The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS

27.01.2022 12:52

После двух лет разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.18. Поддержка ветки 9.18 будет осуществляться в течение трёх лет до 2 квартала 2025 года в рамках расширенного цикла сопровождения. Поддержка ветки 9.11 прекратится в марте, а ветки 9.16 в середине 2023 года. Для развития функциональности следующей стабильной версии BIND сформирована экспериментальная ветка BIND 9.19.0.

Выпуск BIND 9.18.0 примечателен реализацией поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XoT (XFR-over-TLS) для безопасной передачи содержимого DNS-зон между серверами (поддерживается как отдача, так и приём зон по XoT). При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DNS-over-HTTPS и DNS-over-TLS. Клиентская поддержка DNS-over-TLS встроена в утилиту dig, которая может использоваться для отправки запросов поверх TLS при указании флага "+tls".

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число необязательных сборочных зависимостей. Сертификаты для DoH и DoT могут предоставляться пользователем или генерироваться автоматически во время запуска.

Обработка запросов с использованием DoH и DoT включается через добавление опций "http" и "tls" в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать "tls none". Ключи определяются в секции "tls". Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например:


   tls local-tls {
       key-file "/path/to/priv_key.pem";
       cert-file "/path/to/cert_chain.pem";
   };
   http local-http-server {
      endpoints { "/dns-query";  };
   };
   options {
      https-port 443;
      listen-on port 443 tls local-tls http myserver {any;};
   }

Из особенностей реализации DoH в BIND отмечается возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса на другой сервер во внутренней сети (для выноса шифрования на отдельный сервер). На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.

Другой особенностью является интеграция DoH в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.

Из недостатков, которые можно будет компенсировать отключением сборки с DoH/DoT или выносом шифрования на другой сервер, выделяется общее усложнение кодовой базы - в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые потенциально могут содержать уязвимости и выступать дополнительными векторами для атак. Также при использовании DoH увеличивается трафик.

Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.

"DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS с проверкой валидности хоста через TLS/SSL-сертификаты, заверенные удостоверяющим центром. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Некоторые другие новшества:

  • Добавлены настройки tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer и udp-send-buffer для задания размеров буферов, используемых при отправке и приёме запросов по TCP и UDP. На нагруженных серверах увеличение входящих буферов позволит избежать отбрасывания пакетов в момент пиков трафика, а уменьшение - поможет избавиться от засорения памяти старыми запросами.
  • Добавлена новая категория логов "rpz-passthru", позволяющая отдельно журналировать действия проброса RPZ (Response Policy Zones).
  • В секции response-policy добавлена опция "nsdname-wait-recurse", при установке которой в значение "no" правила RPZ NSDNAME применяются только если для запроса найдены присутствующие в кэше авторитетные серверы имён, иначе правило RPZ NSDNAME игнорируется, но информация извлекается в фоне и применяется к последующим запросам.
  • Для записей с типами HTTPS и SVCB реализована обработка секции "ADDITIONAL".
  • Добавлены настраиваемые типы правил update-policy - krb5-subdomain-self-rhs и ms-subdomain-self-rhs, позволяющие ограничить обновление записей SRV и PTR. В блоках update-policy также добавлена возможность установки ограничений числа записей, отдельных для каждого типа.
  • В вывод утилиты dig добавлены сведения о транспортном протоколе (UDP, TCP, TLS, HTTPS) и префиксах DNS64. Для отладочных целей в dig добавлена возможность указания конкретного идентификатора запроса (dig +qid=<num>).
  • Добавлена поддержка библиотеки OpenSSL 3.0.
  • Для решения проблем с IP-фрагментацией при обработке DNS-сообщений большого размера, обозначенных инициативой DNS Flag Day 2020, из резолвера удалён код, выполняющий корректировку размера буфера EDNS в случае отсутствия ответа на запрос. Размер буфера EDNS теперь устанавливается постоянным (edns-udp-size) для всех исходящих запросов.
  • Система сборки переведена на использование связки из autoconf, automake и libtool.
  • Прекращена поддержка файлов зон в формате "map" (masterfile-format map). Пользователям данного формата рекомендовано преобразовать зоны в формат raw при помощи утилиты named-compilezone.
  • Прекращена поддержка старых драйверов DLZ (Dynamically Loadable Zones), на смену которым пришли модули DLZ.
  • Прекращена поддержка сборки и запуска для платформы Windows. Последней веткой, которую можно установить в Windows, остаётся BIND 9.16.


