The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск DNS-серверов BIND 9.16.8 и PowerDNS Recursor 4.4.0

22.10.2020 13:38

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.24 и 9.16.8, а также находящейся в разработке экспериментальной ветки 9.17.6. В новых версиях, в соответствии с продвигаемыми инициативой DNS flag day 2020 рекомендациями, размер буферов для EDNS по умолчанию уменьшен с 4096 до 1232 байтов. Изменение позволит избавиться от проблем с IP-фрагментацией при обработке больших UDP-сообщений, обработка которых нередко приводит к потере пакетов и таймаутам на стороне клиента.

Кроме того, в утилиту rndc добавлены две новых команды:

  • "rndc dnssec -rollover" для ручной пролонгации ключа DNSSEC.
  • "rndc dumpdb -expired" для вывода дампа с содержимым кэша, в том числе включающего ещё не удалённые просроченные записи RRsets.

Кроме того доступен релиз кэшируюшего DNS-сервера PowerDNS Recursor 4.4, отвечающего за рекурсивное преобразование имён. PowerDNS Recursor построен на одной кодовой базе с PowerDNS Authoritative Server, но рекурсивный и авторитетный DNS-серверы PowerDNS развиваются в рамках разных циклов разработки и выпускаются в форме отдельных продуктов. Код проекта распространяется под лицензией GPLv2.

Сервер предоставляет средства для удалённого сбора статистики, поддерживает мгновенный перезапуск, имеет встроенный движок для подключения обработчиков на языке Lua, полноценно поддерживает DNSSEC, DNS64, RPZ (Response Policy Zones), позволяет подключать чёрные списки. Имеется возможность записи результатов резолвинга в виде файлов зон BIND. Для обеспечения высокой производительности применяются современные механизмы мультиплексирования соединений во FreeBSD, Linux и Solaris (kqueue, epoll, /dev/poll), а также высокопроизводительный парсер DNS-пакетов, способный обрабатывать десятки тысяч параллельных запроcов.

В новой версии:

  • Встроена поддержка DNS64, не привязанная к дополнениям на языке Lua. DNS64 позволяет автоматически синтезировать IPv6 AAAA-записи на основании IPv4 A-записей, а также IP6.ARPA CNAME блоки для существующих IN-ADDR.ARPA.
  • Предоставлена возможность добавления произвольных тегов в RPZ (Response Policy Zones, позволяет вычислять "репутацию" для DNS-имен с использованием подобия DNSBL для борьбы с хостами спамеров и мошенников).
  • Проверки RPZ теперь распространяются и на хосты, определённые при разрешении CNAME.
  • Расширена информация об обработке RPZ, выводимая при трассировке, оседающая в логах и передаваемая скриптам на Lua.
  • Обеспечено совместное использование кэша записей в разных потоках.
  • Обеспечена передача в Lua-код тега routingTag, который может применяться в качестве дополнительного ключа в кэше записей вместо маски подсети EDNS.
  • Реализована вторая версия протокола Proxy, позволяющего обмениваться информацией об исходном адресе клиента (например, при использовании dnsdist).


  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Инициатива DNS flag day 2020 для решения проблем с фрагментацией и поддержкой TCP
  3. OpenNews: Выпуск DNS-сервера KnotDNS 3.0.0
  4. OpenNews: Почти половина трафика на корневые DNS-серверы вызвана активностью Chromium
  5. OpenNews: DNS Push-уведомления получили статус предложенного стандарта
  6. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53946-dns
Ключевые слова: dns, bind, powerdns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Иваня (?), 14:13, 22/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круть, надо обновить у себя BIND!
     
     
  • 2.2, Аноним (2), 14:26, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это та самая программа, количество дыр в которой поражает воображение даже самых отбитых Фракталов, поэтому я бы на твоём месте тут не спешил.
     
     
  • 3.3, Аноним (2), 14:28, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё помню какие-то слухи по поводу закладок, выглядит правдоподобно.
     
     
  • 4.10, Аноним (10), 22:01, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем искать заговоры там, где явно видно растущие из задницы руки?
    Bind, ntpd, dhcpd, dhclient — то, чего явно не стоит держать на security critical системах.
     
     
  • 5.12, Сейд (ok), 22:44, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Какой DNS-сервер посоветуешь держать на корпоративной системе электронной почты?
     
     
  • 6.13, Онаним (?), 01:04, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Шиндовс 2019, конечно же
     
     
  • 7.14, microsoft (?), 08:36, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меня вызывали? Я подарки вам принес.
     
  • 7.16, Аноним (16), 09:03, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, поставьте себе зонды добровольно.
     
  • 6.17, Аноним (10), 13:40, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой DNS-сервер посоветуешь держать на корпоративной системе электронной почты?

    Вы прям хорошо описали задачу. Непонятно даже, авторитетным он должен быть или рекурсивным.
    Из авторитетных имеет смысл рассматривать pdns (удобный и гибкий) либо Knot (быстрый, в т.ч. на огромны объемах данных).
    Из рекурсивных — unbound и knot resolver. pdns resolver тоже можно, если нет специфических требований типа serve stale.

     
     
  • 7.19, Аноним (19), 18:54, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    NSD еще забыл.
     
     
  • 8.20, Сейд (ok), 21:14, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ещё, наверное, dbndns, djbdns, MaraDNS, pdnsd, Posadis и YADIFA на критических с... текст свёрнут, показать
     
     
  • 9.21, Аноним (10), 03:11, 24/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меня попросили посоветовать сервер, а не перечислять все известные ... текст свёрнут, показать
     
     
  • 10.23, Сейд (ok), 15:49, 24/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо ... текст свёрнут, показать
     
  • 3.4, Аноним (4), 15:14, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не спешить закрывать дыры?
     
     
  • 4.5, Аноним (2), 15:19, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не спешить бежать тестировать новые версии с новыми же, нескучными "фишечками".
     
     
  • 5.7, Pahanivo (ok), 18:43, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да биньец вроде не имеет привычки привносить свистелки и перделки - это все-таки рабочая лошадь, а не GUI-хомячий.
     
     
  • 6.8, Аноним (10), 21:53, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее, внесенные в свежей версии переполнения буфера в нем находят довольно часто.
     
     
  • 7.24, Pahanivo (ok), 17:42, 26/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем не менее, внесенные в свежей версии переполнения буфера в нем находят
    > довольно часто.

    Баги не фишечки.

     
  • 3.6, m.makhno (ok), 17:05, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где же сам Фрактал? Ждём его вердикта. Или не ждём.
     
     
  • 4.15, Корец (?), 08:52, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сам фрактал не нужен, чтоб узнать его вердикт. Достаточно просто знать, на каком языке написана программа.
     

  • 1.9, Аноним (10), 21:58, 22/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Сервер предоставляет средства для удалённого сбора статистики, поддерживает мгновенный перезапуск, имеет встроенный движок для подключения обработчиков на языке Lua, полноценно поддерживает DNSSEC, DNS64, RPZ (Response Policy Zones), позволяет подключать чёрные списки.

    А server stale уже который год реализовать не осиливают.
    https://github.com/PowerDNS/pdns/issues/4662
    Разрабы говорят, что у них нет времени на разработку.
    Спрашивается, почему бы в таком случае просто не закрыть проект, если некогда им заниматься?

    У разработчиков Unbound и Knot Resolver время как-то находится.

     
     
  • 2.18, Аноним (4), 18:40, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так и пользуйтесь Unbound Кто мешает? А тот кому эта фича не нужна могут и биндом пользоваться. У разных фич и разных разрабов разные приоритеты.
     
     
  • 3.22, Аноним (10), 03:12, 24/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Биндом могут пользоваться только те, кому пофиг на безопасность.

    А речь вообще шла про pdns recursor.

     

  • 1.11, Аноним (10), 22:43, 22/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Реализована вторая версия протокола Proxy, позволяющего обмениваться информацией с клиентом (dnsdist).

    dnsdist — не клиент, а балансировщик. Речь идет о передаче исходного адреса клиента на рекурсор.
    Вот только непонятно — нафига? Чтобы адрес клиента на что-то повлиял в процессе разрешения имени, он должен быть прописан в ECS, что dnsdist уже и так умеет делать. А всякие фичи типа policy based filtering, RRL и прочее все равно реализуются на стороне dnsdist.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру