Knot DNS

V týmu vyvíjejícím škálovatelný kešující DNS resolver, Knot Resolver, v současné době pracujeme na komplexním řešení pro ochranu DNS serverů a ostatních uživatelů internetu před útoky typu denial-of-service (DoS).

Včera byly veřejně vydány záplaty pro DNS resolvery BIND, Unbound, PowerDNS, Knot Resolver i dnsmasq. Všechny opravují implementační problém v DNSSEC validátoru, který útočníkům umožňoval zahltit CPU resolveru.Pokud provozujete DNS resolver je čas…

Sdružení CZ.NIC vydalo novou verzi Knot Resolveru (5.7.1), která opravuje nedávno nalezené zranitelnosti týkající se většiny provozovaných DNS resolverů. Jedná se o zranitelnosti s označením CVE-2023-50868 a CVE-2023-50387; útočníkův autoritativní…

Rád bych představil nadcházející hlavní verzi projektu Knot Resolver, která je v tuto chvíli ve fázi testování a ladění, a proto velmi oceníme, když si ji vyzkoušíte a poskytnete nám k ní jakoukoliv zpětnou vazbu.

Sdružení CZ.NIC, správce české národní domény, zprovoznilo novou zahraniční DNS lokalitu v australském Sydney. Jedná se o první lokalitu na tomto kontinentu a jejím vybudováním pokračuje sdružení CZ.NIC v postupném rozšiřování vlastní DNS…

Katalogové zóny v DNS umožňují synchronizovat množinu nakonfigurovaných zón napříč autoritativními servery. Konfigurace serveru je serializována do běžného formátu zóny a k její úplné (AXFR) nebo inkrementální (IXFR) synchronizaci jsou použity…

V Praze se 6. června tentokrát již osmý ročník Semináře IPv6, který pořádá sdružení CESNET. Mluvilo se o podpoře IPv6 v cloudech, zkušenostech se Starlinkem a snaze Google udělat speciální DHCPv6 pro Android.

Toto je příběh z dávných časů, z časů mýtů a legend na přelomu milénia, kdy IT korporace byly malicherné a kruté a stíhaly lidstvo útrapami. V těch dobách Microsoft ovládl železnou rukou trh s operačními systémy a prohlížeči internetu.

Na webu konference Internet a Technologie (IT 22) jsou od dnešního dne k dispozici prezentace a videozáznamy z akce (proběhla 22. listopadu). Přednášky zaměstnanců sdružení se tentokrát týkaly novinek související se správou české národní domény,…

Sdružení CZ.NIC vydalo novou verzi Knot Resolveru (5.5.0). V tomto vydání byly odstraněny praktické problémy s některými doménami, jejichž nameservery soustavně neodpovídaly na zasílané dotazy (outlook.com nebo office.com). Dalším vylepšením je…

V předchozím dílu jsme si představili základy fungování a provozu DNSSEC na serveru Knot DNS. Dnes navážeme popisem některých dalších funkcí tohoto serveru, které s DNSSEC souvisejí.

Internetový protokol DNS má počátky v roce 1983. Od svého vzniku prošel mnoha úpravami a je neustále rozvíjen. Mezi jeho nejvýznamnější rozšíření patří zabezpečení pomocí protokolu DNSSEC.

Abychom mohli autoritativní DNS server Knot DNS vůbec spustit, je třeba mu předložit nějakou konfiguraci. Konfigurace může být ve formě textového souboru nebo binární databáze.

Na webu konference Internet a Technologie 21.2 jsou od dnešního dne k dispozici prezentace a videozáznamy z akce. Přednášky zaměstnanců sdružení se tentokrát týkaly především novinek související se správou české národní domény a aktuálního dění…

V úvodním dílu jsme si zprovoznili automatickou synchronizaci zóny na sekundárním serveru. Dnes si ukážeme, jaké jsou další možnosti nastavení zónových transferů a co je jejich obsahem.

V předchozím díle jsme si vytvořili jednoduchou zónu ve formě zónového souboru a dnes si povíme, jak s takovým souborem pracovat. Jedná se o nejčastější uživatelskou operaci a je užitečné jí porozumět.

Uživatelé se často ptají, jak zprovoznit vlastní DNS server. Na praktických příkladech si tedy přiblížíme základy i pokročilejší možnosti Knot DNS, autoritativního serveru z dílen českého sdružení CZ.NIC.

Sdružení CZ.NIC vydalo novou verzi autoritativního DNS serveru Knot DNS (3.1.0). V této verzi došlo k rozšíření využití XDP socketů o možnost zpracování DNS dotazů po TCP, což má vliv na navýšení serverového výkonu. Katalogové zóny je nově možné…

Sdružení CZ.NIC vyměnilo systémy pro generování zóny .CZ a její podepisování technologií DNSSEC. Od minulého týdne zajišťuje tyto procesy autoritativní server Knot DNS, který tak vystřídal DNS démona BIND a speciální interně vyvíjené podepisovací…

Právě vydaná verze Knot Resolveru (5.3.0) obsahuje především přepracovaný způsob volby serveru při řešení dotazů, které nemohou být zodpovězeny z keše. Původní (často nespolehlivý a nepříliš dobře definovaný) algoritmus nahradili vývojáři ze…

Po kořenových DNS serverech K-Root (operátor RIPE NCC) a L-Root (operátor ICANN) je nyní software Knot DNS nasazený také na serverech B-Root (operátor USC ISI). Jak je již zvykem, sada kořenových serverů, které vystupují pod jedním písmenem…

Popíšeme si rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů.

Internetová infrastruktura je ohrožena novým útokem SAD DNS, o kterém jsme vás podrobně informovali minulý týden. Vývojář Petr Špaček dnes vydal článek, ve kterém shrnuje situaci v projektu Knot Resolver. Ten je podle jeho slov proti útoku odolný…

Laboratoře CZ.NIC zveřejnily novou verzi Knot Resolveru (5.2.0), která přináší dvě novinky související s vylepšením výkonu. První z nich je nový modul pro DNS-over-HTTPS (DoH), který se vyznačuje především výrazně vyšším výkonem, stabilitou a…

Tradiční konference Internet a Technologie 20 letos proběhla netradičně online. Přesto zazněla velmi zajímavá témata týkající se bezpečnosti na internetu, připravovaných zákonů nebo třeba novinek v DNS.

Novinky ze světa domén, zajímavosti v DNS, aktuální dění v klíčových projektech sdružení, internetová bezpečnost nebo novely zákonů ovlivňující život na Internetu – tato a další témata nabídne konference Internet a Technologie (20), kterou již…

Před týdnem vyšla nová verze autoritativního DNS serveru Knot DNS 3.0, která přináší mimo jiné i podporu XDP. Ukážeme si, jak jsme připravili trochu specifické prostředí, v létě testovali a následně spustili do ostrého provozu.

Open-source implementace autoritativního DNS serveru Knot DNS vyšla ve verzi 3.0. Navzdory kulatému číslu se na dosavadní funkcionalitě software nic nemění: jen je novinek o něco více než v běžné desetinkové verzi.

Na blogu sdružení CZ.NIC dnes vyšel článek Petra Špačka, vedoucího projektu Knot Resolver, s názvem NXNSAttack: upgrade resolvers to stop new kind of random subdomain attack. Jeho autor se v něm věnuje zranitelnosti NXNSAttack (CVE-2020–12667),…

Sdružení CZ.NIC vydalo novou verzi Knot Resolveru (5.1.0), která mimo jiné vylepšuje chování garbage colletoru, vykazuje vyšší výkon TCP při velké zátěži, obsahuje nové policy příkazy pro debugování nebo umožňuje přepsat odpovědi na vybrané dotazy…