වසර දෙකක සංවර්ධනයෙන් පසුව, ISC සමුහය විසින් BIND 9.18 DNS සේවාදායකයේ ප්රධාන නව ශාඛාවක පළමු ස්ථාවර නිකුතුව නිකුත් කර ඇත. 9.18 ශාඛාව සඳහා සහය දීර්ඝ කරන ලද ආධාරක චක්රයක කොටසක් ලෙස 2 2025 වන කාර්තුව දක්වා වසර තුනක් සඳහා සපයනු ලැබේ. 9.11 ශාඛාව සඳහා සහාය මාර්තු මාසයේදී අවසන් වන අතර 9.16 ශාඛාව සඳහා සහය 2023 මැද භාගයේදී අවසන් වේ. BIND හි මීළඟ ස්ථාවර අනුවාදයේ ක්රියාකාරීත්වය වර්ධනය කිරීම සඳහා, BIND 9.19.0 පර්යේෂණාත්මක ශාඛාවක් පිහිටුවා ඇත.
BIND 9.18.0 නිකුතුව HTTPS (DoH, DNS හරහා HTTPS) සහ DNS හරහා TLS (DoT, DNS over TLS) සඳහා සහය ක්රියාත්මක කිරීම සඳහා මෙන්ම XoT (XFR-over-TLS) යාන්ත්රණය සඳහා ක්රියාත්මක කිරීම කැපී පෙනේ. DNS අන්තර්ගතය ආරක්ෂිතව මාරු කිරීම සඳහා සේවාදායකයන් අතර කලාප (XoT හරහා යැවීම සහ ලැබීම යන කලාප දෙකම සහය දක්වයි). සුදුසු සිටුවම් සමඟින්, තනි නම් කරන ලද ක්රියාවලියකට දැන් සාම්ප්රදායික DNS විමසුම් පමණක් නොව, DNS-over-HTTPS සහ DNS-over-TLS භාවිතයෙන් යවන විමසුම්ද සේවය කළ හැක. DNS-over-TLS සඳහා සේවාලාභී සහාය ගොඩනඟා ඇත්තේ dig උපයෝගීතාවයට වන අතර, එය "+tls" ධජය සඳහන් කර ඇති විට TLS හරහා ඉල්ලීම් යැවීමට භාවිතා කළ හැක.
DoH හි භාවිතා වන HTTP/2 ප්රොටෝකෝලය ක්රියාත්මක කිරීම පදනම් වී ඇත්තේ nghttp2 පුස්තකාලයේ භාවිතය මත වන අතර එය විකල්ප එකලස් කිරීමේ පරායත්තතාවයක් ලෙස ඇතුළත් වේ. DoH සහ DoT සඳහා සහතික පරිශීලකයා විසින් සැපයිය හැකිය හෝ ආරම්භක වේලාවේදී ස්වයංක්රීයව උත්පාදනය කළ හැක.
DoH සහ DoT භාවිතයෙන් ඉල්ලීම් සැකසීම "http" සහ "tls" විකල්පයන් සවන්දීමේ විධානයට එක් කිරීමෙන් සබල කෙරේ. සංකේතනය නොකළ DNS-over-HTTP සඳහා සහය දැක්වීමට, ඔබ සැකසීම් තුළ “tls කිසිවක් නැත” සඳහන් කළ යුතුය. යතුරු "tls" කොටසේ අර්ථ දක්වා ඇත. DoT සඳහා පෙරනිමි ජාල වරායන් 853, DoH සඳහා 443 සහ DNS-over-HTTP සඳහා 80 tls-port, https-port සහ http-port පරාමිති හරහා අභිබවා යා හැක. උදාහරණ වශයෙන්:
tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; විකල්ප { https-port 443; සවන්දීමේ වරාය 443 tls local-tls http myserver {any;}; }
BIND හි DoH ක්රියාත්මක කිරීමේ එක් අංගයක් වන්නේ TLS සඳහා සංකේතාංකන මෙහෙයුම් වෙනත් සේවාදායකයකට ගෙනයාමේ හැකියාවයි, TLS සහතික වෙනත් පද්ධතියක (උදාහරණයක් ලෙස, වෙබ් සේවාදායකයන් සහිත යටිතල ව්යූහයක) ගබඩා කර පවත්වාගෙන යන තත්ත්වයන් තුළ අවශ්ය විය හැක. වෙනත් පුද්ගලයින් විසින්. සංකේතනය නොකළ DNS-over-HTTP සඳහා සහය දෝශ නිරාකරණය සරල කිරීමට සහ අභ්යන්තර ජාලයේ වෙනත් සේවාදායකයකට යොමු කිරීම සඳහා ස්ථරයක් ලෙස ක්රියාත්මක වේ (සංකේතනය වෙනම සේවාදායකයකට ගෙනයාම සඳහා). දුරස්ථ සේවාදායකයක, වෙබ් අඩවි සඳහා HTTPS බන්ධනය සංවිධානය කර ඇති ආකාරයටම, TLS ගමනාගමනය උත්පාදනය කිරීමට nginx භාවිතා කළ හැක.
