د دوه کلونو پراختیا وروسته، د ISC کنسورشیم د BIND 9.18 DNS سرور د یوې لویې نوې څانګې لومړنۍ باثباته خپرونه خپره کړه. د 9.18 څانګې لپاره مالتړ به د 2 کال تر 2025nd ربع پورې د دریو کلونو لپاره د تمدید شوي ملاتړ دورې برخې په توګه چمتو شي. د 9.11 څانګې لپاره ملاتړ به د مارچ په میاشت کې پای ته ورسیږي، او د 9.16 په مینځ کې به د 2023 څانګې لپاره مالتړ وکړي. د BIND د راتلونکي باثباته نسخې د فعالیت د پراختیا لپاره، د BIND 9.19.0 تجربوي څانګه جوړه شوې ده.
د BIND 9.18.0 خوشې کول د HTTPS (DoH، DNS په HTTPS کې) او DNS په TLS (DoT، DNS په TLS)، او همدارنګه د XoT (XFR-over-TLS) میکانیزم لپاره د DNS لپاره د ملاتړ پلي کولو لپاره د پام وړ دي. د DNS مینځپانګې خوندي لیږد لپاره د سرورونو ترمینځ زونونه (د XoT له لارې د لیږلو او ترلاسه کولو زونونه ملاتړ کیږي). د مناسبو ترتیباتو سره، یو واحد نومول شوی پروسه اوس نه یوازې د دودیزو DNS پوښتنو خدمت کولی شي، بلکې د DNS-over-HTTPS او DNS-over-TLS په کارولو سره لیږل شوي پوښتنې هم. د DNS-over-TLS لپاره د پیرودونکي ملاتړ د ډیګ یوټیلیټ کې رامینځته شوی ، کوم چې د TLS څخه غوښتنې لیږلو لپاره کارول کیدی شي کله چې "+tls" بیرغ مشخص شوی وي.
د HTTP/2 پروتوکول پلي کول چې په DoH کې کارول کیږي د nghttp2 کتابتون کارولو پراساس دی، کوم چې د اختیاري اسمبلۍ انحصار په توګه شامل دی. د DoH او DoT لپاره سندونه د کارونکي لخوا چمتو کیدی شي یا په اوتومات ډول د پیل په وخت کې رامینځته کیږي.
د DoH او DoT په کارولو سره د غوښتنې پروسس کول د اوریدلو لارښود ته د "http" او "tls" اختیارونو اضافه کولو سره فعال شوي. د غیر کوډ شوي DNS-over-HTTP ملاتړ لپاره، تاسو باید په ترتیباتو کې "tls none" مشخص کړئ. کلیدونه په "tls" برخه کې تعریف شوي. د ډیفالټ شبکې بندرونه د DoT لپاره 853، د DoH لپاره 443 او د DNS-over-HTTP لپاره 80 د tls-port، https-port او http-port پیرامیټونو له لارې بیرته راګرځیدلی شي. د مثال په ډول:
tls local-tls { key-file "/path/to/priv_key.pem"; د سند فایل "/path/to/cert_chain.pem"; }; http local-http-server { پای ټکی { "/dns-query"; }; }; اختیارونه { https-port 443; د اوریدلو پر بندر 443 tls local-tls http myserver {any;}; }
په BIND کې د DoH تطبیق یوه ځانګړتیا د TLS لپاره د کوډ کولو عملیات بل سرور ته لیږدولو وړتیا ده، کوم چې ممکن په داسې شرایطو کې اړین وي چیرې چې د TLS سندونه په بل سیسټم کې زیرمه شوي وي (د مثال په توګه، د ویب سرورونو سره زیربنا کې) او ساتل کیږي. د نورو پرسونل لخوا. د غیر کوډ شوي DNS-over-HTTP لپاره ملاتړ د ډیبګ کولو ساده کولو او په داخلي شبکه کې بل سرور ته د لیږلو لپاره د یوې پرت په توګه پلي کیږي (بل سرور ته د کوډ کولو حرکت کولو لپاره). په ریموټ سرور کې، nginx د TLS ټرافیک تولید لپاره کارول کیدی شي، ورته ورته چې څنګه د ویب پاڼې لپاره HTTPS پابند تنظیم کیږي.
بله ځانګړتیا د عمومي ټرانسپورټ په توګه د DoH ادغام دی چې نه یوازې د حل کونکي ته د پیرودونکي غوښتنې اداره کولو لپاره کارول کیدی شي ، بلکه کله چې د سرورونو ترمینځ اړیکه نیول کیږي ، کله چې د مستند DNS سرور لخوا زونونه لیږدول کیږي ، او کله چې د نورو DNS لخوا ملاتړ شوي پوښتنې پروسس کیږي. ټرانسپورټ
د نیمګړتیاوو په مینځ کې چې د DoH/DoT سره د جوړونې غیر فعال کولو یا بل سرور ته د کوډ کولو په لیږدولو سره جبران کیدی شي ، د کوډ بیس عمومي پیچلتیا څرګندیږي - یو جوړ شوی HTTP سرور او TLS کتابتون اضافه شوي ، کوم چې ممکن احتمال ولري زیانمنونکي او د بریدونو لپاره د اضافي ویکتورونو په توګه عمل کوي. همدارنګه، کله چې د DoH کاروئ، ټرافیک زیاتیږي.
راځئ چې یادونه وکړو چې DNS-over-HTTPS کولی شي د وړاندیز کونکو DNS سرورونو له لارې د غوښتل شوي کوربه نومونو په اړه د معلوماتو لیک کیدو مخنیوي لپاره ګټور وي ، د MITM بریدونو سره مبارزه او د DNS ترافیک سپوفینګ (د مثال په توګه ، کله چې د عامه Wi-Fi سره وصل کیږي) ، مبارزه کول. د DNS په کچه بلاک کول (DNS-over-HTTPS نشي کولی د VPN ځای په ځای کړي د DPI په کچه پلي شوي بلاک کولو بای پاس کولو کې) یا د کار تنظیم کولو لپاره کله چې مستقیم DNS سرورونو ته لاسرسی ناممکن وي (د مثال په توګه ، کله چې د پراکسي له لارې کار کول). که په نورمال حالت کې د DNS غوښتنې په مستقیم ډول د سیسټم ترتیب کې تعریف شوي DNS سرورونو ته لیږل کیږي ، نو د DNS-over-HTTPS په حالت کې د کوربه IP پتې ټاکلو غوښتنه د HTTPS ترافیک کې پوښل شوې او HTTP سرور ته لیږل کیږي ، چیرې چې حل کونکی د ویب API له لارې غوښتنې پروسس کوي.
"DNS په TLS" د معیاري DNS پروتوکول (د شبکې پورټ 853 معمولا کارول کیږي) په کارولو کې د "DNS په پرتله HTTPS" سره توپیر لري ، د TLS/SSL تصدیق شوي تصدیق شوي تصدیق شوي TLS پروتوکول سره د کوربه اعتبار چیک کولو سره د TLS پروتوکول په کارولو سره تنظیم شوي کوډ شوي ارتباطي چینل کې پوښل شوي. د تصدیق کولو ادارې لخوا. د DNSSEC اوسنی معیار یوازې د پیرودونکي او سرور تصدیق کولو لپاره کوډ کول کاروي ، مګر ترافیک د مداخلې څخه نه ساتي او د غوښتنو محرمیت تضمین نه کوي.
ځینې نور نوښتونه:
- د TCP-receive-buffer، tcp-send-buffer، udp-receive-buffer او udp-send-buffer ترتیبات اضافه شوي ترڅو د بفرونو اندازې تنظیم کړي کله چې د TCP او UDP څخه غوښتنې لیږلو او ترلاسه کولو کې کارول کیږي. په مصروف سرورونو کې، د راتلونکو بفرونو زیاتوالی به د ټرافیک لوړوالی په جریان کې د پاکټونو له مینځه وړلو کې مرسته وکړي، او د دوی کمول به د زړو غوښتنو سره د حافظې بندیدو څخه خلاصون کې مرسته وکړي.
- د نوي لاګ کټګورۍ "rpz-pasthru" اضافه شوې، کوم چې تاسو ته اجازه درکوي په جلا توګه د RPZ (د غبرګون پالیسۍ زونونو) د لیږلو عملونو ته ننوتل.
- د ځواب پالیسي برخه کې، د "nsdname-wait-recurse" اختیار اضافه شوی، کله چې "نه" ته ټاکل کیږي، د RPZ NSDNAME قواعد یوازې هغه وخت پلي کیږي چې په زیرمه کې موجود مستند نوم سرورونه د غوښتنې لپاره وموندل شي، که نه د RPZ NSDNAME قاعده له پامه غورځول شوې، مګر معلومات په شالید کې ترلاسه کیږي او په راتلونکو غوښتنو باندې تطبیق کیږي.
- د HTTPS او SVCB ډولونو سره د ریکارډونو لپاره، د "اضافي" برخې پروسس کول پلي شوي.
- د دودیز تازه کولو پالیسي قاعدې ډولونه اضافه شوي - krb5-subdomain-self-rhs او ms-subdomain-self-rhs، کوم چې تاسو ته اجازه درکوي د SRV او PTR ریکارډونو تازه کول محدود کړئ. د تازه پالیسي بلاکونه د هر ډول لپاره انفرادي د ریکارډونو شمیر محدودولو وړتیا هم اضافه کوي.
- د ټرانسپورټ پروتوکول (UDP, TCP, TLS, HTTPS) او DNS64 مخکینیو په اړه معلومات د ډیګ افادیت محصول ته اضافه شوي. د ډیبګ کولو موخو لپاره، dig د ځانګړي غوښتنې پیژندونکي مشخص کولو وړتیا اضافه کړې (dig +qid= ).
- د OpenSSL 3.0 کتابتون لپاره ملاتړ اضافه شوی.
- د IP ټوټې کولو مسلو حل کولو لپاره کله چې د DNS پرچم ورځې 2020 لخوا پیژندل شوي لوی DNS پیغامونو پروسس کولو کې ، کوډ چې د EDNS بفر اندازه تنظیموي کله چې غوښتنې ته ځواب نه وي د حل کونکي څخه لرې شوی وي. د EDNS بفر اندازه اوس د ټولو وتلو غوښتنو لپاره ثابت (edns-udp-size) ته ټاکل شوې ده.
- د جوړونې سیسټم د Autoconf، automake او libtool ترکیب کارولو ته بدل شوی.
- د "نقشې" ب formatه کې د زون فایلونو لپاره ملاتړ (د ماسټر فایل فارمیټ نقشه) بند شوی. د دې فارمیټ کاروونکو ته سپارښتنه کیږي چې زونونه د نوم شوي کمپائل زون افادیت په کارولو سره خام شکل ته واړوي.
- د زړو DLZ (متحرک بار وړ وړ زونونو) ډرایورانو لپاره ملاتړ بند شوی ، د DLZ ماډلونو لخوا ځای په ځای شوی.
- د وینډوز پلیټ فارم لپاره ملاتړ جوړول او چلول بند شوي. وروستۍ څانګه چې په وینډوز کې نصب کیدی شي BIND 9.16 دی.
سرچینه: opennet.ru