Представлен (https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006... значительный релиз авторитативного DNS-сервера Knot DNS 2.0 (https://www.knot-dns.cz/), разработанного организацией CZ.NIC и используемого для обслуживания доменов первого уровня Чехии. Код сервера распространяется под лицензией GPLv3. Поддерживается работа на большинстве Unix-подобных систем. Из особенностей Knot DNS можно выделить поддержку добавления и удаления зон на лету, возможность полной или инкрементальной передачи зон между серверами, поддержку DDNS (динамические обновления), NSID (RFC 5001), расширений EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).
Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Для обеспечения высокой производительности также применяются такие технологии, как Read-copy-update (RCU (http://en.wikipedia.org/wiki/Read-copy-update)), Copy-on-write (COW (http://en.wikipedia.org/wiki/Copy-on-write)) и Cuckoo-хэширования (http://en.wikipedia.org/wiki/Cuckoo_hashing). В условиях использования на корневом сервере Knot DNS демонстрирует (https://www.knot-dns.cz/pages/benchmark.html) заметно более высокую производительность, чем DNS-серверы NSD (http://www.opennet.me/opennews/art.shtml?num=38304), YADIFA (http://www.opennet.me/opennews/art.shtml?num=34217), BIND и PowerDNS.
Ключевые новшества Knot DNS 2.0:
- Новый формат конфигурации, основанный на YAML (https://ru.wikipedia.org/wiki/YAML). В новом формате реализована возможность использования шаблонов DNS-зон, расширены средства настройки удалённых хостов и ACL (возможность указания нескольких хостов и ключей), улучшена читаемость конфигурации.
Для преобразования в новый формат старых настроек подготовлена утилитаknot1to2. Конфигурация транслируется в эффективный бинарный формат, хранимый в базе LMDB.- Новый бэкенд для поддержки DNSSEC, вынесенный в отдельную библиотеку и переведённый на использование GnuTLS вместо OpenSSL. Поддерживается КASP (Key And Signature Policy), в том числе генерация начальных ключей для проверки DNS-зон по цифровой подписи и пролонгация ZSK (Zone Signing Keys).
- Базовая поддержка использования масок для обращения к файлам зон из файлов конфигурации (%s вместо имени файла);
- Возможность запрета синхронизации файла зоны (zonefile_sync = -1);
- В утилите knsupdate реализовано приглашение интерактивного ввода, команда quit и указание параметров алгоритма TSIG.
URL: https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006...
Новость: http://www.opennet.me/opennews/art.shtml?num=42543
что-то не выглядит он "быстрее"(и тем более - секьюрнее), чем актуальные версии NSD, Djb, Unbound на актуальном оборудовании.
и Где CurveDNS ? и другие CGA-based вещи, развивающие DNSSec?
Это авторитетный сервер, поэтому Unbound и CurveDNS не в кассу.
По быстродействию они с NSD примерно одинаковые, BIND чуть медленнее, что искупается обилием всяких опций.
Knot кушает 2МБ RAM, NSD 22МБ
Ну усраться теперь.
мб autoritative имелось ввиду?
а то "авторитетности" в нем в текущем виде - на полтора бакса.
Ну да, дословный перевод слова "autoritative". Калька с него в виде "авторитативный" нещадно режет ухо. "Авторитетный" аж на две буквы короче и звучит приятней.
> авторитативногоА в русском языке точно есть такое слово?
теперь есть, да, теперь точно есть
это устоявшийся термин.
https://ru.wikipedia.org/wiki/DNS-%D1%81%D0&#...
CGA это такой анциентный мониторчик
Ононим это такой икперд опеннета
Ононим это омоним :)
для провокаторов из числа обитателей криокамер:
https://en.wikipedia.org/wiki/Cryptographically_Generated_Ad...
https://tools.ietf.org/html/rfc3972
используется например в такой штуке
https://en.wikipedia.org/wiki/Secure_Neighbor_Discovery
(используещейся вместо дырявых ARP и NDP, там где реально L2 секьюрити - не блажь)
некоторые грят что с приходом 802.1AE, 802.1AR, 802.1AF и прочих, совместно 802.1x-EAP-2010 нужда в чем-то таком - отпадает, но УВЫ. не отпала. да и внедрение MacSec двигается в разЫ меньше чем вендоры хотели бы.
сейчас самая востребованная вещь в днс сервере это шифрование трафика между клиентом и сервером. Но и у этого днс сервера не появилось такой фичи!
Есть какие-то стандарты для этого?
вот именно,что нет, а давно пора иметь возможность шифровать трафик от днс клиента до сервера и обратно!
http://dnscrypt.org/
> http://dnscrypt.org/В этом случае весь зашифрованный dns-трафик останется у одной непонятно кому принадлежащей корпорации зла opendns :)
Должна быть возможность у любой организации или человека быть возможность шифровать dnsтрафик, для этого в бесплатных днс-серверах должна быть такая опция!
пока только
https://en.wikipedia.org/wiki/DNSCurve
http://dnscurve.org/
Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование.
> Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно
> оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование.мне нужно шифрование, шифрование оказывается везде нужно и всем! Есть такое слово "приватность" ,если не слышали. Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели. Это сильный соблазн для провайдеров и спецслужб включить режим слежки без всяких на то судебных оснований!
> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили?Я наверное Вас огорчу, но практически каждый DNS-сервер умеет писать лог запросов. Т.е. если Вы используете DNS-сервер(ы) провайдера (а по умолчанию используются именно они), он и так будет знать, куда ходят пользователи.
А раз Вы не рядовой пользователь и знаете, что такое DNS и даже можете настроить свои железки/системы на использование произвольных DNS-серверов, то для Вас не составит труда поднять VPN.
Причем именно поднять и именно свой, а не купить за $5 неизвестно что.
http://www.qmul.ac.uk/media/news/items/se/158459.html
>> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили?
> Я наверное Вас огорчу, но практически каждый DNS-сервер умеет писать лог запросов.
> Т.е. если Вы используете DNS-сервер(ы) провайдера (а по умолчанию используются именно
> они), он и так будет знать, куда ходят пользователи.
> А раз Вы не рядовой пользователь и знаете, что такое DNS и
> даже можете настроить свои железки/системы на использование произвольных DNS-серверов,
> то для Вас не составит труда поднять VPN.трафик к произвольным dns идёт также нешифрованным и просматривается легко вашим провайдером! Мочала начинай сначала...
> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели.Т.е. мусью получает ответ от ДНС -- и только потом переходит на rfc1149 (IP over Avian Carriers)? :)
>> Зачем всем пользователем,чтобы их провайдеры знали,куда они ходили? И что смотрели.
> Т.е. мусью получает ответ от ДНС -- и только потом переходит на
> rfc1149 (IP over Avian Carriers)? :)Голубиная почта сейчас самая приватная - ни тебе провайдера, зашифровать бы только сообщение , а дальше пусть пытают голубя от кого это письмо или кому , если поймают этого голубя конечно.
Дальше уже идёт https хотя бы или tor.
> мне нужно шифрование, шифрование оказывается везде нужно и всем!Да нет, вам просто хочется "странного".
Ну зашифровали вы запрос, оставив провайдера "в дураках" -- а дальше что? Голубей слать будете?
А если для соединений пользоваться туннелями - то можно, внезапно, пользоваться ими и для запроса.
Ваш ГО (Генерал Очевидность)
>> мне нужно шифрование, шифрование оказывается везде нужно и всем!
> Да нет, вам просто хочется "странного".
> Ну зашифровали вы запрос, оставив провайдера "в дураках" -- а дальше что?
> Голубей слать будете?
> А если для соединений пользоваться туннелями - то можно, внезапно, пользоваться ими
> и для запроса.
> Ваш ГО (Генерал Очевидность)Дальше при желании можно использовать tor, vpn, https. Это уже на порядки усложнит слежку за пользователями со стороны провайдера!
> можно использовать tor, vpn,А использовать их для днс запроса религия не позволяет?
> Дальше при желании можно использовать tor, vpn, https. Это уже на порядки усложнит слежку за пользователями со стороны провайдера!
Ага, пробросив соединение через либастрал.
*рука-лицо.жпг*
Ты из какого детского сада сбежал? Чем тебе шифрованный ДНС поможет в случае с https? Чем тебе нешифрованный ДНС помешает в случае tor и vpn? Я могу, конечно, придумать вектор атаки даже для такого случая, но если всё так серьёзно, то проще тебя гаечным ключом дубасить, пока ты всё сам не расскажешь. Криптоанархия — это весело и хорошо, но головой думать всё равно надо.
Провайдер и без днс может видеть, куда вы ходите.
Если эту проблему решить (посредством впн, например) то точно так же можно завернуть в впн и днс-трафик.
соединение с впн будет поймано провайдером по имени, что не хорошо. Да и люди, которые будут делать один днс запрос к провайдеру или вообще не делать или сидеть на одном айпишнике, сразу вызовут подозрение и к ним тогда фсбшники залезут в телефон и посмотрят что у него на экране творится через вебкамеру :)
> Провайдер и без днс может видеть, куда вы ходите.
> Если эту проблему решить (посредством впн, например) то точно так же можно
> завернуть в впн и днс-трафик.Если так, то всё равно нужно искать решения, которые блокируют желания операторов и спецслужб посмотреть трафик от абонента!
>> Провайдер и без днс может видеть, куда вы ходите.
>> Если эту проблему решить (посредством впн, например) то точно так же можно
>> завернуть в впн и днс-трафик.
> Если так, то всё равно нужно искать решения, которые блокируют желания операторов
> и спецслужб посмотреть трафик от абонента!DNScurve -это полузакрытое решение - клиентская часть опенсурс, а вот на серверную ни спецификаций никаких не открыто, ни сам код неизвестен!
> Потому что в протоколе DNS шифрование не предусмотрено, да и не нужно
> оно. Подписанные с помощью DNSSEC ответы - да, но не шифрование."в стандарте DNS" и DNSSec 'не предусмотрено' и 80% других, крайне полезных хреновин.
а вот в DNSCurve - очень даже да, идушему на замену DNSSec(пока АНБ не подсуетился и не выкатил "свой велосипед с квадратными колесами")
греть воздух рсчетом шифра каждого запроса 4096-битного RSA ключа на строне сервера и клиента, этого "you want"
yadifa получше будет.
> yadifa получше будет.Не, погаже малость.
А в цифрах то же самое заявление не затруднит написать?
Праздное любопытство? Не? На сайте ядифы есть тесты. Смысла подтасовывать факты не вижу. У каждого из этих серверов своя непересекаемая ниша.
Актуальность тестов просто зашкаливает. Нафиг сдались они с такими тестами.