forum.opennet.ru

Составление сообщения

Исходное сообщение

"Доступен robdns, сверхпроизводительный DNS-сервер"
Отправлено opennews, 02-Янв-15 23:59

В рамках проекта robdns (https://github.com/robertdavidgraham/robdns) предпринята попытка создания авторитетного (authoritative) DNS-сервера, обеспечивающего максимально возможную производительность и должный уровень безопасности. Основное назначение robdns - работа в роли slave-сервера, берущего на себя основную нагрузку по обработку запросов к определённой DNS-зоне в ситуации аномально большого наводнения трафиком, например, вследствие проведения DDoS-атак на инфраструктуру DNS.
Архитектура (https://github.com/robertdavidgraham/robdns/blob/master/doc/...) robdns подразумевает возможность использования нескольких методов обработки сетевых соединений: помимо традиционного подключения к сетевому порту через систему сетевых сокетов, в robdns имеется возможность перехвата информации о запросах в трафике при помощи libpcap или захвата необработанных пакетов от сетевой карты через PF_RING (http://www.ntop.org/products/pf_ring/). Разбор пакетов в этих случаях осуществляется в обход штатного системного сетевого стека с привлечением встроенного в robdns минималистичного и очень быстрого TCP/IP-стека, работающего в пространстве пользователя. Данный стек позволяет добиться обработки миллионов DNS-запросов в секунду на каждом ядре CPU или около 10 млн на обычном сервере, что примерно в 100 раз быстрее, чем BIND.
В настоящее время проект находится на стадии рабочего прототипа, который может обрабатывать запросы на 53 сетевом порту, но пока не поддерживает некоторые расширенные возможности, такие как динамическое обновление DNS-зоны. Формат (https://github.com/robertdavidgraham/robdns/blob/master/exam...) обрабатываемой DNS-зоны совместим с DNS-сервером BIND9 и может включать в себя такие типы полей, как SOA, NS, A, AAAA, PTR, CNAME,
SSHFP, LOC, TXT, SRV, SPF, HINFO, MX, DNSKEY, NSEC, NSEC3, NSEC3PARAM, RRSIG, DS, TLSA и EDNS0. Поддерживается работа с зонами очень большого размера, которые могут насчитывать сотни миллионов записей. Время загрузки зоны, занимающей 8 Гб и содержащей данные о 100 млн доменов, занимает примерно 30 секунд (для сравнения утилита "wc" потратит на обработку такого файла больше времени).

Имеются функции ограничения интенсивности запросов (rate-limit) для противодействия использованию DNS-сервера в роли усилителя трафика и ограничения интенсивности записи в логи для защиты от атак по наводнению логов. Формат логов максимально приближен к BIND 9. Поддерживается работа в Linux, FreeBSD и Windows.
URL: https://github.com/robertdavidgraham/robdns
Новость: http://www.opennet.ru/opennews/art.shtml?num=41386

Исходное сообщение
"Доступен robdns, сверхпроизводительный DNS-сервер" Отправлено opennews, 02-Янв-15 23:59
В рамках проекта robdns (https://github.com/robertdavidgraham/robdns) предпринята попытка создания авторитетного (authoritative) DNS-сервера, обеспечивающего максимально возможную производительность и должный уровень безопасности. Основное назначение robdns - работа в роли slave-сервера, берущего на себя основную нагрузку по обработку запросов к определённой DNS-зоне в ситуации аномально большого наводнения трафиком, например, вследствие проведения DDoS-атак на инфраструктуру DNS. Архитектура (https://github.com/robertdavidgraham/robdns/blob/master/doc/...) robdns подразумевает возможность использования нескольких методов обработки сетевых соединений: помимо традиционного подключения к сетевому порту через систему сетевых сокетов, в robdns имеется возможность перехвата информации о запросах в трафике при помощи libpcap или захвата необработанных пакетов от сетевой карты через PF_RING (http://www.ntop.org/products/pf_ring/). Разбор пакетов в этих случаях осуществляется в обход штатного системного сетевого стека с привлечением встроенного в robdns минималистичного и очень быстрого TCP/IP-стека, работающего в пространстве пользователя. Данный стек позволяет добиться обработки миллионов DNS-запросов в секунду на каждом ядре CPU или около 10 млн на обычном сервере, что примерно в 100 раз быстрее, чем BIND. В настоящее время проект находится на стадии рабочего прототипа, который может обрабатывать запросы на 53 сетевом порту, но пока не поддерживает некоторые расширенные возможности, такие как динамическое обновление DNS-зоны. Формат (https://github.com/robertdavidgraham/robdns/blob/master/exam...) обрабатываемой DNS-зоны совместим с DNS-сервером BIND9 и может включать в себя такие типы полей, как SOA, NS, A, AAAA, PTR, CNAME, SSHFP, LOC, TXT, SRV, SPF, HINFO, MX, DNSKEY, NSEC, NSEC3, NSEC3PARAM, RRSIG, DS, TLSA и EDNS0. Поддерживается работа с зонами очень большого размера, которые могут насчитывать сотни миллионов записей. Время загрузки зоны, занимающей 8 Гб и содержащей данные о 100 млн доменов, занимает примерно 30 секунд (для сравнения утилита "wc" потратит на обработку такого файла больше времени). Имеются функции ограничения интенсивности запросов (rate-limit) для противодействия использованию DNS-сервера в роли усилителя трафика и ограничения интенсивности записи в логи для защиты от атак по наводнению логов. Формат логов максимально приближен к BIND 9. Поддерживается работа в Linux, FreeBSD и Windows. URL: https://github.com/robertdavidgraham/robdns Новость: http://www.opennet.ru/opennews/art.shtml?num=41386

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В рамках проекта robdns (https://github.com/robertdavidgraham/robdns) предпринята 
> попытка создания авторитетного (authoritative) DNS-сервера, обеспечивающего максимально 
> возможную производительность и должный уровень безопасности.  Основное назначение robdns 
> - работа в роли slave-сервера, берущего на себя основную нагрузку по 
> обработку запросов к определённой DNS-зоне в ситуации аномально большого наводнения трафиком, 
> например, вследствие проведения DDoS-атак на инфраструктуру DNS.

> Архитектура (https://github.com/robertdavidgraham/robdns/blob/master/doc/high-level-design.pptx) 
> robdns подразумевает возможность использования нескольких методов обработки сетевых 
> соединений: помимо традиционного подключения к сетевому порту через систему сетевых сокетов, 
> в robdns имеется возможность перехвата информации о запросах в трафике при 
> помощи libpcap или захвата необработанных пакетов от сетевой карты через PF_RING 
> (http://www.ntop.org/products/pf_ring/). Разбор пакетов в этих случаях осуществляется 
> в обход штатного системного сетевого стека с привлечением встроенного в robdns 
> минималистичного и очень быстрого TCP/IP-стека, работающего в пространстве пользователя. 
> Данный стек позволяет добиться обработки миллионов DNS-запросов в секунду на каждом 
> ядре CPU или около 10 млн на обычном сервере, что примерно 
> в 100 раз быстрее, чем BIND.

> В настоящее время проект находится на стадии рабочего прототипа, который может обрабатывать 
> запросы на 53 сетевом порту, но пока не поддерживает некоторые расширенные 
> возможности, такие как динамическое обновление DNS-зоны. Формат (https://github.com/robertdavidgraham/robdns/blob/master/example.zone) 
> обрабатываемой DNS-зоны совместим с DNS-сервером BIND9 и может включать в себя 
> такие типы полей, как SOA, NS, A, AAAA, PTR, CNAME, 
> SSHFP, LOC, TXT, SRV, SPF, HINFO, MX, DNSKEY, NSEC, NSEC3, NSEC3PARAM, RRSIG, 
> DS, TLSA и EDNS0. Поддерживается работа с зонами очень большого размера, 
> которые могут насчитывать сотни миллионов записей. Время загрузки зоны, занимающей 8 
> Гб и содержащей данные о 100 млн доменов, занимает примерно 30 
> секунд (для сравнения утилита "wc" потратит на обработку такого файла больше 
> времени).

> Имеются функции ограничения интенсивности запросов (rate-limit) для противодействия 
> использованию DNS-сервера в роли усилителя трафика и ограничения интенсивности записи 
> в логи для защиты от атак по наводнению логов. Формат логов 
> максимально приближен к BIND 9. Поддерживается работа в Linux, FreeBSD и 
> Windows.

> URL: https://github.com/robertdavidgraham/robdns 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=41386

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру