經過兩年的發展, ISC 發布了第一個穩定版 服務器的一個新的主要分支 支持三年的 DNS BIND 9.18 作為延長維護週期的一部分,直到 2025 年第二季度。
對 9.11 分支的支持將於 9.16 月結束,對 2023 分支的支持將於 9.19.0 年年中結束。BIND XNUMX 的實驗性分支已經形成,為 BIND 的下一個穩定版本開發功能。
推出 BIND 9.18.0 在實現對 DNS 技術的支持方面脫穎而出 通過 HTTPS(DoH、基於 HTTPS 的 DNS)和 基於 TLS 的 DNS (DoT,基於 TLS 的 DNS), 以及 XoT 機制 (XFR-over-TLS 用於在服務器之間的 TLS 區域上安全傳輸 DNS 內容(通過 XoT 支持發送和接收區域)。
通過適當的配置,一個命名的進程現在可以服務 不僅是傳統的 DNS 查詢,而且 使用 DNS over HTTPS 和 DNS over TLS 發送的查詢. dig 實用程序中內置了對基於 TLS 的 DNS 客戶端的支持,當指定“+tls”標誌時,它可用於通過 TLS 發送查詢。
其中 BIND 中 DoH 實現的特點, 突出顯示 將 TLS 的加密操作傳輸到另一台服務器的可能性,在 TLS 證書存儲在另一個系統中(例如,在具有 Web 服務器的基礎架構中)並由其他人員提供服務的情況下,這可能是必需的。 實現了對未加密 DNS over HTTP 的支持以簡化調試並作為轉發到內部網絡上另一台服務器的層(將加密移動到單獨的服務器)。 在遠程服務器上,nginx 可用於生成 TLS 流量,類似於為站點安排 HTTPS 綁定的方式。
DNS BIND 9.18 的主要創新
在這個新版本中,我們可以發現 添加了設置 tcp-receive-buffer、tcp-send-buffer、udp-receive-buffer和udp-send-buffer 設置通過 TCP 和 UDP 發送和接收請求時使用的緩衝區大小. 在繁忙的服務器上, 增加傳入緩衝區將防止在流量高峰時丟包 減少它們將有助於消除舊請求造成的內存阻塞。
另一個引人注目的變化是 添加了一個新的日誌類別“rpz-passthru”, 允許單獨註冊 RPZ(響應策略區)的轉發操作,除了 在響應策略部分添加了“nsdname-wait-recurse”選項,當設置為“no”時,僅當請求的緩存中存在權威名稱服務器時,RPZ NSDNAME 規則才適用; 否則,RPZ NSDNAME 規則將被忽略,但信息會在後台檢索並應用於後續請求。
解決 IP 分段問題 在處理由 DNS Flag Day 2020 倡議確定的大型 DNS 消息時, 調整 EDNS 緩衝區大小的代碼 如果未回答查詢,則將其從解析器中刪除。 EDNS 緩衝區大小現在為所有傳出請求設置為常數 (edns-udp-size)。
除了它 刪除了對“地圖”格式區域文件的支持 (主文件格式的地圖)。 建議使用此格式的用戶使用 named-compilezone 實用程序將區域轉換為原始格式。
, 其他突出的變化:
- 對於 HTTPS 和 SVCB 類型的記錄,執行“附加”部分的處理。
- 添加了自定義更新策略類型(krb5-subdomain-self-rhs 和 ms-subdomain-self-rhs)以限制對 SRV 和 PTR 記錄的更新。 在更新策略塊中,還添加了為每種類型單獨設置記錄數量限制的功能。
- 在 dig 實用程序的輸出中添加了有關傳輸協議(UDP、TCP、TLS、HTTPS)和 DNS64 前綴的信息。
- 添加了對 OpenSSL 3.0 庫的支持。
- 構建系統已更改為使用 autoconf、automake 和 libtool。
- 刪除了對先前 DLZ(動態可加載區域)控制器的支持,並替換為 DLZ 模塊。
- 刪除了對 Windows 平台的構建和運行支持。 可以在 Windows 上安裝的最新分支是 BIND 9.16。
終於 如果您有興趣了解更多信息, 您可以在中查看詳細信息 以下鏈接。