තවත් විශේෂාංගයක් නම්, Resolver වෙත සේවාදායක ඉල්ලීම් හැසිරවීමට පමණක් නොව, සේවාදායකයන් අතර සන්නිවේදනය කිරීමේදී, බලයලත් DNS සේවාදායකයක් මඟින් කලාප මාරු කිරීමේදී සහ වෙනත් DNS විසින් සහාය දක්වන ඕනෑම විමසුමක් සැකසීමේදී භාවිත කළ හැකි සාමාන්ය ප්රවාහනයක් ලෙස DoH ඒකාබද්ධ කිරීමයි. ප්රවාහනය කරයි.
DoH/DoT සමඟ ගොඩනැගීම අක්රිය කිරීමෙන් හෝ සංකේතනය වෙනත් සේවාදායකයකට ගෙනයාමෙන් වන්දි ගෙවිය හැකි අඩුපාඩු අතර, කේත පදනමේ සාමාන්ය සංකූලතාව කැපී පෙනේ - බිල්ට් HTTP සේවාදායකයක් සහ TLS පුස්තකාලයක් එකතු කර ඇත, ඒවා අඩංගු විය හැකිය. අවදානම් සහ ප්රහාර සඳහා අතිරේක දෛශික ලෙස ක්රියා කරයි. එසේම, DoH භාවිතා කරන විට, තදබදය වැඩි වේ.
DNS-over-HTTPS සපයන්නන්ගේ DNS සේවාදායකයන් හරහා ඉල්ලුම් කරන ලද ධාරක නාම පිළිබඳ තොරතුරු කාන්දු වීම වැළැක්වීමට, MITM ප්රහාරවලට එරෙහිව සටන් කිරීමට සහ DNS මාර්ග තදබදයට එරෙහිව (උදාහරණයක් ලෙස, පොදු Wi-Fi වෙත සම්බන්ධ වන විට), ප්රති-HTTPS ප්රයෝජනවත් විය හැකි බව අපි සිහිපත් කරමු. DNS මට්ටමින් අවහිර කිරීම (ඩීපීඅයි මට්ටමින් ක්රියාත්මක කරන ලද අවහිර කිරීම් මඟ හැරීමේදී ඩීඑන්එස්-ඕවර්-එච්ටීටීපීඑස්ට වීපීඑන් ප්රතිස්ථාපනය කළ නොහැක) හෝ ඩීඑන්එස් සේවාදායකයන්ට කෙලින්ම ප්රවේශ වීමට නොහැකි විට වැඩ සංවිධානය කිරීම සඳහා (උදාහරණයක් ලෙස, ප්රොක්සියක් හරහා වැඩ කරන විට). සාමාන්ය තත්වයකදී DNS ඉල්ලීම් සෘජුවම පද්ධති වින්යාසය තුළ නිර්වචනය කර ඇති DNS සේවාදායකයන් වෙත යවනු ලැබුවහොත්, DNS-over-HTTPS වලදී ධාරක IP ලිපිනය තීරණය කිරීම සඳහා වන ඉල්ලීම HTTPS ගමනාගමනය තුළ කොටු කර HTTP සේවාදායකය වෙත යවනු ලැබේ. Resolver විසින් Web API හරහා ඉල්ලීම් සකසයි.
"DNS over TLS" සම්මත DNS ප්රොටෝකෝලය භාවිතයෙන් "DNS හරහා HTTPS" ට වඩා වෙනස් වේ (ජාල වරාය 853 සාමාන්යයෙන් භාවිතා වේ), TLS ප්රොටෝකෝලය භාවිතයෙන් සංවිධානය කරන ලද සංකේතාත්මක සන්නිවේදන නාලිකාවක ඔතා TLS/SSL සහතික හරහා ධාරක වලංගුභාවය පරීක්ෂා කරයි. සහතික කිරීමේ අධිකාරියක් මගින්. පවතින DNSSEC ප්රමිතිය සේවාලාභියා සහ සේවාදායකය සත්යාපනය කිරීමට පමණක් සංකේතනය භාවිතා කරයි, නමුත් බාධා කිරීම් වලින් ගමනාගමනය ආරක්ෂා නොකරන අතර ඉල්ලීම්වල රහස්යභාවය සහතික නොකරයි.
තවත් නවෝත්පාදන කිහිපයක්:
- TCP සහ UDP හරහා ඉල්ලීම් යැවීමේදී සහ ලැබීමේදී භාවිතා කරන බෆරවල ප්රමාණයන් සැකසීමට tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer සහ udp-send-buffer සැකසුම් එක් කරන ලදී. කාර්යබහුල සේවාදායකයන් මත, පැමිණෙන බෆර වැඩි කිරීම මාර්ග තදබදයේ දී පැකට් වැටීම වළක්වා ගැනීමට උපකාරී වන අතර, ඒවා අඩු කිරීම පැරණි ඉල්ලීම් සමඟ මතකය අවහිර වීමෙන් මිදීමට උපකාරී වේ.
- "rpz-passthru" නව ලොග් ප්රවර්ගයක් එක් කර ඇත, එය ඔබට RPZ (ප්රතිචාර ප්රතිපත්ති කලාප) යොමු කිරීමේ ක්රියා වෙන වෙනම ලොග් කිරීමට ඉඩ සලසයි.
- ප්රතිචාර-ප්රතිපත්ති කොටසේ, “nsdname-wait-recurse” විකල්පය එකතු කර ඇත, “නැත” ලෙස සකසා ඇති විට, RPZ NSDNAME රීති අදාළ වන්නේ ඉල්ලීම සඳහා හැඹිලියේ ඇති බලයලත් නාම සේවාදායකයන් හමු වුවහොත් පමණි, එසේ නොමැති නම් RPZ NSDNAME රීතිය නොසලකා හැර ඇත, නමුත් තොරතුරු පසුබිමෙන් ලබා ගන්නා අතර පසුව ඉල්ලීම් සඳහා අදාළ වේ.
- HTTPS සහ SVCB වර්ග සමඟ වාර්තා සඳහා, "අතිරේක" කොටස සැකසීම ක්රියාත්මක කර ඇත.
- අභිරුචි යාවත්කාලීන-ප්රතිපත්ති රීති වර්ග එකතු කරන ලදී - krb5-subdomain-self-rhs සහ ms-subdomain-self-rhs, ඔබට SRV සහ PTR වාර්තා යාවත්කාලීන කිරීම සීමා කිරීමට ඉඩ සලසයි. යාවත්කාලීන-ප්රතිපත්ති වාරණ මඟින් එක් එක් වර්ගය සඳහා තනි තනිව වාර්තා ගණනට සීමාවන් සැකසීමේ හැකියාව ද එක් කරයි.
- ප්රවාහන ප්රොටෝකෝලය (UDP, TCP, TLS, HTTPS) සහ DNS64 උපසර්ග පිළිබඳ තොරතුරු ඩිග් උපයෝගීතාවයේ ප්රතිදානයට එක් කරන ලදී. නිදොස් කිරීමේ අරමුණු සඳහා, විශේෂිත ඉල්ලීම් හඳුනාගැනීමක් නියම කිරීමේ හැකියාව dig එකතු කර ඇත (dig +qid= )
- OpenSSL 3.0 පුස්තකාලය සඳහා සහය එක් කරන ලදී.
- DNS ධජ දිනය 2020 විසින් හඳුනාගත් විශාල DNS පණිවිඩ සැකසීමේදී IP ඛණ්ඩනය පිළිබඳ ගැටළු විසඳීම සඳහා, ඉල්ලීමකට ප්රතිචාරයක් නොමැති විට EDNS බෆර ප්රමාණය සීරුමාරු කරන කේතය නිරාකරණයෙන් ඉවත් කර ඇත. සියලුම පිටතට යන ඉල්ලීම් සඳහා EDNS බෆර ප්රමාණය දැන් නියත (edns-udp-size) ලෙස සකසා ඇත.
- ගොඩනැගීමේ පද්ධතිය autoconf, automake සහ libtool යන සංයෝග භාවිතා කිරීමට මාරු කර ඇත.
- "සිතියම" ආකෘතියේ (masterfile-format map) කලාප ගොනු සඳහා සහාය අත්හිටුවා ඇත. මෙම ආකෘතිය භාවිතා කරන්නන් නම් කරන ලද-compilezone උපයෝගීතාව භාවිතයෙන් කලාප අමු ආකෘතියට පරිවර්තනය කිරීමට නිර්දේශ කරනු ලැබේ.
- DLZ මොඩියුල මගින් ප්රතිස්ථාපනය කරන ලද පැරණි DLZ (ගතිකව පූරණය කළ හැකි කලාප) ධාවක සඳහා වන සහාය අත්හිටුවා ඇත.
- වින්ඩෝස් වේදිකාව සඳහා ගොඩ නැගීම සහ ධාවනය කිරීම අත්හිටුවා ඇත. වින්ඩෝස් මත ස්ථාපනය කළ හැකි අවසාන ශාඛාව BIND 9.16 වේ.
මූලාශ්රය: opennet.ru