Состоялся (http://www.unbound.net/pipermail/unbound-users/2018-March/00...) релиз кеширующего DNS-сервера Unbound 1.7.0 (http://www.unbound.net/download.html), ориентированного на использование в промышленной инфраструктуре интернет сервис-провайдеров. Unbound распространяется под лицензией BSD, имеет модульную структуру и поддерживает работу резолвера в рекурсивном и кэширующем режиме, также имеется возможность проверки валидности DNSSEC сигнатур, асинхронных запросов и библиотеки для интеграции кода резолвера в пользовательские приложения.Основные новшества:
- Поддержка авторитетных зон, которые можно отдавать из файла или загружать с других серверов через запросы AXFR и IXFR или даже указав URL ресурса, доступного через http/https. В том числе, новая функциональность позволяет разместить локальную копию корневой зоны. Подключение локальных файлов с зонами или задание ссылки на master-сервер осуществляется в секции "auth-zone";
- Режим агрессивной обработки NSEC, допускающий использование записей NSEC из кэша для генерации NXDOMAIN, NODATA и положительных ответов. Данный режим позволяет справляться с флудом запросами несуществующих доменов. Включение режима производится опцией "aggressive-nsec: yes";
- Новые настройки tls-upstream, tls-port, tls-service-key, tls-service-pem, stub-tls-upstream и forward-tls-upstream;
- В секцию "[dnscrypt]" добавлена опция dnscrypt-provider-cert-rotated, позволяющая поочерёдно обрабатывать несколько пар сертификатов/ключей;
- В OpenBSD обеспечена работа опции ip-transparent (приём соединений с использованием сокета с флагом IP_TRANSPARENT).URL: http://www.unbound.net/pipermail/unbound-users/2018-March/00...
Новость: https://www.opennet.dev/opennews/art.shtml?num=48267
Лучший DNS-ресолвер, я считаю.
Ок
Удобная штука и небольшая - я обычно на винде ставлю везде, и прописываю первым днс сервером 127.0.0.1 (или вообще единственным), потом провайдера или днс сервера провайдера вовсе не прописываю, чтобы на днс сервере провайдера мои запросы не оставались. Они в принципе и так их могут посмотреть, но может им посложнее будет сделать, хотя тут дело техники...
Жаль DNSSEC не хотят даже банки вводить в личных кабинетах, древние люди. Мало распространён этот протокол в России или может мало админов способных с настройками DNSSEC разобраться :)
dnscrypt ты имел в виду, наверное? чем тебя спасёт dnssec в твоём сценарии - непонятно
> dnscrypt ты имел в виду, наверное?DNSCrypt уже вроде не в моде.
Вместо него теперь DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать все-все проблемы и задачи.
>> dnscrypt ты имел в виду, наверное?
> DNSCrypt уже вроде не в моде.
> Вместо него теперь DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать
> все-все проблемы и задачи.не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот сайт, который нужен! и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь!
> не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот
> сайт, который нужен!Последняя часть, о решении "всех-всех" проблем, была легкой иронией. Но сабж в dns over tls умеет.
> и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь!
Удачи и соседу и провайдеру вклиниться в (грамотно реализованный) TLS.
Кстати, открою страшную тайну – провайдеру совсем не обязательно перехватывать запросы DNS, чтобы знать, куда вы ходите ;)
обычные пользователи используют сетевые настройки , которые им выдаёт провайдер, в том числе и днс сервера. Поэтому запросы на разрешения имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер знает по каким сайтам вы ходите. можно поднять свой кеширующий сервис имён и не использовать днс сервер провайдера. Unbound - отличный вариант для этого, маленький и многоплатформенный! Он имея список корневых серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, который ввёл пользователь в адресной строке. Все днс запросы посылаются без шифрования: и от браузера к днс серверу и дальше от одного днс сервера к другому. Так что формально провайдер может видеть запросы от вашего unbound, но для этого ему уже нужны снифферы.
Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента к серверу днс. для этого на клиенте и на сервере нужно установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое!
Но запросы между серверами всё равно будут идти открытым текстом!
Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно заменить ip, которое он выдаст вам в ответ и вы пойдёте например на сайт сбербанка(но попадёте на другой IP, где будет размещён похожий сайт) и там введёте свои данные, которые могут быть украдены этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом от вашего днс провайдера!
DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", поэтому вы получате именно тот IP, который должен быть и гарантия этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip пакетов и когда пакет идёт от вас, то меняют поля "куда идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет отбить вашу девушку :)
Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно тем сайтом! И в первую очередь это должно использоваться там, где может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп