Објавување на иницијативата PowerDNS Recursor 4.2 и DNS знаменце ден 2020 година

По година и пол развој презентирани ослободување на кеширање DNS сервер Ресурс на PowerDNS 4.2, одговорен за рекурзивна конверзија на името. Рекурзорот PowerDNS е изграден на истата база на кодови како и PowerDNS авторитативниот сервер, но PowerDNS рекурзивните и авторитативните DNS сервери се развиваат преку различни развојни циклуси и се издаваат како посебни производи. Код на проектот дистрибуирани од лиценцирана според GPLv2.

Новата верзија ги елиминира сите проблеми поврзани со обработката на DNS-пакети со знаменца EDNS. Постарите верзии на PowerDNS Recursor пред 2016 година имаа практика да игнорираат пакети со неподдржани EDNS знаменца без да испраќаат одговор во стариот формат, отфрлајќи ги ознаките EDNS како што се бара со спецификацијата. Претходно, ова нестандардно однесување беше поддржано во BIND во форма на заобиколување, но во рамките на спроведена во февруари иницијативи Ден на знамето на DNS, развивачите на DNS сервери решија да го напуштат овој хакирање.

Во PowerDNS, главните проблеми во обработката на пакетите со EDNS беа елиминирани уште во 2017 година во изданието 4.1, а во гранката 2016 објавена во 4.0 година, се појавија индивидуални некомпатибилности кои се појавуваат под одреден сет на околности и, генерално, не се мешаат во нормалното операција. Во PowerDNS Recursor 4.2, како во ЛИНГ 9.14, Отстранети се заобиколните решенија за поддршка на авторитативни сервери кои неправилно одговараат на барањата со ознаки EDNS. Досега, ако по испраќањето на барање со знаменца EDNS немаше одговор по одреден временски период, DNS-серверот претпоставуваше дека продолжените знаменца не се поддржани и испрати второ барање без знаменца EDNS. Ова однесување сега е оневозможено бидејќи овој код резултираше со зголемена доцнење поради реемитување пакети, зголемено оптоварување на мрежата и нејаснотија кога не реагира поради дефекти на мрежата и спречи имплементација на функции базирани на EDNS како што се колачиња DNS за заштита од DDoS напади.

Одлучено е настанот да се одржи следната година Ден на знамето на DNS 2020 годинадизајниран да го фокусира вниманието на Одлуката проблеми со фрагментација на IP при обработка на големи DNS пораки. Како дел од иницијативата планирани поправете ги препорачаните големини на баферот за EDNS на 1200 бајти и преведе Обработката на барањата преку TCP е задолжителна карактеристика на серверите. Сега е потребна поддршка за обработка на барања преку UDP, а TCP е пожелен, но не е потребен за работа (стандардот бара можност за оневозможување на TCP). Се предлага да се отстрани опцијата за оневозможување на TCP од стандардот и да се стандардизира преминот од испраќање барања преку UDP кон користење на TCP во случаи кога утврдената големина на баферот EDNS не е доволна.

Промените предложени како дел од иницијативата ќе ја елиминираат конфузијата со изборот на големината на баферот EDNS и ќе го решат проблемот со фрагментација на големи UDP пораки, чија обработка често води до губење на пакети и истекувања на клиентската страна. На страната на клиентот, големината на баферот EDNS ќе биде константна и големите одговори ќе бидат испратени веднаш до клиентот преку TCP. Избегнувањето испраќање големи пораки преку UDP исто така ќе ви овозможи да блокирате напади за труење на кешот на DNS, врз основа на манипулација со фрагментирани UDP пакети (кога се дели на фрагменти, вториот фрагмент не вклучува заглавие со идентификатор, така што може да се фалсификува, за што е доволно само контролната сума да се совпадне) .

PowerDNS Recursor 4.2 ги зема предвид проблемите со големи UDP пакети и префрла на користење на големината на баферот EDNS (edns-outgoing-bufsize) од 1232 бајти, наместо претходно користената граница од 1680 бајти, што би требало значително да ја намали веројатноста за губење UDP пакети . Вредноста 1232 е избрана затоа што тоа е максимумот во кој големината на одговорот на DNS, земајќи го предвид IPv6, се вклопува во минималната вредност на MTU (1280). Вредноста на параметарот на праг на скратување, кој е одговорен за отсекување на одговорите на клиентот, исто така е намалена на 1232.

Други промени во PowerDNS Recursor 4.2:

• Додадена е поддршка за механизмот XPF (X-Proxied-For), што е еквивалент на DNS на заглавието X-Forwarded-For HTTP, овозможувајќи информации за IP адресата и бројот на портата на оригиналниот барател да се препраќаат преку посредни прокси и балансери на оптоварување (како што е dnsdist) . За да се овозможи XPF има опции "xpf-дозволи-од"И"xpf-rr-код";
• Подобрена поддршка за EDNS екстензија Подмрежа на клиентот (ECS), кој ви овозможува да пренесувате во DNS-прашања до авторитетен DNS-сервер информации за подмрежата од која е отруено првичното барање пренесено по синџирот (податоците за изворната подмрежа на клиентот се неопходни за ефективно функционирање на мрежите за испорака на содржина) . Новото издание додава поставки за селективна контрола врз користењето на EDNS Client Subnet: "ecs-add-for» со листа на мрежни маски за кои IP ќе се користи во ECS при појдовни барања. За адреси кои не спаѓаат во наведените маски, општата адреса наведена во директивата "ecs-scope-zero-address“. Преку директивата“use-incoming-edns-subnet» можете да дефинирате подмрежи од кои нема да се заменат дојдовните барања со пополнети ECS вредности;
• За сервери кои обработуваат голем број барања во секунда (повеќе од 100 илјади), директивата „дистрибутер-нишки", што го одредува бројот на нишки за примање дојдовни барања и нивно дистрибуирање помеѓу работните нишки (има смисла само кога се користи "pdns-distributes-queries=да").
• Додадена поставка јавно-суфикс-листа-датотека да дефинирате своја сопствена датотека со листа на јавни суфикси домени во кои корисниците можат да ги регистрираат своите поддомени, наместо списокот вграден во PowerDNS Recursor.

Проектот PowerDNS, исто така, најави преместување во шестмесечен развојен циклус, со следното големо издание на PowerDNS Recursor 4.3 кое се очекува во јануари 2020 година. Ажурирањата за значајните изданија ќе се развиваат во текот на годината, по што поправките на ранливоста ќе бидат објавени уште шест месеци. Така, поддршката за гранката PowerDNS Recursor 4.2 ќе трае до јануари 2021 година. Слични промени во развојниот циклус се направени за PowerDNS Autoritative Server, кој се очекува да го објави 4.2 во блиска иднина.

Главни карактеристики на PowerDNS Recursor:

• Алатки за далечинско собирање статистика;
• Инстант рестартирање;
• Вграден мотор за поврзување на ракувачи на јазикот Луа;
• Целосна поддршка за DNSSEC и DNS64;
• Поддршка за RPZ (Response Policy Zones) и можност за дефинирање црни листи;
• Механизми против измама;
• Способност за снимање резултати од резолуција како датотеки со BIND зона.
• За да се обезбедат високи перформанси, се користат модерни механизми за мултиплексирање на поврзување во FreeBSD, Linux и Solaris (kqueue, epoll, /dev/poll), како и парсер на пакети DNS со високи перформанси, способен да обработува десетици илјади паралелни барања.

Извор: opennet.ru