Хоёр жилийн турш хөгжүүлсний дараа ISC консорциум нь BIND 9.18 DNS серверийн томоохон шинэ салбарын анхны тогтвортой хувилбарыг гаргалаа. 9.18 салбарын дэмжлэгийг өргөтгөсөн дэмжлэгийн мөчлөгийн хүрээнд 2 оны 2025-р улирал хүртэл гурван жилийн хугацаанд олгоно. 9.11-ийн салбарыг дэмжих нь 9.16-р сард, 2023-ийн салбарын дэмжлэг 9.19.0 оны дундуур дуусна. BIND-ийн дараагийн тогтвортой хувилбарын функцийг хөгжүүлэхийн тулд BIND XNUMX туршилтын салбарыг үүсгэсэн.
BIND 9.18.0 хувилбар нь HTTPS дээр DNS (DoH, HTTPS дээр DNS) болон TLS дээгүүр DNS (DoT, TLS дээгүүр DNS), мөн XoT (XFR-over-TLS) механизмыг дэмждэгээрээ онцлог юм. DNS контентыг аюулгүй дамжуулахад зориулагдсан.серверүүдийн хоорондох бүсүүд (XoT-ээр дамжуулан илгээх болон хүлээн авах бүсүүд дэмжигддэг). Тохиромжтой тохиргоог хийснээр нэг нэртэй процесс нь зөвхөн уламжлалт DNS асуулгад төдийгүй HTTPS-ээр DNS болон DNS-over-TLS ашиглан илгээсэн асуулгад үйлчлэх боломжтой болсон. DNS-over-TLS-ийн үйлчлүүлэгчийн дэмжлэгийг dig хэрэгсэлд суулгасан бөгөөд "+tls" тугийг зааж өгсөн үед TLS-ээр хүсэлт илгээхэд ашиглаж болно.
DoH-д хэрэглэгддэг HTTP/2 протоколын хэрэгжилт нь nghttp2 номын санг ашиглахад суурилдаг бөгөөд энэ нь нэмэлт угсралтын хамааралд багтсан болно. DoH болон DoT-ийн гэрчилгээг хэрэглэгч өгөх эсвэл эхлүүлэх үед автоматаар үүсгэж болно.
DoH болон DoT ашиглан хүсэлтийг боловсруулах нь "http" болон "tls" сонголтуудыг сонсох зааварт нэмснээр идэвхждэг. Шифрлэгдээгүй DNS-over-HTTP-г дэмжихийн тулд тохиргоон дотроос "tls none" гэж зааж өгөх хэрэгтэй. Түлхүүрүүд нь "tls" хэсэгт тодорхойлогддог. DoT-д зориулсан 853, DoH-д 443, HTTP-с хэтрүүлэх DNS-д зориулсан 80-ийн өгөгдмөл сүлжээний портуудыг tls-порт, https-порт болон http-портын параметрүүдээр дамжуулан дарж болно. Жишээлбэл:
tls local-tls { "/path/to/priv_key.pem" түлхүүр файл; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; сонголтууд { https-порт 443; сонсох боломжтой порт 443 tls local-tls http myserver {ямар ч;}; }
BIND дахь DoH-ийн хэрэгжилтийн нэг онцлог нь TLS сертификатыг өөр системд (жишээлбэл вэб сервер бүхий дэд бүтцэд) хадгалж, хадгалах нөхцөлд шаардлагатай байж болох TLS-ийн шифрлэлтийн ажиллагааг өөр сервер рүү шилжүүлэх чадвар юм. бусад ажилтнуудаар. Шифрлэгдээгүй DNS-over-HTTP-ийн дэмжлэгийг дибаг хийхийг хялбарчлах, дотоод сүлжээн дэх өөр сервер рүү дамжуулах давхарга болгон (шифрлэлтийг тусдаа сервер рүү шилжүүлэх) ашигладаг. Алсын сервер дээр nginx-ийг HTTPS холболтыг вэбсайтуудад хэрхэн зохион байгуулдагтай адил TLS урсгалыг үүсгэхэд ашиглаж болно.
Өөр нэг онцлог нь DoH-ийг ерөнхий тээвэрлэлт болгон нэгтгэх явдал бөгөөд үүнийг зөвхөн шийдвэрлэгч рүү илгээсэн үйлчлүүлэгчийн хүсэлтийг шийдвэрлэхэд төдийгүй сервер хооронд харилцах, эрх бүхий DNS серверээр бүсүүдийг шилжүүлэх, бусад DNS-ээр дэмжигдсэн асуултуудыг боловсруулахад ашиглаж болно. тээвэрлэдэг.
DoH/DoT ашиглан бүтээцийг идэвхгүй болгох эсвэл шифрлэлтийг өөр сервер рүү шилжүүлэх замаар нөхөж болох дутагдлуудын дунд кодын суурийн ерөнхий хүндрэл гарч ирдэг - суурилуулсан HTTP сервер болон TLS номын сан нэмэгдсэн бөгөөд үүнд агуулагдах боломжтой. эмзэг байдал, халдлагын нэмэлт вектор үүрэг гүйцэтгэдэг. Мөн DoH-г ашиглах үед замын хөдөлгөөн нэмэгддэг.
DNS-over-HTTPS нь үйлчилгээ үзүүлэгчийн DNS серверүүдээр дамжуулан хүссэн хостын нэрсийн талаарх мэдээлэл алдагдахаас урьдчилан сэргийлэх, MITM халдлага болон DNS траффикийг хууран мэхлэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), эсрэг тэмцэхэд тустай гэдгийг санацгаая. DNS түвшинд хаах (DNS-over-HTTPS нь DPI түвшинд хэрэгжсэн хориглолтыг тойрч гарахад VPN-г орлож чадахгүй) эсвэл DNS серверт шууд хандах боломжгүй үед (жишээлбэл, прокси ашиглан ажиллах үед) ажлыг зохион байгуулахад зориулагдсан. Хэрэв хэвийн нөхцөлд DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DNS-over-HTTPS-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS урсгалд багтааж, HTTP сервер рүү илгээдэг. Шийдвэрлэгч нь хүсэлтийг вэб API-ээр боловсруулдаг.
“TLS гаруй DNS” нь TLS/SSL сертификатаар баталгаажуулсан хостын хүчинтэй эсэхийг шалгах TLS протоколыг ашиглан зохион байгуулалттай шифрлэгдсэн холбооны сувагт ороосон стандарт DNS протоколыг (сүлжээний порт 853 ихэвчлэн ашигладаг) ашиглахдаа “HTTPS гаруй DNS”-ээс ялгаатай. баталгаажуулалтын байгууллагаас. Одоо байгаа DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Бусад шинэлэг зүйлүүд:
- TCP болон UDP-ээр хүсэлт илгээх болон хүлээн авахад хэрэглэгдэх буферийн хэмжээг тохируулахын тулд tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer, udp-send-buffer тохиргоог нэмсэн. Ачаалал ихтэй серверүүд дээр ирж буй буферийг нэмэгдүүлэх нь ачааллын оргил үед пакетуудыг унагаахаас зайлсхийхэд тусалдаг бөгөөд тэдгээрийг багасгах нь хуучин хүсэлтээр санах ойн бөглөрөлтөөс ангижрахад тусална.
- Шинэ бүртгэлийн ангилал "rpz-passthru" нэмэгдсэн бөгөөд энэ нь танд RPZ (Response Policy Zones) дамжуулах үйлдлийг тусад нь бүртгэх боломжийг олгодог.
- Хариулах бодлогын хэсэгт "nsdname-wait-recurse" сонголтыг нэмсэн бөгөөд "no" гэж тохируулсан тохиолдолд RPZ NSDNAME дүрмүүд нь зөвхөн кэшэд байгаа эрх бүхий нэрийн серверүүд хүсэлтэнд олдсон тохиолдолд хэрэгжинэ. RPZ NSDNAME дүрмийг үл тоомсорлодог боловч мэдээллийг цаана нь татаж авах бөгөөд дараагийн хүсэлтүүдэд хамаарна.
- HTTPS болон SVCB төрлийн бичлэгүүдийн хувьд "НЭМЭЛТ" хэсгийн боловсруулалтыг хэрэгжүүлсэн.
- SRV болон PTR бичлэгийн шинэчлэлтийг хязгаарлах боломжийг олгодог krb5-subdomain-self-rhs ба ms-subdomain-self-rhs гэсэн өөрчлөн шинэчлэх бодлогын дүрмийн төрлүүд нэмэгдсэн. Шинэчлэх бодлогын блокууд нь төрөл тус бүрээр тус тусад нь бичлэгийн тоонд хязгаарлалт тогтоох боломжийг нэмж өгдөг.
- Диг хэрэгслийн гаралтад тээврийн протокол (UDP, TCP, TLS, HTTPS) болон DNS64 угтваруудын талаарх мэдээллийг нэмсэн. Дибаг хийх зорилгоор dig нь тодорхой хүсэлтийн танигчийг (dig +qid=) зааж өгөх боломжийг нэмсэн. ).
- OpenSSL 3.0 номын сангийн дэмжлэгийг нэмсэн.
- DNS Flag Day 2020-оор тодорхойлсон том DNS мессежийг боловсруулах үед IP хуваагдалтай холбоотой асуудлыг шийдвэрлэхийн тулд хүсэлтэд хариу ирээгүй үед EDNS буферийн хэмжээг тохируулдаг кодыг шийдвэрлэгчээс устгасан. EDNS буферийн хэмжээг одоо бүх илгээсэн хүсэлтийн хувьд тогтмол (edns-udp-size) гэж тохируулсан.
- Бүтээлийн систем нь autoconf, automake болон libtool-ийн хослолыг ашиглахад шилжсэн.
- "Газрын зураг" формат (masterfile форматын газрын зураг) дахь бүсийн файлуудыг дэмжихээ больсон. Энэ форматын хэрэглэгчид нэртэй-compilezone хэрэглүүрийг ашиглан бүсүүдийг түүхий формат руу хөрвүүлэхийг зөвлөж байна.
- Хуучин DLZ (Динамикаар ачаалагдах бүс) драйверуудын дэмжлэгийг зогсоож, DLZ модулиар сольсон.
- Windows платформыг бүтээх, ажиллуулах дэмжлэгийг зогсоосон. Windows дээр суулгаж болох хамгийн сүүлийн салбар бол BIND 9.16.
Эх сурвалж: opennet.ru