经过两年的发展, ISC 发布了第一个稳定版 服务器的一个新的主要分支 支持三年的 DNS BIND 9.18 作为延长维护周期的一部分,直到 2025 年第二季度。
对 9.11 分支的支持将于 9.16 月结束,对 2023 分支的支持将于 9.19.0 年年中结束。BIND XNUMX 的实验性分支已经形成,为 BIND 的下一个稳定版本开发功能。
推出 BIND 9.18.0 在实现对 DNS 技术的支持方面脱颖而出 通过 HTTPS(DoH、基于 HTTPS 的 DNS)和 TLS上的DNS (DoT,基于 TLS 的 DNS), 以及 XoT 机制 (XFR-over-TLS 用于在服务器之间的 TLS 区域上安全传输 DNS 内容(通过 XoT 支持发送和接收区域)。
通过适当的配置,一个命名的进程现在可以服务 不仅是传统的 DNS 查询,而且 使用 DNS over HTTPS 和 DNS over TLS 发送的查询. dig 实用程序中内置了对基于 TLS 的 DNS 客户端的支持,当指定“+tls”标志时,它可用于通过 TLS 发送查询。
其中 BIND 中 DoH 实现的特点, 突出显示 将 TLS 的加密操作传输到另一台服务器的可能性,在 TLS 证书存储在另一个系统中(例如,在具有 Web 服务器的基础架构中)并由其他人员提供服务的情况下,这可能是必需的。 实现了对未加密 DNS over HTTP 的支持以简化调试并作为转发到内部网络上另一台服务器的层(将加密移动到单独的服务器)。 在远程服务器上,nginx 可用于生成 TLS 流量,类似于为站点安排 HTTPS 绑定的方式。
DNS BIND 9.18 的主要创新
在这个新版本中,我们可以发现 添加了设置 tcp-receive-buffer、tcp-send-buffer、udp-receive-buffer和udp-send-buffer 设置通过 TCP 和 UDP 发送和接收请求时使用的缓冲区大小. 在繁忙的服务器上, 增加传入缓冲区将防止在流量高峰时丢包 减少它们将有助于消除旧请求造成的内存阻塞。
另一个引人注目的变化是 添加了一个新的日志类别“rpz-passthru”, 允许单独注册 RPZ(响应策略区)的转发操作,除了 在响应策略部分添加了“nsdname-wait-recurse”选项,当设置为“no”时,仅当请求的缓存中存在权威名称服务器时,RPZ NSDNAME 规则才适用; 否则,RPZ NSDNAME 规则将被忽略,但信息会在后台检索并应用于后续请求。
解决 IP 分段问题 在处理由 DNS Flag Day 2020 倡议确定的大型 DNS 消息时, 调整 EDNS 缓冲区大小的代码 如果未回答查询,则将其从解析器中删除。 EDNS 缓冲区大小现在为所有传出请求设置为常数 (edns-udp-size)。
除了它 删除了对“地图”格式区域文件的支持 (主文件格式的地图)。 建议使用此格式的用户使用 named-compilezone 实用程序将区域转换为原始格式。
, 其他突出的变化:
- 对于 HTTPS 和 SVCB 类型的记录,执行“附加”部分的处理。
- 添加了自定义更新策略类型(krb5-subdomain-self-rhs 和 ms-subdomain-self-rhs)以限制对 SRV 和 PTR 记录的更新。 在更新策略块中,还添加了为每种类型单独设置记录数量限制的功能。
- 在 dig 实用程序的输出中添加了有关传输协议(UDP、TCP、TLS、HTTPS)和 DNS64 前缀的信息。
- 添加了对 OpenSSL 3.0 库的支持。
- 构建系统已更改为使用 autoconf、automake 和 libtool。
- 删除了对先前 DLZ(动态可加载区域)控制器的支持,并替换为 DLZ 模块。
- 删除了对 Windows 平台的构建和运行支持。 可以在 Windows 上安装的最新分支是 BIND 9.16。
最后 如果您有兴趣了解更多信息, 您可以在中查看详细信息 以下链接。