The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск DNS-сервера KnotDNS 3.0.0

09.09.2020 21:39

Опубликован релиз KnotDNS 3.0.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC, написан на языке Си и распространяется под лицензией GPLv3.

KnotDNS отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).

В новом выпуске:

  • Добавлен высокопроизводительный сетевой режим, реализованный с использованием подсистемы XDP (eXpress Data Path), предоставляющей средства для обработки пакетов на уровне сетевого драйвера на стадии до обработки сетевым стеком ядра Linux. Для использования режима требуется ядро Linux 4.18 и новее.
  • Добавлена поддержка каталога зон ("Catalog Zones"), упрощающего поддержание вторичных DNS-серверов. При включении данной возможности вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача каталога зон, после чего заводимые на первичном сервере зоны, помеченные как входящие в каталог, будут автоматически создаваться на вторичном сервере без необходимости правки файлов конфигурации. Для управления каталогом предложена утилита kcatalogprint.
  • Добавлен новый режим проверки DNSSEC.
  • Добавлена утилита kzonesign для ручного формирования цифровых подписей для DNSSEC.
  • Добавлена утилита kxdpgun с реализацией высокопроизводительного генератора трафика "DNS поверх UDP" для Linux.
  • В kdig добавлена поддержка DNS поверх HTTPS (DoH), реализованная при помощи GnuTLS и libnghttp2.
  • В режиме ручного управления ключами DNSSEC добавлена поддержка статуса отзыва ключей KSK (Key Signing Key) (RFC 5011).
  • Добавлена поддержка детерминированного формирования цифровых подписей с использованием алгоритмов ECDSA (для работы требуется GnuTLS 3.6.10 и новее).
  • Предложен безопасный способ резервного копирования и восстановления данных DNS-зон.
  • Значительно повышена производительность модуля "statistics".
  • При включении многопоточного режима формирования цифровых подписей для DNS-зон обеспечено распараллеливания некоторых дополнительных операций с зонами.
  • Улучшена эффективность кэширования и повышена производительность обработки запросов.


  1. Главная ссылка к новости (https://www.knot-dns.cz/2020-0...)
  2. OpenNews: Выпуск DNS-сервера BIND 9.16.0
  3. OpenNews: Выпуск DNS-сервера KnotDNS 2.9.0
  4. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
  5. OpenNews: DNS Push-уведомления получили статус предложенного стандарта
  6. OpenNews: Почти половина трафика на корневые DNS-серверы вызвана активностью Chromium
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53683-knot
Ключевые слова: knot, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:43, 09/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    С его помощью можно развернуть локальный DNS с полной базой ip-домен?
     
     
  • 2.2, Аноним (2), 21:46, 09/09/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В мире не существует DNS сервера с полной базой ip-домен. DNS работает не так.
     
     
  • 3.15, aa (?), 08:49, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а кто мне помешает забить в базу 4 миллиарда айпишников и прописать каждому демен?
     
     
  • 4.17, ryoken (ok), 08:57, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Надеюсь, ваша лень. Ну и конечность челочеческой жизни, но тут не уверен :D.
     
  • 4.19, Онаним (?), 09:19, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, я думаю, пару терабайт RAM в хороший сервачок набить реально, но смысл?
     
  • 4.25, Аноним (25), 11:33, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > кто мне помешае

    Я тебе даже помогу.
    #!/usr/bin/env sh
    {
    N1=0
    while [ ${N1} -lt 256 ]
    do
      N2=0
      while [ ${N2} -lt 256 ]
       do
        N3=0
        while [ ${N3} -lt 256 ]
         do
          N4=0
          while [ ${N4} -lt 256 ]
           do
            echo "${N1}.${N2}.${N3}.${N4} ${N4}.${N3}.${N2}.${N1}.in-addr.arpa"
            N4=$(( ${N4}+1 ))
           done
          N3=$(( ${N3}+1 ))
         done
        N2=$(( ${N2}+1 ))
       done
      N1=$(( ${N1}+1 ))
    done
    } > baza_demenov.txt
    Можешь не благодарить.

     
     
  • 5.31, aa (?), 13:05, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а домены то хде?
     
     
  • 6.41, Аноним (25), 00:00, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так в базе же!
     
  • 5.45, Аноним (45), 00:30, 15/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда только берут таких анонимов.
     
  • 2.3, Аноним (3), 21:49, 09/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Можно на NSD такое провернуть. Остальные улагаются наверное искать среди огромного числа адресов.
     

  • 1.4, Аноним (4), 21:59, 09/09/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –6 +/
     
     
  • 2.5, Аноним (5), 22:09, 09/09/2020 Скрыто модератором
  • +6 +/
     
  • 2.7, Oxyd76 (?), 23:12, 09/09/2020 Скрыто модератором
  • +2 +/
     
  • 2.9, Pahanivo пробегал (?), 00:06, 10/09/2020 Скрыто модератором
  • +/
     
     
  • 3.13, КО (?), 08:08, 10/09/2020 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (4)

  • 1.6, Аноним (6), 22:16, 09/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    CZ.NIC ещё делает опенсурс роутеры Turris, интересная организация
     
     
  • 2.24, LeNiN (ok), 11:23, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Жаль только, что эти роутеры не поддерживаются оригинальным OpenWRT, а только их форком. Но хотя бы так.
    Заказал себе Turris Omnia, посмотрим как он в деле.
     
     
  • 3.27, iPony129412 (?), 11:56, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Заказал себе Turris Omnia, посмотрим как он в деле.

    Я испугался.
    Начитался про постоянные проблемы с WiFi на форуме.

     
     
  • 4.39, Аноним (39), 17:44, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что, сейчас в природе существуют роутеры, которые не загибаются от сотни мегабит с перегревом  проца?
     
     
  • 5.42, iPony129412 (?), 04:45, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что, сейчас в природе существуют роутеры, которые не загибаются от сотни мегабит с перегревом  проца?

    Да, конечно. По сути любой не из самого дешмана
    https://www.ixbt.com/nw/keenetic-speedster-kn-3010-review.html

     
  • 4.47, LeNiN (ok), 19:07, 20/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуюсь пока только пару дней, могу сказать только про проблемы с Wi-Fi, когда часто менял настройки — иногда после этого сеть 5GHz не появлялась в списке доступных на моём ноутбуке с Intel Cannon Point-LP CNVi / iwlwifi.
    Но надо бы набрать статистику по-больше, хотябы месяц.
    В любом случае, сами модули Wi-Fi меняются очень легко.
     

  • 1.8, Анончик (?), 23:37, 09/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    очень годный сервер, прямо очень годный
     
     
  • 2.35, Аноним (39), 17:19, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно радует поддержка бинарных конфигов.
     

  • 1.10, Аноним (10), 02:42, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В то время как человечество постепенно приходит к тому что пора слезать с иглы гулагнета - мы будем выпускать более производительные шприцы.. пфу , не туда и не прогресс
     
     
  • 2.11, koal (?), 06:17, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А DNS с этим как-то связан?
     
     
  • 3.12, Аноним (12), 07:17, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    DNS централизован, есть сервера, значит есть кого нагибаться и возможность цензурировать.

    IPFS заменит DNS.

     
     
  • 4.14, 101 (??), 08:12, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот линуксоиды так же говорящего линекс, что он убьет windows.
     
  • 4.16, aa (?), 08:52, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    рассылайте hosts-файлы в емейл рассылке своим клиентам, зачем вам днс то сдался?
     
     
  • 5.23, Аноним 80_уровня (ok), 10:30, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SMTP без DNS не работает, а в uucp/1200/NIFIGA HTML медленно пролазит.
     
     
  • 6.32, aa (?), 13:09, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    можно ссылку на пункт рфс где написано что смтп без днс не работает?
    подключайся по айпи (айпи взять в ранее присланом хостс-файле) к мх серверу и шли сколько влезет.
    а если сервер делает какие то там проверки в днс - значит это вражеский сервер, угнетающий свободных людёв.
     
  • 3.18, Брат Анон (?), 09:17, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Т.е. то, что DNS жёстко контролируется теми, кто с самого начала платил за музыку -- ни о чём не намекает?))
     
     
  • 4.20, Онаним (?), 09:20, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И в отличие от того, что контролируется теми, кто за музыку не платит, но очень хочет чего-нибудь поконтролировать - надо сказать, у них все эти годы всё работает очень себе даже прекрасно.
     
     
  • 5.21, Брат Анон (?), 09:24, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > надо сказать, у них
    > все эти годы всё работает очень себе даже прекрасно.

    Ну ещё бы)) Кто сверху -- тот и папа. Ничуть не сомневался))

     
     
  • 6.22, Онаним (?), 09:30, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Тот же GPS возьми. Вот уж самое контролируемое так контролируемое.
    Но в отличие от блохнасса, работает прекрасно. И административного ресурса не требует.
     
     
  • 7.28, Брат Анон (?), 12:23, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тот же GPS возьми. Вот уж самое контролируемое так контролируемое.
    > Но в отличие от блохнасса, работает прекрасно. И административного ресурса не требует.

    Давно GPS на спутники сигналы отправляет?))


     
  • 3.26, Аноним (-), 11:44, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очень удобно торговать воздухом, еще и спекулировать не забывая. Как и любая пирамида это все схлопнется скоро, ибо математика и все такое. Читайте товарищей М из прошлых веков, у них еще были мозги.
     

  • 1.29, PnD (??), 12:47, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлена поддержка каталога зон ("Catalog Zones")

    Это, между прочим, киллер-фича. Я подобную штуку "руками" разводил, через внешнюю "шину". А тут оп — и закрыли 9/10 проблем, для которых нужен был "сторонний канал".
    * Оставшаяся — про переключение роли мастера.

    И "knotc zone-backup" наконец-то реализовали.
    В общем, подождать годик, пока ляпы из новой функциональности вычистят. И можно радоваться жизни.

     
     
  • 2.33, Moomintroll (ok), 13:59, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Добавлена поддержка каталога зон ("Catalog Zones")
    > Это, между прочим, киллер-фича.

    Вовсе нет. Я такое проделывал лет 6-7 назад:

    https://doc.powerdns.com/authoritative/modes-of-operation.html#supermaster-aut

     
     
  • 3.38, Аноним (39), 17:34, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А если использовать бэкенд в БД с репликацией, даже с супермастером можно не возиться (это про pdns, конечно).
     
  • 3.43, PnD (??), 12:25, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вовсе нет. Я такое проделывал лет 6-7 назад:
    > https://doc.powerdns.com/authoritative/modes-of-operation.html#supermaster-aut

      Если производительность не важна, есть ещё AD/freeIPA. Оба с ldap в бэкэнде (и bind на фронтэнде, но в AD от него вряд ли много осталось). Но под ldap — bdb.
    * PDNS по документации тоже в ldap может (любой). Но по факту это не так.

      KNOT сразу сидит на lmdb, и потому вертится (на отдачу) со скоростью RAM (пока её хватает). А стартует — со скоростью чтения из файла. Совсем другая ниша.

     

  • 1.30, Аноним (30), 12:55, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >написан на языке Си

    А где Фракталушка? ;)

     
     
  • 2.34, ann (??), 16:31, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Его дырень сегодня уже чем-то занята.
     
  • 2.37, Аноним (39), 17:33, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> написан на языке Си
    > А где Фракталушка? ;)

    Думаю, за бинарные конфиги сабж простят даже самые взыскательные критики. Ведь это top edge, даже Ленька до такого не дошел (у него бинарные только логи).

     
     
  • 3.44, PnD (??), 12:34, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаю, за бинарные конфиги сабж простят даже самые взыскательные критики. Ведь это
    > top edge, даже Ленька до такого не дошел (у него бинарные
    > только логи).

      Фигню спорол. Там и так (YAML) и так (LMDB+API) можно. И import/export в обе стороны — рабочие. Так что backup|restore — без сюрпризов.

    Но если текст, то "прощай динамика".
    * Сюрприз в динамике таки есть, в виде гонки при создании/обновлении нового домена. С перспективой "завесить" API. Но он костылится очевидным образом, так что мне лень сдавать репорт.

     

  • 1.36, Аноним (39), 17:31, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлен новый режим проверки DNSSEC.

    Интересно, а сейчас этим кто-то еще пользуется? Согласно статистике, https://www.statdns.com/ в зонах com, org, net, info доля подписанных доменов порядка 1.5%.

    И это при том, что включение DNSSEC приносит огромный гемор пользователям локальных зон типа .local, .home, etc, потому что "TLD squatting is no-no"

     
  • 1.40, Аноним (40), 20:05, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлен высокопроизводительный сетевой режим, реализованный с использованием подсистемы XDP (eXpress Data Path), предоставляющей средства для обработки пакетов на уровне сетевого драйвера на стадии до обработки сетевым стеком ядра Linux. Для использования режима требуется ядро Linux 4.18 и новее.

    Простите за нубство, это как, до пакетного фильтра?

     
     
  • 2.46, volax (?), 00:20, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру