert d'nächst Joer ze organiséieren DNS Fändeldag 2020entworf Opmierksamkeet ze konzentréieren d'Entscheedung Problemer mat IP Fragmentatioun wann Dir grouss DNS Messagen veraarbecht. Am Kader vun der Initiativ geplangt befestegt déi recommandéiert Puffergréissten fir EDNS op 1200 Bytes, an iwwersetze Veraarbechtung vun Ufroen iwwer TCP ass e Must-Have Feature op Serveren. Elo ass Ënnerstëtzung fir d'Veraarbechtung vun Ufroen iwwer UDP erfuerderlech, an TCP ass wënschenswäert, awer net erfuerderlech fir Operatioun (de Standard erfuerdert d'Fäegkeet TCP auszeschalten). Et gëtt proposéiert d'Optioun ze läschen fir TCP aus dem Standard auszeschalten an den Iwwergank ze standardiséieren vun Ufroen iwwer UDP ze schécken fir TCP ze benotzen a Fäll wou déi etabléiert EDNS Puffergréisst net genuch ass.

D'Ännerungen, déi als Deel vun der Initiativ proposéiert ginn, eliminéieren d'Verwirrung mat der Auswiel vun der EDNS-Puffergréisst an léisen de Problem vun der Fragmentatioun vu groussen UDP-Messagen, d'Veraarbechtung vun deenen dacks zu Paketverloscht an Timeouts op der Client Säit féiert. Op der Client Säit wäert d'EDNS Puffergréisst konstant sinn a grouss Äntwerte ginn direkt un de Client iwwer TCP geschéckt. Vermeit grouss Messagen iwwer UDP ze schécken erlaabt Iech och ze blockéieren Attacken fir d'Vergëftung vum DNS-Cache, baséiert op der Manipulatioun vu fragmentéierten UDP-Päckchen (wann an Fragmenter opgedeelt ass, enthält dat zweet Fragment keen Header mat engem Identifizéierer, sou datt et geschmied ka ginn, fir deen et nëmmen genuch ass fir d'Kontrollsum ze passen) .

PowerDNS Recursor 4.2 berücksichtegt d'Problemer mat groussen UDP-Paketen a schalt op d'EDNS-Puffergréisst (edns-outgoing-bufsize) vun 1232 Bytes, amplaz vun der virdru benotzter Limit vun 1680 Bytes, wat d'Wahrscheinlechkeet fir UDP Päck ze verléieren wesentlech reduzéieren sollt. . De Wäert 1232 gouf gewielt well et de Maximum ass, bei deem d'Gréisst vun der DNS-Äntwert, berücksichtegt IPv6, an de Minimum MTU Wäert (1280) passt. De Wäert vum Ofkierzungs-Schwellparameter, dee verantwortlech ass fir d'Äntwerten op de Client ze trimmen, ass och op 1232 reduzéiert ginn.

Aner Ännerungen am PowerDNS Recursor 4.2:

  • Zousätzlech Mechanismus Ënnerstëtzung XPF (X-Proxied-For), dat ass den DNS-Äquivalent vum X-Forwarded-For HTTP Header, wat et erlaabt Informatioun iwwer d'IP Adress an d'Portnummer vum ursprénglechen Ufroer duerch Zwëschenproxyen a Lastbalancer (wéi dnsdist) weiderginn ze ginn. . Fir XPF z'aktivéieren ginn et Optiounen "xpf-allow-vun"An"xpf-rr-code";
  • Verbesserte Ënnerstëtzung fir EDNS Extensioun Client Subnet (ECS), wat Iech erlaabt Iech an DNS Ufroen un en autoritären DNS-Server Informatioun iwwer de Subnet ze vermëttelen, aus deem déi initial Ufro, déi laanscht d'Kette iwwerdroe gouf, vergëft gouf (Donnéeën iwwer de Quell-Subnet vum Client sinn néideg fir den effektiven Operatioun vun Inhaltsliwwerungsnetzwierker) . Déi nei Verëffentlechung füügt Astellunge fir selektiv Kontroll iwwer d'Benotzung vum EDNS Client Subnet: "ecs-add-fir» mat enger Lëscht vun Netzwierkmasken, fir déi d'IP an ECS an erausginn Ufroe benotzt gëtt. Fir Adressen déi net an de spezifizéierte Masken falen, ass déi allgemeng Adress an der Direktiv spezifizéiert "ecs-scope-zero-address". Duerch d'Direktiv "use-incoming-edns-subnet» Dir kënnt Subnets definéieren, aus deenen opkommend Ufroe mat gefëllten ECS Wäerter net ersat ginn;
  • Fir Serveren déi eng grouss Unzuel vun Ufroen pro Sekonn veraarbecht (méi wéi 100 Tausend), d'Direktiv "Distributeur-Threads", deen d'Zuel vun den Threads bestëmmt fir opkommend Ufroen ze kréien an se tëscht Aarbechter Threads ze verdeelen (mécht nëmme Sënn wann Dir d'"pdns-distributes-queries=jo").
  • Astellung dobäigesat ëffentlech-Suffix-Lëscht-Datei Är eege Fichier ze definéieren mat Lëscht vun ëffentleche Suffixen Domainen an deenen d'Benotzer hir Ënnerdomaine kënnen registréieren, amplaz vun der Lëscht a PowerDNS Recursor gebaut.

De PowerDNS Projet huet och e Beweegung an e sechs Méint Entwécklungszyklus ugekënnegt, mat der nächster grousser Verëffentlechung vum PowerDNS Recursor 4.3 am Januar 2020 erwaart. Updates fir bedeitend Verëffentlechunge ginn am ganze Joer entwéckelt, duerno wäerte Schwachstelle Fixe fir weider sechs Méint verëffentlecht ginn. Sou wäert d'Ënnerstëtzung fir de PowerDNS Recursor 4.2 Branche bis Januar 2021 daueren. Ähnlech Entwécklungszyklus Ännerungen goufen fir PowerDNS Authoritative Server gemaach, deen erwaart gëtt 4.2 an der nächster Zukunft ze verëffentlechen.

Haaptfeatures vum PowerDNS Recursor:

  • Tools fir Remote Statistik Sammlung;
  • Instant Restart;
  • Built-in Motor fir Handler an der Lua Sprooch ze verbannen;
  • Voll DNSSEC Ënnerstëtzung an DNS64;
  • Ënnerstëtzung fir RPZ (Äntwert Politik Zonen) an d'Fähegkeet Blacklists ze definéieren;
  • Anti-Spoofing Mechanismen;
  • D'Kapazitéit fir Resolutiounsresultater als BIND Zone Dateien opzehuelen.
  • Fir héich Leeschtung ze garantéieren, ginn modern Verbindungsmultiplexéierungsmechanismen a FreeBSD, Linux a Solaris (kqueue, epoll, /dev/poll) benotzt, souwéi e High-Performance DNS Packet Parser, deen fäeg ass Zéngdausende vu parallele Ufroen ze veraarbecht.

Source: opennet.ru

Setzt e Commentaire