Rehefa afaka herintaona sy tapany ny fampandrosoana famoahana ny mpizara DNS cache , tompon'andraikitra amin'ny fanovana anarana miverimberina. Ny PowerDNS Recursor dia naorina amin'ny fototra kaody mitovy amin'ny PowerDNS Authoritative Server, fa ny PowerDNS recursive sy authoritative DNS servers dia novolavolaina tamin'ny alàlan'ny tsingerin'ny fampandrosoana samihafa ary navoaka ho vokatra misaraka. Kaody tetikasa nahazoan-dalana GPLv2.
Ny kinova vaovao dia manafoana ny olana rehetra mifandraika amin'ny fanodinana ny fonosana DNS miaraka amin'ny saina EDNS. Ny dikan-teny taloha an'ny PowerDNS Recursor talohan'ny 2016 dia nanana fanao tsy miraharaha ireo fonosana misy sainam-pirenena EDNS tsy misy tohana nefa tsy mandefa valiny amin'ny endrika taloha, manilika ny saina EDNS araka izay takian'ny fepetra. Teo aloha, ity fihetsika tsy manara-penitra ity dia notohanana tao amin'ny BIND amin'ny endrika vahaolana, fa ao anatin'ny sehatry ny tamin'ny hetsika Febroary , Nanapa-kevitra ny handao an'ity hack ity ireo mpamorona mpizara DNS.
Ao amin'ny PowerDNS, ny olana lehibe amin'ny fanodinana fonosana miaraka amin'ny EDNS dia nesorina tamin'ny taona 2017 tamin'ny famoahana 4.1, ary tao amin'ny sampana 2016 navoaka tamin'ny taona 4.0, nipoitra ny tsy fifankahazoan'ny tsirairay izay mipoitra amin'ny toe-javatra sasany ary, amin'ny ankapobeny, tsy manelingelina ny mahazatra. fandidiana. Ao amin'ny PowerDNS Recursor 4.2, toy ny amin'ny , Nesorina ny vahaolana hanohanana ireo mpizara manam-pahefana mamaly ny fangatahana amin'ny saina EDNS. Hatramin'izao, raha toa ka tsy nisy valiny taorian'ny fandefasana fangatahana miaraka amin'ny sainam-pirenena EDNS taorian'ny fe-potoana iray, dia nihevitra ny mpizara DNS fa tsy nanohana ny sainam-pirenena ary nandefa fangatahana faharoa tsy misy sainam-pirenena EDNS. Ity fihetsika ity dia efa voakilema ankehitriny satria io fehezan-dalàna io dia niteraka fahatarana bebe kokoa noho ny fandefasana indray ny fonosana, ny fitomboan'ny enta-mavesatry ny tambajotra ary ny tsy mazava rehefa tsy mamaly noho ny tsy fahombiazan'ny tambajotra, ary nanakana ny fampiharana ireo endri-javatra mifototra amin'ny EDNS toy ny DNS Cookies mba hiarovana amin'ny fanafihana DDoS.
Tapaka fa hatao amin’ny taona ho avy io ny hetsika natao hifantohana amin'ny miaraka amin'ny fizarazarana IP rehefa manodina hafatra DNS lehibe. Ao anatin'ny hetsika amboary ho 1200 bytes ny haben'ny buffer natokana ho an'ny EDNS, ary Ny fanodinana fangatahana amin'ny alàlan'ny TCP dia singa tsy maintsy ananana amin'ny mpizara. Ankehitriny dia ilaina ny fanohanana ny fanodinana fangatahana amin'ny alàlan'ny UDP, ary irina ny TCP, fa tsy ilaina amin'ny fandidiana (ny fenitra dia mitaky ny fahafahana manafoana ny TCP). Atolotra ny hanesorana ny safidy hanaisotra ny TCP amin'ny fenitra ary hanara-penitra ny fifindrana amin'ny fandefasana fangatahana amin'ny UDP mankany amin'ny fampiasana TCP raha toa ka tsy ampy ny haben'ny buffer EDNS napetraka.
Ny fanovana natolotra ho ampahany amin'ny hetsika dia hanafoana ny fisafotofotoana amin'ny fisafidianana ny haben'ny buffer EDNS ary hamaha ny olan'ny fizarazarana ny hafatra UDP lehibe, ny fanodinana izay matetika mitarika amin'ny fahaverezan'ny fonosana sy ny fe-potoana eo amin'ny lafiny mpanjifa. Amin'ny lafiny mpanjifa, ny haben'ny buffer EDNS dia tsy miova ary misy valiny lehibe halefa avy hatrany amin'ny mpanjifa amin'ny TCP. Ny fisorohana ny fandefasana hafatra lehibe amin'ny UDP dia ahafahanao manakana ihany koa noho ny fanapoizinana ny cache DNS, mifototra amin'ny fanodinkodinana ny fonosana UDP tapaka (rehefa mizara ho sombintsombiny, ny ampahany faharoa dia tsy ahitana lohapejy misy identifier, ka azo amboarina, izay ampy ho an'ny checksum ihany no mifanaraka) .
PowerDNS Recursor 4.2 dia mandray ny olana amin'ny fonosana UDP lehibe ary manova ny fampiasana ny haben'ny buffer EDNS (edns-outgoing-bufsize) amin'ny 1232 bytes, fa tsy ny fetra efa nampiasaina teo aloha 1680 bytes, izay tokony hampihena be ny mety ho very ny fonosana UDP. . Ny sanda 1232 dia nofinidy satria io no ambony indrindra amin'ny haben'ny valin'ny DNS, raha jerena ny IPv6, mifanaraka amin'ny sanda MTU kely indrindra (1280). Nihena ho 1232 ihany koa ny sandan'ny paramètre truncation-threshold, izay tompon'andraikitra amin'ny fanapahana ny valin'ny mpanjifa.
Fanovana hafa amin'ny PowerDNS Recursor 4.2:
- Fanampiana mekanika fanampiny (X-Proxied-For), izay mitovy amin'ny DNS amin'ny lohatenin'ny X-Forwarded-For HTTP, mamela ny fampahalalana momba ny adiresy IP sy ny laharan'ny seranan-tsambon'ny mpangataka tany am-boalohany mba halefa amin'ny alàlan'ny proxy mpanelanelana sy mpandrindra entana (toy ny dnsdist) . Mba ahafahan'ny XPF misy safidy ""Ary"";
- Fanohanana nohatsaraina ho an'ny fanitarana EDNS (ECS), izay ahafahanao mamindra amin'ny fanontaniana DNS amin'ny mpizara DNS manam-pahefana momba ny subnet izay nanapoizina ny fangatahana voalohany nampitaina teo amin'ny rojo (ny angon-drakitra momba ny subnet loharanon'ny mpanjifa dia ilaina amin'ny fampandehanana mahomby ny tambajotra fanaterana votoaty) . Ny famoahana vaovao dia manampy toe-javatra ho an'ny fanaraha-maso mifantina amin'ny fampiasana ny EDNS Client Subnet: "» miaraka amin'ny lisitry ny saron-tambajotra izay hampiasana ny IP amin'ny ECS amin'ny fangatahana mivoaka. Ho an'ny adiresy izay tsy tafiditra ao anatin'ny saron-tava voatondro, ny adiresy ankapobeny voalaza ao amin'ny torolàlana "". Amin'ny alàlan'ny torolàlana "» azonao atao ny mamaritra ny subnet izay tsy hosoloina ny fangatahana miditra miaraka amin'ny sanda ECS feno;
- Ho an'ny mpizara fanodinana fangatahana marobe isan-tsegondra (mihoatra ny 100 arivo), ny torolàlana "", izay mamaritra ny isan'ny kofehy handraisana fangatahana miditra sy hizarana izany eo amin'ny kofehy mpiasa (tsy misy dikany raha tsy mampiasa ny "").
- Fanampiana fanampiny hamaritana ny rakitrao manokana amin'ny sehatra ahafahan'ny mpampiasa misoratra anarana ny subdomain-ny, fa tsy ny lisitra namboarina ao amin'ny PowerDNS Recursor.
Ny tetikasa PowerDNS dia nanambara ihany koa ny hetsika ho amin'ny tsingerin'ny fampandrosoana enim-bolana, miaraka amin'ny famoahana lehibe manaraka ny PowerDNS Recursor 4.3 andrasana amin'ny Janoary 2020. Ny fanavaozana ho an'ny famoahana manan-danja dia hovolavolaina mandritra ny taona, ary aorian'izay dia havoaka mandritra ny enim-bolana hafa ny fanamboarana ny vulnerable. Noho izany, ny fanohanana ny sampana PowerDNS Recursor 4.2 dia haharitra hatramin'ny Janoary 2021. Nisy fiovana mitovitovy amin'ny tsingerin'ny fampandrosoana natao ho an'ny PowerDNS Authoritative Server, izay antenaina hamoaka 4.2 ato ho ato.
Ny endri-javatra lehibe amin'ny PowerDNS Recursor:
- Fitaovana fanangonana antontan'isa lavitra;
- Famerenana avy hatrany;
- Motera naorina ho an'ny fampifandraisana ireo mpitantana amin'ny fiteny Lua;
- Fanohanana feno DNSSEC sy ;
- Fanohanana ny RPZ (Faritra politika momba ny valinteny) sy ny fahafahana mamaritra lisitra mainty;
- Anti-spoofing mekanika;
- Fahaizana mirakitra ny valin'ny fanapahan-kevitra ho rakitra BIND zone.
- Mba hiantohana ny fampandehanana avo lenta dia ampiasaina amin'ny FreeBSD, Linux ary Solaris (kqueue, epoll, /dev/poll) ny mekanika fampifandraisana maoderina amin'ny fifandraisana maoderina, ary koa ny parser packet DNS manara-penitra izay afaka manodina fangatahana mifanitsy an'aliny.
Source: opennet.ru