  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
  3. OpenNews: Изменение модели формирования релизов DNS-сервера BIND. BIND 9.18 отложен на следующий год
  4. OpenNews: Выпуск DNS-сервера BIND 9.16.0
  5. OpenNews: Выпуск BIND 9.14.0, разрывающий совместимость с серверами, не отвечающими на запросы с EDNS
  6. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56589-bind
Ключевые слова: bind, dns, doh, dot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (109) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, marten (ok), 13:09, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года.

    Т.е. уже всё?

     
     
  • 2.14, Аноним (14), 15:36, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, считайте что всё.
    We will continue maintaining BIND 9.11 through the end of 2021, and will patch any significant security issues through Q1, 2022.
     

  • 1.3, Аноним (-), 13:12, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Неужели кто-то до сих пор пользует этого динозавра?
     
     
  • 2.5, dalco (ok), 13:46, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему нет?

    Сотню-другую хостов держит без вопросов, с виндовыми DNS'ами дружит. Настройка элементарна, хаутухами весь инет забит. Работает и каши не просит.

     
     
  • 3.9, Онаним (?), 14:54, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пффф, у нас он десятки тысяч хостов держит без каких-либо проблем.
     
     
  • 4.13, dalco (ok), 15:27, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, мало ли... Может у человека хосты миллионами обрабатываются и чудо-DNS на brainfuсk'е написанный, а мы тут со своим антиквариатом.
     
     
  • 5.54, Аноним (54), 11:59, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если миллионами - Knot, если хочется удобства и отказоустойчивости - dnsdist+pdns-auth+postgres.

    Bind - это когда хочется уявимостей и гемора на ровном месте.

     
  • 4.33, Pahanivo пробегал (?), 23:34, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хм. Он у меня на третьем пне двухядерном полторы тыщи зон волок да 600-700 резолвов в процессе ....
     
     
  • 5.65, AndreyChe (?), 17:37, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что такое двухядерный третий пень? Типа Pentium 3 Duo ? :D
    Или таки был двухпроцессорный пень 3?
     
     
  • 6.76, Аноним (76), 23:40, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это когда вот так https://www.google.com/search?q=pentium+3+dual+processor+motherboard&sxsrf=APq
     
     
  • 7.116, AndreyChe (?), 17:27, 31/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > это когда вот так https://www.google.com/search?q=pentium+3+dual+processor+motherboard&sxsrf=APq

    это таки двухпроцессорный

     
  • 6.118, Онаним (?), 10:29, 02/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, он видимо про двухпроцессорную плату.
    Двухядерные пни начались с недоскота.
     
     
  • 7.119, Онаним (?), 10:33, 02/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Даже вру, это был уже не недоскот, а сразу после недоскота - но тоже на нетбурсте. Pentium D назывался.
     
  • 3.19, Аноним (19), 16:25, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не на Rustишке написан, мало зависимостей в особенности нет leftpad, не модно и молодёжно, уже повод его не использовать
     
     
  • 4.32, Аноним (32), 23:02, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не Растишке, потому и работает.
     
     
  • 5.36, Аноним (19), 02:02, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А мы в сарказм не умеем, да?
     
     
  • 6.56, Аноним (54), 12:09, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Здесь сарказм не очень уместен.
    Бинд так плох, что ему не повредит переписывание не то, что на ржавчине - даже на visual basic.
    Продукты ISC формируют тот уровень дна, который невозможно пробить.
     
     
  • 7.67, nvidiaamd (?), 21:23, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И тут ты такой выходишь и показываешь нам свой код, который написан так что мы от счастья будем плакать, и возьмем его стандарт написания всего и вся. Гдеж ты был раньше? Что не покажешь нам свой код? Его нет у тебя? Мндаааа... странно.
     
     
  • 8.70, Онаним (?), 22:26, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ща предложат какую-нибудь очередную херню на гошечке, написанную на коленке для ... текст свёрнут, показать
     
     
  • 9.95, Аноним (54), 18:58, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https www knot-dns cz сойдет CZNIC вроде подпадает под определение одного п... текст свёрнут, показать
     
     
  • 10.98, Онаним (?), 19:50, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И давно он в рекурсию научился ... текст свёрнут, показать
     
     
  • 11.106, Аноним (54), 12:10, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У профессиональных разработчиков, auth и rec - это два разных сервера Что у kno... текст свёрнут, показать
     
  • 10.99, Онаним (?), 19:52, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя против собственно кнота ничего не имею - если достаточно только auth, то вп... текст свёрнут, показать
     
  • 2.53, Аноним (54), 11:55, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Неужели кто-то до сих пор пользует этого динозавра?

    Очень неплох, если потерял SSH-ключи от хоста. Можно ломануть по-быстрому, благо дыр там выше крыши, ребята из ISC дадут фору даже разрабам Exim.

     
     
  • 3.114, john_erohin (?), 18:27, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень неплох, если потерял SSH-ключи от хоста.  Можно ломануть по-быстрому

    а здесь мы видим типичный случай так называемых "понтов".

    на скольких хостах вы восстановили управление таким образом, уважаемый анон ?
    я почму-то думаю, что их число строго равно 0 (ноль).

     

  • 1.4, Аноним (4), 13:38, 27/01/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     

     ....ответы скрыты (4)

  • 1.8, Аноним (8), 14:36, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Прекращена поддержка сборки и запуска для платформы Windows. Последней веткой, которую можно установить в Windows, остаётся BIND 9.16.

    Не знал что он там вообще работал.

     
     
  • 2.16, john_erohin (?), 15:46, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    работал еще как ! вместо чудесного MS DSN server.
    на контроллере домена AD через include в зону подключается текстовый файл,
    и все потроха AD доступны для запросов. с сервера MS DHCP вытягивается
    база в другой текстовый файл, и вся динамика в DNS. юзеры логин скриптами
    формируют третий текстовый файл, и видно кто с какой р.станции зашел.
     
     
  • 3.80, nvidiaamd (?), 01:55, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну теперь все.
     

  • 1.10, Онаним (?), 14:54, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну накотец-то. А то клиенты задолбали DoH/DoT просить.
     
     
  • 2.18, john_erohin (?), 15:53, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    когда у меня клиенты начали "просить" (на самом деле гадить в) 853/tcp,
    я завернул их stunnel-ем на bind 53/tcp. есть ли такая же нашлепка для DoH ?

    ps: есть вот такая штука https://dankaminsky.com/phreebird/ но по-моему оно не для этого.

     
     
  • 3.41, john_erohin (?), 08:39, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ну и какие альтернативно одаренные пациенты минусуют ?  не нраятся грязные хаки ?
    так опишите свой идеологически правильный подход к вопросу.
     
     
  • 4.43, Онаним (?), 09:12, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я думал тоже завернуть, но как-то не особо радует на боевые DNS-серверы навешивать лишнее.
    Идеологически правильный подход - вот он, в новости :D
     
     
  • 5.52, john_erohin (?), 11:08, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну я думал тоже завернуть, но как-то не особо радует на боевые
    > DNS-серверы навешивать лишнее.

    там нагрузка мизер. A/B тесты в помощь.

    > Идеологически правильный подход - вот он, в новости :D

    т.е. я должен был терпеть и ждать этой новости. спасибо, но нет.

     
     
  • 6.71, Онаним (?), 22:27, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я думаю что доха там реально дох не будет, да, но у меня и так DNS-трафика за 20 мегабит на каждый из шести резолверов ныне, ну его нафиг.
     
  • 5.55, Аноним (54), 12:03, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Идеологически правильный подход - вот он, в новости :D

    А я думал - выбросить недосервер, написанный индусами из ISC за плошку риса (там другие национальности и другие формы оплаты не котируются), и взять DNS-сервер, написанный программистами.

     
     
  • 6.81, nvidiaamd (?), 01:57, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Типа ms dns?
     
     
  • 7.94, Аноним (54), 18:50, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С каких пор майкрософт стал нанимать программистов?
     
  • 2.24, OpenEcho (?), 17:10, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    nginx <-> [dns-over-https][1] <-> unbound

    и весь компот  

    [1]: https://github.com/m13253/dns-over-https

     
     
  • 3.44, Онаним (?), 09:13, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда один проект и полторы зоны - нормально.
    А когда сотни тысяч хомячков - уже не очень.
     
     
  • 4.63, OpenEcho (?), 15:30, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда один проект и полторы зоны - нормально.

    Ну да, для одного бренча более чем достаточно

    >А когда сотни тысяч хомячков - уже не очень.

    На сколько я понял, то вопрос был именно о применении где НЕ тысячи.

     
  • 3.46, Онаним (?), 09:18, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Плять, оно ещё и на го. Не, спасибо, сами ешьте.
     
     
  • 4.64, OpenEcho (?), 15:32, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Плять, оно ещё и на го. Не, спасибо, сами ешьте.

    В свежих версиях unbound есть опция --enable-dnscrypt и можно вообще обойтись без прослойки если охота каждый раз перекомипилровать на апдейтах.

    А чем так Го раздражает то?

     
     
  • 5.68, Аноним (54), 22:02, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем так Го раздражает то?

    Слишком просто и легко собирается. Не unix way.

     
  • 5.72, Онаним (?), 22:34, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ца в полтора землекопа.
    Т.е. боевых юзкейсов в масштабе хотя бы ISP там около 0, и чего в нём при моей нагрузке вылезет - меня стремает даже проверять.
     
     
  • 6.73, Онаним (?), 22:35, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    (не говоря уже о том, что эталонный сишный код, который был, есть и будет есть - я разобрать и пофиксить могу без проблем при надобности, а вот каждый год учить новую моднявку - напрягает)
     
     
  • 7.82, nvidiaamd (?), 02:00, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, а где этот эталонный сишный?
     
  • 7.93, Аноним (54), 18:48, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  (не говоря уже о том, что эталонный сишный код, который был, есть и будет есть - я разобрать и пофиксить могу без проблем при надобности, а вот каждый год учить новую моднявку - напрягает)

    Ну, если вы даже предельно простой язык типа гошки освоить не можете, то на сях ваш код будет эталоном разве что для демонстрации различных уязвимостей.

     
     
  • 8.97, Онаним (?), 19:48, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То есть теперь чтобы на сях писать, надо гошу осваивать Чуден мир у хипстеров ... текст свёрнут, показать
     
  • 6.102, DNS (??), 11:07, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    True C way: https://www.knot-dns.cz/
     
     
  • 7.103, Онаним (?), 11:32, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Уже выше отметились. Но в рекурсию он не умеет, и к хипстерским язычкам тоже не относится.
    К слову, именно то, что лежит во вторичном стеке, на случай падения бинды.
    В качестве рекурсоров на тот же случай может быть кратковременно задействована винда.
     

  • 1.12, Rev (?), 15:05, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые потенциально могут содержать уязвимости и выступать дополнительными векторами для атак.

    Правильно читать как:
    в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые содержат уязвимости и будут выступать дополнительными векторами для атак.

     
     
  • 2.17, pfg21 (ok), 15:48, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    классически, ты собираешь бинд без онных серверов и становишся счастливым обладателем не дырявого бинд.
     
     
  • 3.60, Аноним (54), 12:19, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > не дырявого бинд

    Это невозможно https://security-tracker.debian.org/tracker/source-package/bind9

     
  • 2.61, Аноним (54), 12:20, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые содержат уязвимости и будут выступать дополнительными векторами для атак.

    Ну, в 2022 году BIND используют только преданные последователи идеологии Поттеринга - "чем больше всего запихнуть в блоб, тем лучше".

     
  • 2.74, Онаним (?), 22:36, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, дохи я на основные резолверы не рискну, заведу ещё парочку чисто под дохлого.
     

  • 1.15, Аноним (14), 15:37, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну раз на винде его не будет, то остаётся только unbound. Собственно пользуюсь им. Не без проблем скажу, но работает.
     
  • 1.28, Ivan_83 (ok), 18:53, 27/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлены настройки tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer и udp-send-buffer

    Не прошло и 20 лет.
    В том же nginx это было 2007 или даже сильно раньше, просто я ничего ранее презентации 2007 по нгинх не смотрел.

    Как этот капролит столько смог прожить без этих настроек?
    Подозреваю что ответ один - им никто в серьёз не пользовался.

     
     
  • 2.30, Аноним (30), 20:52, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как этот капролит столько смог прожить без этих настроек?

    Раньше настраивали это прямо в ядре.

    > им никто в серьёз не пользовался

    Админы высоконагруженного локалхоста с LA 0.0 всегда такие смешные. Знаний ноль, но мнение имеют!

     
     
  • 3.34, Ivan_83 (ok), 23:41, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для капролитов и сейчас настраивать через ядро глобально для всей системы - единственный выход.
    Хайлоад софт это умел 15 лет назад, вот про это спич.
     
     
  • 4.35, yet another anonymous (?), 00:01, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу пардону, а ВЫ действительно с highload работали, или так, мимо проходили?
     
     
  • 5.47, Ivan_83 (ok), 09:37, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Работал, и именно как разработчик.
     
     
  • 6.58, Аноним (54), 12:14, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Странно. Профессиональные разработчики обычно знают, что bufferbloat никак не улучшает работу приложения под нагрузкой.
     
     
  • 7.79, Ivan_83 (ok), 01:02, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    bufferbloat - это название симптома, к раздутым буферам оно имеет опосредованное отношение.
     

  • 1.37, Ingener (??), 02:49, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Самое главное чтобы товарищу майору было удобно. Чтобы взлом ДНС был доступен и удобен. И простой UI для рядовых.
     
  • 1.38, Аноним (38), 03:03, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Последней веткой, которую можно установить в Windows, остаётся BIND 9.16

    Если со страницы о новой версии https://www.mail-archive.com/bind-announce@lists.isc.org/msg00622.html перейти по предложенной там ссылке https://www.isc.org/downloads, а дальше на ftp://ftp.isc.org/isc/, то последние бинарники для windows нашёл в каталоге версии 9.17.15:
    ftp://ftp.isc.org:21/isc/bind9/9.17.15/BIND9.17.15.x64.zip

     
  • 1.39, lockywolf (ok), 07:01, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    DoH и DoT -- это так же бесполезно, как и dnssec.

    Вот пришёл к тебе dnssec пакет со сломанной подписью, что делать будешь? Выкинешь? Ты так без DNS останешься. С DoT будет то же самое -- будут рваться DoT коннекты, и всё.

     
     
  • 2.40, Djdjcnnekslskcor (?), 07:29, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А почему не выкинуть? Подпись плохая - в трэшЪ
     
     
  • 3.50, lockywolf (ok), 10:53, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот всё, что тебе хотели заблокировать, и заблокируют твоими же собственными дропами пакетов.
     
  • 2.45, Онаним (?), 09:16, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато DoH так-то сложно от HTTPS отличить.
     
     
  • 3.49, lockywolf (ok), 10:51, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем его отличать? Ты один раз на него шлёшь запрос сам, получаешь ответ, и добавляешь в бан-лист навсегда.
     
  • 2.59, Аноним (54), 12:17, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  DoH и DoT -- это так же бесполезно, как и dnssec.

    Нет. Сломанный TLS - проблема отдельно взятого резолвера и авторитатива.
    А DNSSEC запросто может сломаться не то, что на уровне TLD, а на корневом уровне, и все подписанные ответы автоматически станут некорректными.

     
     
  • 3.62, lockywolf (ok), 14:14, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>  DoH и DoT -- это так же бесполезно, как и dnssec.
    > Нет. Сломанный TLS - проблема отдельно взятого резолвера и авторитатива.
    > А DNSSEC запросто может сломаться не то, что на уровне TLD, а
    > на корневом уровне, и все подписанные ответы автоматически станут некорректными.

    У вас есть список ресолверов, которые выбрасывают (и не выбрасывают) ответы со сломанной подписью?

     
  • 3.86, Онаним (?), 10:34, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А DNSSEC запросто может сломаться не то, что на уровне TLD, а
    > на корневом уровне, и все подписанные ответы автоматически станут некорректными.

    И, надо сказать, он ломается регулярно, поэтому пришлось после ряда жалоб на рекурсивных резолверах проверку такового отключить, если абоненты хотят - включают у себя и наслаждаются^W мучаются.

     
  • 2.66, Аноним (30), 18:27, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Лучше, конечно, когда на транзите втихую подменяют ответ, ага.
     
     
  • 3.69, Аноним (54), 22:04, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, эту всю фигню с сертификатами придумали, чтобы хитрозадые юзеры на своих роутерах не резали рекламу и телеметрию на уровне DNS.
     

  • 1.42, Аноним (-), 09:07, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Выпуск DNS-сервера BIND

    В условиях Раисии его используют только интернет-провайдеры, я как добрый админ локал хоста прохожу мимо.

     
     
  • 2.48, Аноним (48), 10:14, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я как добрый админ локал хоста прохожу мимо.

    Держи нас в курсе.

     
     
  • 3.88, Аноним (88), 14:17, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не говори за всех. А меня то зачем в курсе держать?
     
  • 2.51, john_erohin (?), 11:03, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > добрый админ локал хоста

    слишком добрый. сюда смотри:

    раз: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-1809-endpoints

    два:
    zone "weather.microsoft.com"
    {type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
    zone "wallet.microsoft.com"
    {type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
    zone "mediaredirect.microsoft.com"
    {type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
    [... и т.д. все что не нравится ...]

    три:
    $TTL 604800
    @ IN SOA localhost. root.localhost. (
    5 ; Serial
    604800 ; Refresh
    86400 ; Retry
    2419200 ; Expire
    604800 ) ; Negative Cache TTL
    ;
    @ IN NS localhost.
    @ IN A 127.0.0.1
    * IN A 127.0.0.1
    * IN PTR fubar
    * IN TXT "fubar"

     
     
  • 3.57, Аноним (54), 12:13, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У здоровых людей либо dnsmasq, либо unbound, которые все это позволяют даже без создания дополнительного файла.
     
     
  • 4.75, Онаним (?), 22:39, 28/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Целый файл. Ужос. Содомия.
    Лучше конечно мудохаться с unpredictable unknown, ага.
     
     
  • 5.91, Аноним (54), 18:34, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > unpredictable unknown

    Это какая-то мега-фича bind?

     
     
  • 6.100, Онаним (?), 19:53, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это dnsmasq и unbound. И не фича, а целиком.
     
     
  • 7.107, Аноним (54), 12:12, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, это называется "недостаточная квалификация для работы админом".
     
     
  • 8.115, Онаним (?), 22:15, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, услышав dnsmasq и unbound - в админы лучше не пускать ... текст свёрнут, показать
     

  • 1.78, Палыч (?), 00:21, 29/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Байнд-шмайнд, вот у нас в столовке на заводе такие беляши с капустой и с мясом, бросайте ребзя дурью маяться, стране нужен метал!
     
     
  • 2.84, Аноним (84), 08:19, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Байнд-шмайнд

    Байден-шмайнд

     
  • 2.85, Аноним (-), 10:01, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >стране нужен метал!

    Не ври! Стране нужны рабы.

    >у нас в столовке на заводе такие беляши с капустой и с мясом

    Вот-вот, в России подавляющее большинство людей, которым ничего не нужно от жизни, лишь бы давали пожрать 3 раза в сутки, и раздавали бы бесплатно курево.

     
     
  • 3.101, Гражданин мира (?), 10:36, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать, что в других странах, - по другому
     
  • 2.87, Онаним (?), 10:35, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если на байнд забить - возможно, в столовке исчезнут беляши, потому что закупки вовремя не пройдут :D
     
     
  • 3.89, john_erohin (?), 17:10, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    у производителей беляшей обычно есть резервные каналы приема заказов
    (телефон). и резервные каналы приема оплаты за продукцию (чемодан с кэшем).

     
     
  • 4.90, Онаним (?), 17:24, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зато у производителей мяуса, муки и масла каналы могут быть чуть менее олдскульные, да и банки явно будут не в восторге )
     
     
  • 5.92, Аноним (54), 18:37, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ни в одном вменяемом банке безопасники не пропустят в прод поделки от ISC.
     
     
  • 6.96, Онаним (?), 19:39, 29/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Бгг, да, только десяточка, только хардкор.
     
     
  • 7.108, Аноним (54), 12:14, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    bind и десяточка созданы друг для друга. Два дырявых решета, написанных с песнями и танцами.
     
     
  • 8.109, Онаним (?), 12:17, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А самый цимес в том, что в отличие от хипстерских всех таких красивых поделок - ... текст свёрнут, показать
     
  • 5.104, Аноним (-), 11:33, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Читал давно в новостных рассылках как в Подмосковье в одном то ли на мясоперерабатывающем, то ли на колбасном обнаружили человеческое ДНК. Ужос! Они мясо бомжей что-ли... ... ну того.

    Ну бывает что на консервном заводе в чан могут бычок кинуть.

     
     
  • 6.105, Онаним (?), 11:34, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бггг, да вообще без проблем, кому-то палец подрезало, вот и ДНК.
    В эмульсии тех же крыс, подъём прохлопавших, тоже может быть достаточно.
     
     
  • 7.110, Аноним (-), 15:10, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Купишь ты колбасу а там фрагменты человечины Тебе будет вообще без проблем.
     
     
  • 8.111, Онаним (?), 18:06, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я знаю как она обрабатывается - и ты вряд ли в этой выварке сможешь крысу от сол... текст свёрнут, показать
     
  • 8.112, Онаним (?), 18:11, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В здравом уме конечно никто ничего такого страшного сознательно не использует И... текст свёрнут, показать
     
  • 8.113, Онаним (?), 18:16, 30/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто понимаешь, частично мясо рубится вручную, большущими ножами, и травмы слу... текст свёрнут, показать
     
  • 2.117, www2 (??), 07:18, 02/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Метал или металл?
     

  • 1.83, Аноним (84), 08:17, 29/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, добавили DoHлика, теперь заживём
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру