Вышли релизы DNS сервера BIND

Вышли релизы DNS сервера BIND - 9.4.3 и 9.3.6

19.11.2008 17:25

Спустя год после релиза Bind 9.4.2, вышла новая версия DNS сервера BIND - 9.4.3. В новой версии устранено более 100 ошибок, улучшена работа на платформах Solaris, Linux, FreeBSD, Win32, AIX, HPUX, Tru64.

Некоторые новшества:

Добавлена новая опция "-S" для определения лимита открытых сокетов;
Реализована дополнительная рандомизация номеров портов для исходящих запросов, что позволяет лучше противостоять атакам, основанным на генерации фиктивного ответа.
В libbind реализована поддержка nsid
Устранено переполнение буфера в функции inet_network(), степень опасности уязвимости - незначительная;
Размер начального таймаута изменен на 800мc;
В Linux, FreeBSD, AIX для UDP ответов и запросов отныне отключен "path mtu discovery" (очищается DF бит);
Наличие механизмов мультиплексирования epoll, kqueue и /dev/poll теперь определяется автоматически на стадии сборки;
В win32 сборке появилась поддержка IPv6;
В named.root внесены AAAA записи с IPv6 адресами корневых серверов.

Дополнение: спустя несколько часов вышел релиз прошлой ветки - BIND 9.3.6, в котором представлены исправления и усовершенствования, за редким исключением, идентичные релизу 9.4.3.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/18991-dns

Ключевые слова: dns, bind

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.6, Дмитрий Ю. Карпов (?), 09:22, 20/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Изначально BIND предлагал обновлять named.root руками, закачивая его по FTP. Потом добавили фичу закачки корневой зоны с одного конкретного корневого сервера (средствами синхронизации slave с master), но моя попытка запустить named в таком режиме не удалась. Интересно, смогут ли когда-нибудь сделать так, чтобы список корневых серверов брался с этих же самых корневых серверов (сейчас адрес master'а вбит в named.conf), причём чтобы он подписывался цифровой подписью? Вот когда это сделают, тогда обновлю. А пока пусть работает штатный из дистрибутива.

2.7, ap__ (?), 09:52, 20/11/2008 [^] [^^] [^^^] [ответить]	+/–
> смогут ли когда-нибудь сделать так, чтобы список корневых >серверов брался с этих же самых корневых серверов (сейчас адрес master'а >вбит в named.conf), dig @a.named-root.net > named.root не подходит?

3.10, Дмитрий Ю. Карпов (?), 15:26, 20/11/2008 [^] [^^] [^^^] [ответить]

+/–

> dig @a.named-root.net > named.root
> не подходит?

Допустим, a.named-root.net сменит адрес. Что тогда будет, если адрес резолвится по старой версии named.root?

Фишка в том, что named умеет опрашивать несколько серверов и выбирать наиболее правильную версию зоны. А скриптами это делать сложно.

4.11, ap__ (?), 16:13, 20/11/2008 [^] [^^] [^^^] [ответить]

+/–

>Допустим, a.named-root.net сменит адрес. Что тогда будет, если адрес резолвится по старой
>версии named.root?

1 раз список можно взять командой dig @198.41.0.4 (или с любого другого корневого сервера)

потом ( раз в год/два/три )
подойдет dig без ключей

если ip адрес a.root-servers.net сменится
ничего страшного при этом не будет происходить
так как как раз намед возмет корневую зону (.) c другого доступного NS root-servera

(на то и существует вродебы файл hint чтоб не зависеть от одного корневого NS)

1.8, Vaso_Petrovich (?), 14:01, 20/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
dig @a.named-root.net dig: couldn't get address for 'a.named-root.net': not found

1.9, ap__ (?), 14:15, 20/11/2008 [ответить] [﹢﹢﹢] [ · · · ]

+/–

действительно ошибся надо было @a.root-servers.net ( @198.41.0.4 )
(или просто dig > file ;)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: