Bir yarim yillik rivojlanishdan keyin keshlash DNS serverini chiqarish , rekursiv nom konvertatsiya qilish uchun javobgardir. PowerDNS Recursor PowerDNS Authoritative Server bilan bir xil kod bazasida qurilgan, ammo PowerDNS rekursiv va vakolatli DNS serverlari turli ishlab chiqish davrlari orqali ishlab chiqiladi va alohida mahsulotlar sifatida chiqariladi. Loyiha kodi GPLv2 ostida litsenziyalangan.
Yangi versiya EDNS bayroqlari bilan DNS paketlarini qayta ishlash bilan bog'liq barcha muammolarni bartaraf qiladi. 2016 yilgacha PowerDNS Recursorning eski versiyalarida eski formatda javob yubormasdan, qo'llab-quvvatlanmaydigan EDNS bayroqlari bo'lgan paketlarga e'tibor bermaslik, spetsifikatsiya talab qilganidek, EDNS bayroqlarini olib tashlash amaliyoti mavjud edi. Ilgari, bu nostandart xatti-harakatlar BIND-da vaqtinchalik hal qilish shaklida qo'llab-quvvatlangan, ammo bu doirada fevral tashabbuslari , DNS server ishlab chiquvchilari bu buzishdan voz kechishga qaror qilishdi.
PowerDNS-da EDNS bilan paketlarni qayta ishlashdagi asosiy muammolar 2017-yilda 4.1-versiyasida bartaraf etilgan va 2016-yilda chiqarilgan 4.0 filialida ma'lum bir sharoitda yuzaga keladigan va umuman, normal holatga xalaqit bermaydigan individual nomuvofiqliklar paydo bo'ldi. operatsiya. PowerDNS Recursor 4.2 da, xuddi shunday , EDNS bayroqlari bilan so'rovlarga noto'g'ri javob beradigan vakolatli serverlarni qo'llab-quvvatlash uchun vaqtinchalik echimlar olib tashlandi. Hozirgacha, agar EDNS bayroqlari bilan so'rov yuborilgandan so'ng, ma'lum vaqtdan keyin javob bo'lmasa, DNS server kengaytirilgan bayroqlar qo'llab-quvvatlanmaydi deb taxmin qildi va EDNS bayroqlarisiz ikkinchi so'rov yubordi. Ushbu xatti-harakat endi o'chirib qo'yildi, chunki bu kod paketlarni qayta uzatish tufayli kechikishning oshishiga olib keldi, tarmoqdagi nosozliklar tufayli javob bermayotganda tarmoq yuklanishi va noaniqlik paydo bo'ldi va DDoS hujumlaridan himoya qilish uchun DNS Cookie-fayllari kabi EDNS-ga asoslangan xususiyatlarni amalga oshirishga to'sqinlik qildi.
Tadbirni kelgusi yilda o‘tkazishga qaror qilindi e'tiborni qaratish uchun mo'ljallangan katta DNS xabarlarini qayta ishlashda IP parchalanishi bilan. Tashabbusning bir qismi sifatida EDNS uchun tavsiya etilgan bufer o'lchamlarini 1200 baytgacha o'rnating va TCP orqali so'rovlarni qayta ishlash serverlarda bo'lishi kerak bo'lgan xususiyatdir. Endi so'rovlarni UDP orqali qayta ishlashni qo'llab-quvvatlash talab qilinadi va TCP ma'qul, lekin ishlash uchun talab qilinmaydi (standart TCP-ni o'chirish qobiliyatini talab qiladi). Belgilangan EDNS buferining hajmi etarli bo'lmagan hollarda TCP ni standartdan o'chirish variantini olib tashlash va so'rovlarni UDP orqali yuborishdan TCP dan foydalanishga o'tishni standartlashtirish taklif etiladi.
Tashabbusning bir qismi sifatida taklif qilingan o'zgarishlar EDNS bufer hajmini tanlashda chalkashliklarni bartaraf qiladi va katta UDP xabarlarining parchalanishi muammosini hal qiladi, ularni qayta ishlash ko'pincha paketlarning yo'qolishiga va mijoz tomonida kutish vaqtiga olib keladi. Mijoz tomonida EDNS bufer hajmi doimiy bo'ladi va katta javoblar TCP orqali mijozga darhol yuboriladi. UDP orqali katta hajmdagi xabarlarni yuborishdan qochish ham blokirovka qilishga imkon beradi parchalangan UDP paketlarini manipulyatsiya qilish asosida DNS keshini zaharlash uchun (bo'laklarga bo'linganda, ikkinchi fragment identifikatorli sarlavhani o'z ichiga olmaydi, shuning uchun uni qalbakilashtirish mumkin, buning uchun faqat nazorat summasining mos kelishi uchun kifoya qiladi) .
PowerDNS Recursor 4.2 katta UDP paketlari bilan bog'liq muammolarni hisobga oladi va ilgari ishlatilgan 1232 bayt chegarasi o'rniga 1680 baytlik EDNS bufer hajmidan (edns-outgoing-bufsize) foydalanishga o'tadi, bu UDP paketlarini yo'qotish ehtimolini sezilarli darajada kamaytiradi. . 1232 qiymati tanlangan, chunki u IPv6 ni hisobga olgan holda DNS javobining o'lchami minimal MTU qiymatiga (1280) mos keladigan maksimal qiymatdir. Mijozga javoblarni kesish uchun mas'ul bo'lgan kesish chegarasi parametrining qiymati ham 1232 ga qisqartirildi.
PowerDNS Recursor 4.2 dagi boshqa o'zgarishlar:
- Qo'shilgan mexanizmni qo'llab-quvvatlash (X-Proxied-For), bu X-Forwarded-For HTTP sarlavhasining DNS ekvivalenti boʻlib, asl soʻrovchining IP manzili va port raqami haqidagi maʼlumotlarni oraliq proksi-serverlar va yuk balanslagichlari (masalan, dnsdist) orqali yoʻnaltirishga imkon beradi. . XPFni yoqish uchun variantlar mavjud ""Va"";
- EDNS kengaytmasini qo'llab-quvvatlash yaxshilandi (ECS), bu sizga DNS so'rovlarini vakolatli DNS serveriga zanjir bo'ylab uzatilgan dastlabki so'rov zaharlangan quyi tarmoq haqidagi ma'lumotlarni uzatish imkonini beradi (mijozning manba quyi tarmog'i haqidagi ma'lumotlar kontentni etkazib berish tarmoqlarining samarali ishlashi uchun zarur). . Yangi nashr EDNS Client Subnet-dan foydalanish ustidan tanlab boshqarish uchun sozlamalarni qo'shadi: "» chiquvchi so‘rovlarda ECS da IP foydalaniladigan tarmoq maskalari ro‘yxati bilan. Belgilangan maskalarga kirmaydigan manzillar uchun direktivada ko'rsatilgan umumiy manzil "". Direktiv orqali"» siz to'ldirilgan ECS qiymatlari bilan kiruvchi so'rovlar almashtirilmaydigan quyi tarmoqlarni belgilashingiz mumkin;
- Bir soniyada ko'p sonli so'rovlarni qayta ishlaydigan serverlar uchun (100 mingdan ortiq), direktiv "", bu kiruvchi so'rovlarni qabul qilish va ularni ishchi oqimlari o'rtasida taqsimlash uchun mavzular sonini aniqlaydi (faqat "" dan foydalanganda mantiqiy bo'ladi.").
- Qo'shilgan sozlama bilan o'z faylingizni belgilash uchun PowerDNS Recursor-ga o'rnatilgan ro'yxat o'rniga foydalanuvchilar o'zlarining subdomenlarini ro'yxatdan o'tkazishlari mumkin bo'lgan domenlar.
PowerDNS loyihasi, shuningdek, PowerDNS Recursor 4.3 ning navbatdagi yirik nashri 2020-yil yanvar oyida kutilayotgan olti oylik rivojlanish tsikliga o‘tishni e’lon qildi. Muhim relizlar uchun yangilanishlar yil davomida ishlab chiqiladi, shundan so'ng zaifliklarni tuzatish yana olti oyga chiqariladi. Shunday qilib, PowerDNS Recursor 4.2 filialini qo'llab-quvvatlash 2021 yil yanvarigacha davom etadi. Yaqin kelajakda 4.2 versiyasini chiqarishi kutilayotgan PowerDNS Authoritative Server uchun shunga o'xshash rivojlanish tsikli o'zgarishlari amalga oshirildi.
PowerDNS Rekursorining asosiy xususiyatlari:
- Statistik ma'lumotlarni masofadan yig'ish uchun vositalar;
- Darhol qayta ishga tushirish;
- Lua tilida ishlov beruvchilarni ulash uchun o'rnatilgan dvigatel;
- To'liq DNSSEC qo'llab-quvvatlash va ;
- RPZ (Response Policy Zones) va qora ro'yxatlarni aniqlash qobiliyatini qo'llab-quvvatlash;
- Spoofingga qarshi mexanizmlar;
- Ruxsat natijalarini BIND zonasi fayllari sifatida yozib olish imkoniyati.
- Yuqori unumdorlikni ta'minlash uchun FreeBSD, Linux va Solaris dasturlarida (kqueue, epoll, /dev/poll) zamonaviy ulanishni multiplekslash mexanizmlari, shuningdek, o'n minglab parallel so'rovlarni qayta ishlashga qodir bo'lgan yuqori samarali DNS paket tahlilchisi qo'llaniladi.
Manba: opennet.ru