The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск DNS-сервера Knot DNS 2.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от opennews (??), 01-Июл-15, 04:10 
Представлен (https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006...) значительный релиз авторитативного DNS-сервера Knot DNS 2.0 (https://www.knot-dns.cz/), разработанного организацией  CZ.NIC и используемого для обслуживания доменов первого уровня Чехии. Код сервера распространяется под лицензией GPLv3. Поддерживается работа на большинстве Unix-подобных систем.  Из особенностей Knot DNS можно выделить поддержку добавления и удаления зон на лету, возможность полной или инкрементальной передачи зон между серверами, поддержку DDNS (динамические обновления), NSID (RFC 5001), расширений EDNS0 и DNSSEC (включая  NSEC3), ограничения интенсивности ответов (RRL).


Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Для обеспечения высокой производительности также применяются такие  технологии, как Read-copy-update (RCU (http://en.wikipedia.org/wiki/Read-copy-update)), Copy-on-write (COW (http://en.wikipedia.org/wiki/Copy-on-write)) и Cuckoo-хэширования (http://en.wikipedia.org/wiki/Cuckoo_hashing).  В условиях использования на корневом сервере Knot DNS   демонстрирует (https://www.knot-dns.cz/pages/benchmark.html)  заметно более высокую производительность, чем DNS-серверы NSD (https://www.opennet.ru/opennews/art.shtml?num=38304), YADIFA (https://www.opennet.ru/opennews/art.shtml?num=34217), BIND и  PowerDNS.  


Ключевые новшества Knot DNS 2.0:


-  Новый формат конфигурации, основанный на YAML (https://ru.wikipedia.org/wiki/YAML). В новом формате реализована возможность использования шаблонов DNS-зон, расширены средства настройки удалённых хостов и ACL (возможность указания нескольких хостов и ключей), улучшена читаемость конфигурации.
Для преобразования в новый формат старых настроек подготовлена утилитаknot1to2. Конфигурация транслируется в эффективный бинарный формат, хранимый в базе LMDB.

-  Новый бэкенд для поддержки  DNSSEC, вынесенный в отдельную библиотеку и переведённый на  использование GnuTLS вместо OpenSSL. Поддерживается КASP (Key And Signature Policy), в том числе генерация начальных ключей для проверки DNS-зон по цифровой подписи и пролонгация ZSK (Zone Signing Keys).
-  Базовая поддержка использования масок для обращения к файлам зон из файлов конфигурации (%s вместо имени файла);
-  Возможность запрета синхронизации файла зоны (zonefile_sync = -1);
-  В утилите knsupdate реализовано приглашение интерактивного ввода, команда quit и  указание параметров алгоритма TSIG.


URL: https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42543

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 04:10 
что-то не выглядит он "быстрее"(и тем более - секьюрнее), чем актуальные версии NSD, Djb, Unbound на актуальном оборудовании.
и Где CurveDNS ? и другие CGA-based вещи, развивающие DNSSec?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск DNS-сервера Knot DNS 2.0"  +2 +/
Сообщение от ойноним (?), 01-Июл-15, 07:55 
Это авторитетный сервер, поэтому Unbound и CurveDNS не в кассу.
По быстродействию они с NSD примерно одинаковые, BIND чуть медленнее, что искупается обилием всяких опций.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 09:52 
Knot кушает 2МБ RAM, NSD 22МБ
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 18:54 
Ну усраться теперь.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 02-Июл-15, 07:28 
мб autoritative имелось ввиду?
а то "авторитетности" в нем в текущем виде - на полтора бакса.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

32. "Выпуск DNS-сервера Knot DNS 2.0"  +1 +/
Сообщение от ойноним (?), 02-Июл-15, 10:39 
Ну да, дословный перевод слова "autoritative". Калька с него в виде "авторитативный" нещадно режет ухо. "Авторитетный" аж на две буквы короче и звучит приятней.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

2. "Выпуск DNS-сервера Knot DNS 2.0"  –4 +/
Сообщение от Нанобот (ok), 01-Июл-15, 07:23 
> авторитативного

А в русском языке точно есть такое слово?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Анонимус_б6_анон (?), 01-Июл-15, 07:38 
теперь есть, да, теперь точно есть
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 07:59 
это устоявшийся термин.
https://ru.wikipedia.org/wiki/DNS-%D1%81%D0&#...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Ононим (?), 01-Июл-15, 07:39 
CGA это такой анциентный мониторчик
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск DNS-сервера Knot DNS 2.0"  +1 +/
Сообщение от Нанобот (ok), 01-Июл-15, 09:38 
Ононим это такой икперд опеннета
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Yurisemail (??), 01-Июл-15, 10:38 
Ононим это омоним :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

26. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 02-Июл-15, 07:33 
для провокаторов из числа обитателей криокамер:
https://en.wikipedia.org/wiki/Cryptographically_Generated_Ad...
https://tools.ietf.org/html/rfc3972
используется например в такой штуке
https://en.wikipedia.org/wiki/Secure_Neighbor_Discovery
(используещейся вместо дырявых ARP и NDP, там где реально L2 секьюрити - не блажь)
некоторые грят что с приходом 802.1AE, 802.1AR, 802.1AF и прочих, совместно 802.1x-EAP-2010 нужда в чем-то таком - отпадает, но УВЫ. не отпала. да и внедрение MacSec двигается в разЫ меньше чем вендоры хотели бы.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Выпуск DNS-сервера Knot DNS 2.0"  –4 +/
Сообщение от DmA (??), 01-Июл-15, 11:59 
сейчас самая востребованная вещь в днс сервере это шифрование трафика между клиентом и сервером. Но и у этого днс сервера не появилось такой фичи!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от аноним123 (?), 01-Июл-15, 12:26 
Есть какие-то стандарты для этого?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Выпуск DNS-сервера Knot DNS 2.0"  –1 +/
Сообщение от DmA (??), 01-Июл-15, 12:45 
вот именно,что нет, а давно пора  иметь возможность шифровать трафик от днс клиента до сервера и обратно!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от sage (??), 02-Июл-15, 00:39 
http://dnscrypt.org/
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

29. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 02-Июл-15, 08:44 
> http://dnscrypt.org/

В этом случае весь зашифрованный  dns-трафик останется у одной непонятно кому принадлежащей корпорации зла opendns :)
Должна быть возможность у любой организации или человека быть возможность шифровать dnsтрафик, для этого в бесплатных днс-серверах должна быть такая опция!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 02-Июл-15, 07:39 
пока только
https://en.wikipedia.org/wiki/DNSCurve
http://dnscurve.org/
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 12:56 
Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Выпуск DNS-сервера Knot DNS 2.0"  –3 +/
Сообщение от DmA (??), 01-Июл-15, 13:41 
> Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно
> оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование.

мне нужно шифрование, шифрование оказывается везде нужно и всем! Есть такое слово "приватность" ,если не слышали. Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели. Это сильный соблазн для провайдеров и спецслужб включить режим слежки без всяких на то судебных оснований!


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Выпуск DNS-сервера Knot DNS 2.0"  +2 +/
Сообщение от Moomintroll (ok), 01-Июл-15, 13:59 
> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили?

Я наверное Вас огорчу, но практически каждый DNS-сервер умеет писать лог запросов. Т.е. если Вы используете DNS-сервер(ы) провайдера (а по умолчанию используются именно они), он и так будет знать, куда ходят пользователи.

А раз Вы не рядовой пользователь и знаете, что такое DNS и даже можете настроить свои железки/системы на использование произвольных DNS-серверов, то для Вас не составит труда поднять VPN.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от rob pike (?), 01-Июл-15, 14:19 
Причем именно поднять и именно свой, а не купить за $5 неизвестно что.
http://www.qmul.ac.uk/media/news/items/se/158459.html
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 02-Июл-15, 08:45 
>> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили?
> Я наверное Вас огорчу, но практически каждый DNS-сервер умеет писать лог запросов.
> Т.е. если Вы используете DNS-сервер(ы) провайдера (а по умолчанию используются именно
> они), он и так будет знать, куда ходят пользователи.
> А раз Вы не рядовой пользователь и знаете, что такое DNS и
> даже можете настроить свои железки/системы на использование произвольных DNS-серверов,
> то для Вас не составит труда поднять VPN.

трафик к произвольным dns идёт также нешифрованным и просматривается легко вашим провайдером! Мочала начинай сначала...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Выпуск DNS-сервера Knot DNS 2.0"  +2 +/
Сообщение от Аноним (-), 01-Июл-15, 14:25 
> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели.

Т.е. мусью получает ответ от ДНС -- и только потом переходит на rfc1149 (IP over Avian Carriers)?  :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

36. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 02-Июл-15, 20:27 
>> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели.
> Т.е. мусью получает ответ от ДНС -- и только потом переходит на
> rfc1149 (IP over Avian Carriers)?  :)

Голубиная почта сейчас самая приватная - ни тебе провайдера, зашифровать бы только сообщение ,  а дальше пусть пытают голубя от кого это письмо или кому , если поймают этого голубя конечно.
Дальше уже идёт https хотя бы или tor.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 14:38 
> мне нужно шифрование, шифрование оказывается везде нужно и всем!

Да нет, вам просто хочется "странного".
Ну зашифровали вы запрос, оставив провайдера "в дураках" -- а дальше что? Голубей слать будете?
А если для соединений пользоваться туннелями - то можно, внезапно, пользоваться ими и для запроса.
Ваш ГО (Генерал Очевидность)


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 02-Июл-15, 08:48 
>> мне нужно шифрование, шифрование оказывается везде нужно и всем!
> Да нет, вам просто хочется "странного".
> Ну зашифровали вы запрос, оставив провайдера "в дураках" -- а дальше что?
> Голубей слать будете?
> А если для соединений пользоваться туннелями - то можно, внезапно, пользоваться ими
> и для запроса.
> Ваш ГО (Генерал Очевидность)

Дальше при желании можно использовать tor, vpn, https. Это уже на порядки усложнит слежку за пользователями со стороны провайдера!  

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 02-Июл-15, 12:13 
>  можно использовать tor, vpn,

А использовать их для днс запроса религия не позволяет?

> Дальше при желании можно использовать tor, vpn, https. Это уже на порядки усложнит слежку за пользователями со стороны провайдера!  

Ага, пробросив соединение через либастрал.
*рука-лицо.жпг*

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Глас Божий (?), 02-Июл-15, 20:17 
Ты из какого детского сада сбежал? Чем тебе шифрованный ДНС поможет в случае с https? Чем тебе нешифрованный ДНС помешает в случае tor и vpn? Я могу, конечно, придумать вектор атаки даже для такого случая, но если всё так серьёзно, то проще тебя гаечным ключом дубасить, пока ты всё сам не расскажешь. Криптоанархия — это весело и хорошо, но головой думать всё равно надо.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

20. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 17:01 
Провайдер и без днс может видеть, куда вы ходите.
Если эту проблему решить (посредством впн, например) то точно так же можно завернуть в впн и днс-трафик.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

34. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 02-Июл-15, 20:13 
соединение с впн будет поймано провайдером по имени, что не хорошо. Да и люди, которые будут делать один днс запрос к провайдеру или вообще не делать или сидеть на одном айпишнике, сразу вызовут подозрение и к ним тогда фсбшники залезут в телефон и посмотрят что у него на экране творится через вебкамеру :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

38. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 06-Июл-15, 09:28 
> Провайдер и без днс может видеть, куда вы ходите.
> Если эту проблему решить (посредством впн, например) то точно так же можно
> завернуть в впн и днс-трафик.

Если так, то всё равно нужно искать решения, которые блокируют желания операторов и спецслужб посмотреть трафик от абонента!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от DmA (??), 06-Июл-15, 09:31 
>> Провайдер и без днс может видеть, куда вы ходите.
>> Если эту проблему решить (посредством впн, например) то точно так же можно
>> завернуть в впн и днс-трафик.
> Если так, то всё равно нужно искать решения, которые блокируют желания операторов
> и спецслужб посмотреть трафик от абонента!

DNScurve -это полузакрытое решение - клиентская часть опенсурс, а вот на серверную ни спецификаций никаких не открыто, ни сам код неизвестен!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

28. "Выпуск DNS-сервера Knot DNS 2.0"  +1 +/
Сообщение от Аноним (-), 02-Июл-15, 07:41 
> Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно
> оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование.

"в стандарте DNS" и DNSSec 'не предусмотрено' и 80% других, крайне полезных хреновин.

а вот в DNSCurve - очень даже да, идушему на замену DNSSec(пока АНБ не подсуетился и не выкатил "свой велосипед с квадратными колесами")


http://dnscurve.org/
https://en.wikipedia.org/wiki/DNSCurve

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

41. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от dile (ok), 22-Июл-19, 12:47 
греть воздух рсчетом шифра каждого запроса 4096-битного RSA ключа на строне сервера и клиента, этого "you want"
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от bOOsteremail (ok), 01-Июл-15, 14:02 
yadifa получше будет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Аноним (-), 01-Июл-15, 18:56 
> yadifa получше будет.

Не, погаже малость.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Глас божий (?), 02-Июл-15, 03:15 
А в цифрах то же самое заявление не затруднит написать?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

37. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от bOOsteremail (ok), 03-Июл-15, 16:06 
Праздное любопытство? Не? На сайте ядифы есть тесты. Смысла подтасовывать факты не вижу. У каждого из этих серверов своя непересекаемая ниша.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

40. "Выпуск DNS-сервера Knot DNS 2.0"  +/
Сообщение от Ан (??), 18-Июл-15, 21:36 
Актуальность тестов просто зашкаливает. Нафиг сдались они с такими тестами.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру