Выпуск DNS-сервера KnotDNS 3.3.0 с поддержкой DNS поверх QUIC

28.08.2023 22:52

Опубликован релиз KnotDNS 3.3.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC, написан на языке Си и распространяется под лицензией GPLv3.

KnotDNS отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DNS поверх HTTPS, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).

В новом выпуске:

Добавлена полная поддержка DNS поверх протокола QUIC (DNS over QUIC, DoQ, RFC 9250). QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL.
Добавлена поддержка двунаправленного трансфера зон, используя протокол QUIC (XFR over QUIC, XoQ) и различные профили аутентификации.
Добавлена возможность автоматической предварительной генерации обратных PTR-записей ('zone.reverse-generate').
Добавлены счётчики 'zone.size' и 'zone.max-ttl'.
Добавлена поддержка закрепления первичного сервера ('zone.master-pin-tolerance').
Добавлена новая политика генерации порядкового номера SOA - 'zone.serial-modulo'.
Добавлен режим 'DNSSEC multi-signer'.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59676-knot

Ключевые слова: knot, dns

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.3, Аноним (3), 09:21, 29/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> DNS over QUIC Ну вот это уже ближе к реальности, DNS поверх UDP (с допущениями).

2.6, timur.davletshin (ok), 14:35, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
А без прослойки просто на голом UDP уже не айс или обязательно должен быть конский оверхед?

3.7, Аноним (3), 14:41, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
Нужно! - ваш Дом.ру По факту, каждый вебирает себе оверхед на "вкус и цвет": - dns-hijacking; - dns на голом udp через vpn; - Do* (DoT, DoH, DoQ).

4.8, Аноним (8), 15:24, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
dnscrypt - можно?

5.14, Аноним (3), 17:52, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
Только если он создаст оверхед.

4.13, timur.davletshin (ok), 17:50, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
Вы действительно предполагаете, что DNS-over-QUIC поможет, если провайдер-м...дак? Чего вам не хватает в DoH, DoT, DNSCrypt и DNSSEC?

5.15, Аноним (3), 18:48, 29/08/2023 [^] [^^] [^^^] [ответить]

+/–

> Вы действительно предполагаете, что DNS-over-QUIC поможет, если провайдер-м...дак? Чего
> вам не хватает в DoH, DoT, DNSCrypt и DNSSEC?

Поможет на уровне DoH, DoT, DNSCrypt. DNSSEC вроде про другое, про подпись.

Не хватает возможности использовать другой транспорт отличный от первых трех.

Если он мертворожденный, то отомрет сам, как мне кажется.

6.16, timur.davletshin (ok), 18:53, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
> DNSSEC вроде про другое, про подпись. А откуда вы уверены, что DoH провайдер не подменил запись? Только DNSSEC и может помочь решить эту проблему. А то многие почему-то решили, раз уж они зашифровались от интернет провайдера, то DoH-провайдер не может почему-то эту же процедуру подмены осуществить.

7.18, Аноним (3), 22:47, 29/08/2023 [^] [^^] [^^^] [ответить]

+/–

> А откуда вы уверены, что DoH провайдер не подменил запись?

Потому что локальный резолвер проверяет DNSSEC подписи доменов, если они вообще подписаны.

И тут я бы хотел сделать маленькое замечание, такое же маленькое как число подписанных доменов: если домен не подписал - то DNSSEC не поможет от его подмены вне зависимости от того DoH там, или DoT, или DoQ, или DNS сервер любимого провайдера.

Поэтому я и написал, что DNSSEC и Do* про разное.

3.9, Аноним (9), 16:45, 29/08/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Голый UDP: нет котроля правильности порядка постующих пакетов, нет управления перегрузкой, нет догрузки потерянных пакетов. P.S. Вот есть такой дальний родственник UDP - DCCP. У него есть управление перегрузкой.

4.12, timur.davletshin (ok), 17:46, 29/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем DNS запросам управление перегрузкой? Эти протоколы предполагают наличие дропа пакетов в кач-ве сигнала о перегрузке или увеличения задержки, что предполагает наличие статистики. Все эти методы теряют смысл для запросов-ответов, у которых все влезает в один пакет. Трансферы зон - это отдельная тема и пользователям она не нужна.

3.10, Менеджер Антона Алексеевича (?), 17:19, 29/08/2023 [^] [^^] [^^^] [ответить]	+/–
Не айс, и вся история абьюза DNS over UDP тому подтверждением.

4.11, timur.davletshin (ok), 17:42, 29/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Мне кажется, что отписавшиеся плохо понимают, чем QUIC отличается от простого DNS over UDP. Уважаемые, его придумывали для замены TCP, теперь спроецируйте на то, что вы заявили. А протоколов, предотвращающих подмену ответов уже придумано столько, что хоть попой кушай.

5.17, пох. (?), 20:24, 29/08/2023 [^] [^^] [^^^] [ответить]

+2 +/–

тем не менее он остается udp с tls. Что может оказаться лучшим выбором чем совсем уж ушлепский DoH но при этом не требует ничего программировать (у современных с этим...сложно все), поскольку внутри все равно DoH - но udp'шный.

Скорее всего, конечно, как всегда, получится дерьмо. Но они старались.

5.20, Менеджер Антона Алексеевича (?), 22:18, 30/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Мне кажется, что отписавшиеся плохо понимают, чем QUIC отличается от простого DNS > over UDP. Уважаемые, его придумывали для замены TCP, теперь спроецируйте на > то, что вы заявили. А протоколов, предотвращающих подмену ответов уже придумано > столько, что хоть попой кушай. Что не так с TCP для DNS в масштабах планеты ты не хуже моего знаешь. Что не так с UDP — тоже. QUIC можно считать заменой, призванной починить оба подхода. Если бы дело ограничивалось только подменой, то DNSSEC хватило бы всем. В целом же, не вижу проблемы: софт такое дело, можно написать, переписать, откатить изменения, а потом и вовсе выбросить, если окажется больше не нужен. Игнорировать это качество программного обеспечения — признак скудоумия и ригидности мышления.

1.4, Аноним (4), 11:18, 29/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Выглядит круто, а можно бенчики с измерением как быстро, много и секурно оно может передать?

2.5, Аноним (5), 11:42, 29/08/2023 [^] [^^] [^^^] [ответить]	+4 +/–
> быстро, много и секурно Выбери любые два

1.19, rvs2016 (ok), 11:02, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А чем DNS-сервер сабж лучше DNS-сервера BIND?

2.21, Гашпшпщм (?), 02:10, 31/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Примерно все лучше bind. Bind это же isc

3.22, rvs2016 (ok), 14:18, 31/08/2023 [^] [^^] [^^^] [ответить]	+/–
> Примерно все лучше bind. Bind это же isc Ну да. ISC. Написано так, как будто ISC - это плохо. Это так и есть? А почему?

2.23, suffix (ok), 15:48, 01/09/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Вы крупный dns-хостер уровня cloudns или dnsmadeeasy ? Если нет, то вопрос что лучше бессмысленный. Чем лучше владеете/нравится/привычнее то и ставьте. Любой вариант полностью закроет ваши потребности в собственнном ламповом dns-сервере.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: