27.11.2020

Выпуск DNS-серверов BIND 9.16.8 и PowerDNS Recursor 4.4.0


Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.24 и 9.16.8, а также находящейся в разработке экспериментальной ветки 9.17.6. В новых версиях, в соответствии с продвигаемыми инициативой DNS flag day 2020 рекомендациями, размер буферов для EDNS по умолчанию уменьшен с 4096 до 1232 байтов. Изменение позволит избавиться от проблем с IP-фрагментацией при обработке больших UDP-сообщений, обработка которых нередко приводит к потере пакетов и таймаутам на стороне клиента.

Кроме того, в утилиту rndc добавлены две новых команды:

  • «rndc dnssec -rollover» для ручной пролонгации ключа DNSSEC.
  • «rndc dumpdb -expired» для вывода дампа с содержимым кэша, в том числе включающего ещё не удалённые просроченные записи RRsets.

Кроме того доступен релиз кэшируюшего DNS-сервера PowerDNS Recursor 4.4, отвечающего за рекурсивное преобразование имён. PowerDNS Recursor построен на одной кодовой базе с PowerDNS Authoritative Server, но рекурсивный и авторитетный DNS-серверы PowerDNS развиваются в рамках разных циклов разработки и выпускаются в форме отдельных продуктов. Код проекта распространяется под лицензией GPLv2.

Сервер предоставляет средства для удалённого сбора статистики, поддерживает мгновенный перезапуск, имеет встроенный движок для подключения обработчиков на языке Lua, полноценно поддерживает DNSSEC, DNS64, RPZ (Response Policy Zones), позволяет подключать чёрные списки. Имеется возможность записи результатов резолвинга в виде файлов зон BIND. Для обеспечения высокой производительности применяются современные механизмы мультиплексирования соединений во FreeBSD, Linux и Solaris (kqueue, epoll, /dev/poll), а также высокопроизводительный парсер DNS-пакетов, способный обрабатывать десятки тысяч параллельных запроcов.

В новой версии:

  • Встроена поддержка DNS64, не привязанная к дополнениям на языке Lua. DNS64 позволяет автоматически синтезировать IPv6 AAAA-записи на основании IPv4 A-записей, а также IP6.ARPA CNAME блоки для существующих IN-ADDR.ARPA.
  • Предоставлена возможность добавления произвольных тегов в RPZ (Response Policy Zones, позволяет вычислять «репутацию» для DNS-имен с использованием подобия DNSBL для борьбы с хостами спамеров и мошенников).
  • Проверки RPZ теперь распространяются и на хосты, определённые при разрешении CNAME.
  • Расширена информация об обработке RPZ, выводимая при трассировке, оседающая в логах и передаваемая скриптам на Lua.
  • Обеспечено совместное использование кэша записей в разных потоках.
  • Обеспечена передача в Lua-код тега routingTag, который может применяться в качестве дополнительного ключа в кэше записей вместо маски подсети EDNS.
  • Реализована вторая версия протокола Proxy, позволяющего обмениваться информацией с клиентом (dnsdist).

Источник: https://www.opennet.ru/opennews/art.shtml?num=53946

Добавить комментарий