https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html После полутора лет разработки представлен (https://blog.powerdns.com/2019/07/15/powerdns-recursor-4-2-0-released/) релиз кэшируюшего DNS-сервера PowerDNS Recursor 4.2 (https://www.powerdns.com/recursor.html), отвечающего за рекурсивное преобразование имён. PowerDNS Recursor построен на одной кодовой базе с PowerDNS Authoritative Server, но рекурсивный и авторитетный DNS-серверы PowerDNS развиваются в рамках разных циклов разработки и выпускаются в форме отдельных продуктов. Код проекта распространяется (https://github.com/PowerDNS/pdns) под лицензией GPLv2. <br><br><br>В новой версии устранены все замечания, связанные с обработкой DNS-пакетов с флагами EDNS. В старых версиях PowerDNS Recursor до 2016 года практиковалось игнорирование пакетов с не поддерживаемыми флагами EDNS, без отправки ответа в старом формате, отбрасывая флаги EDNS, как того требует спецификация. Ранее подобное нестандартное поведение поддерживалось в BIND в форме обходного манёвра, но в рамках проведённой (https://www.opennet.ru/opennews/art.s https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#12 Fri, 19 Jul 2019 19:31:36 GMT &gt; Не всегда обновление "софта" - к лучшему.<br>&gt; В случае сетевых программ это ещё может иметь смысл, т.к. старые версии <br>&gt; программ перестают поддерживаться, в них обнаруживаются уязвимости, которые не будут исправлены <br>&gt; никогда. Т.к. любой компьютер в сети может представлять опасность для других <br>&gt; компьютеров, то использование старых версий программ уже не является только личным <br>&gt; делом владельца компьютера.<br>&gt; В остальных случаях бывает так, что новые версии программ зачастую не содержат <br>&gt; ничего критически нужного, но ресурсов потребляют больше. А бывает, что перестаёт <br>&gt; работать то, что уже работало и нужно ещё и денег за <br>&gt; новую версию куда-нибудь занести.<br><br>Ну, самое хорошее что акция заставила обновить софт многие российские банки. А вы сами представляете себе что таоке банк и как быстро они там реагируют.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#11 Fri, 19 Jul 2019 18:26:29 GMT Не всегда обновление "софта" - к лучшему.<br><br>В случае сетевых программ это ещё может иметь смысл, т.к. старые версии программ перестают поддерживаться, в них обнаруживаются уязвимости, которые не будут исправлены никогда. Т.к. любой компьютер в сети может представлять опасность для других компьютеров, то использование старых версий программ уже не является только личным делом владельца компьютера.<br><br>В остальных случаях бывает так, что новые версии программ зачастую не содержат ничего критически нужного, но ресурсов потребляют больше. А бывает, что перестаёт работать то, что уже работало и нужно ещё и денег за новую версию куда-нибудь занести.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#10 Wed, 17 Jul 2019 10:09:05 GMT &gt; * Что до резолвера pdns, я пока не вижу его нишу.<br><br>ну если у тебя уже стоит их authoritative и ты заложился на его апи в ста местах - перелезать на knot может показаться грустно, а поставить еще и рекурсор от того же разработчика - вполне осмысленным ходом.<br><br>сам по себе этот рекурсор, понятно, мало кому нужен.<br><br>P.S. а bind9, думаю, в любом случае недолго осталось<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#9 Wed, 17 Jul 2019 09:55:19 GMT Внутри любого рекурсора прописан алгоритм, так или иначе балансирующий между потреблением ресурсов и вероятностью получить таки ответ. Например, в unbound в коде даже не поленились оставить ссылку на соотв. страницу из Кнута (все бы так делали).<br>В хидерах, соответственно (если писала не совсем бестолочь, что не факт для pdns. Лазал как-то в код их интерфейса к ldap), несколько констант для подкрутки.<br>Почему их не вытаскивают в конфиг? Видимо, считают своё видение мира единственно верным. Пришлось самому покрутить для лагающих каналов (которые иногда &#8212; данность).<br>Альтернативно можно продолжать использовать bind9 с кучей алгоритмических подпорок. Но там столько вариантов cache poisoning, что я например умаялся его поддерживать. Дешевле получилось открутить дурной hardening из unbound и исправить ляп в коде с "перевёрнутым" insecure.<br><br>* Что до резолвера pdns, я пока не вижу его нишу. Для common case есть unbound. Для модно-микросервисного есть knot resolver. А этот куда?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#8 Wed, 17 Jul 2019 02:54:30 GMT Тем не менее проведенный уже в 2019 DNS day заставил изрядное количество организаций наконец обновить софт. Так что все к лучшему.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#7 Tue, 16 Jul 2019 22:45:44 GMT То самое чувство когда тебя насаживают на прогресс :)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#5 Tue, 16 Jul 2019 13:47:54 GMT так на поведение того конца никак повлиять и не удастся - там хз что древнее стоит, к чему может и подойти-то уже нельзя (иначе б давно и так работало). Дропало и будет дропать.<br><br>Отправляющая сторона в любом случае делает несколько повторных попыток (мало ли, почему мог потеряться пакет), просто раньше она последнюю делала с убранными лишними флагами.<br><br>то есть никакого технического смысла в этом улучшизме - нет. Соответственно, описание - явная попытка обмануть публику. Вот и спрашивается - а чего это они так активизировались, причем, в лучших традициях, не предоставив выбора пользователю (что, блжад, опять мешало воспользоваться условной компиляцией или добавить настройку?)<br><br>полагаю, ни для чего хорошего.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#4 Tue, 16 Jul 2019 11:41:14 GMT Ну это всё же более прозрачное поведение, чем просто дропать пакеты, а отправляющей стороне рестрансмитить наугад.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/117930.html#3 Tue, 16 Jul 2019 10:45:03 GMT В этом мире я уже ничему не удивляюсь.<br>