添加不验证DNSSEC的域名功能
This commit is contained in:
Alex Yang
@@ -356,7 +356,7 @@ func (s *Server) handleDNSRequest(w dns.ResponseWriter, r *dns.Msg) {
|
||||
if r.RecursionDesired == false {
|
||||
response := new(dns.Msg)
|
||||
response.SetReply(r)
|
||||
response.RecursionAvailable = true
|
||||
// 不再硬编码RecursionAvailable,使用默认值或上游返回的值
|
||||
response.SetRcode(r, dns.RcodeRefused)
|
||||
w.WriteMsg(response)
|
||||
|
||||
@@ -606,7 +606,7 @@ func (s *Server) handleDNSRequest(w dns.ResponseWriter, r *dns.Msg) {
|
||||
func (s *Server) handleHostsResponse(w dns.ResponseWriter, r *dns.Msg, ip string) {
|
||||
response := new(dns.Msg)
|
||||
response.SetReply(r)
|
||||
response.RecursionAvailable = true
|
||||
// 不再硬编码RecursionAvailable,使用默认值或上游返回的值
|
||||
|
||||
if len(r.Question) > 0 {
|
||||
q := r.Question[0]
|
||||
@@ -646,7 +646,7 @@ func (s *Server) handleBlockedResponse(w dns.ResponseWriter, r *dns.Msg, domain
|
||||
|
||||
response := new(dns.Msg)
|
||||
response.SetReply(r)
|
||||
response.RecursionAvailable = true
|
||||
// 不再硬编码RecursionAvailable,使用默认值或上游返回的值
|
||||
|
||||
// 获取屏蔽方法配置
|
||||
blockMethod := "NXDOMAIN" // 默认值
|
||||
@@ -717,6 +717,17 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
var udpSize uint16 = 4096
|
||||
var doFlag bool = s.config.EnableDNSSEC
|
||||
|
||||
// 检查域名是否匹配不验证DNSSEC的模式
|
||||
noDNSSEC := false
|
||||
for _, pattern := range s.config.NoDNSSECDomains {
|
||||
if strings.Contains(domain, pattern) {
|
||||
noDNSSEC = true
|
||||
doFlag = false
|
||||
logger.Debug("域名匹配到不验证DNSSEC的模式", "domain", domain, "pattern", pattern)
|
||||
break
|
||||
}
|
||||
}
|
||||
|
||||
// 检查客户端请求是否包含EDNS记录
|
||||
if opt := r.IsEdns0(); opt != nil {
|
||||
// 保留客户端的UDP缓冲区大小
|
||||
@@ -816,14 +827,12 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(resp.server, true, resp.rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
resp.response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(resp.response)
|
||||
|
||||
// 如果启用了DNSSEC且响应包含DNSSEC记录,验证DNSSEC签名
|
||||
if s.config.EnableDNSSEC && containsDNSSEC {
|
||||
// 但如果域名匹配不验证DNSSEC的模式,则跳过验证
|
||||
if s.config.EnableDNSSEC && containsDNSSEC && !noDNSSEC {
|
||||
// 验证DNSSEC记录
|
||||
signatureValid := s.verifyDNSSEC(resp.response)
|
||||
|
||||
@@ -843,6 +852,9 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
stats.DNSSECFailed++
|
||||
})
|
||||
}
|
||||
} else if noDNSSEC {
|
||||
// 对于不验证DNSSEC的域名,始终设置AD标志为false
|
||||
resp.response.AuthenticatedData = false
|
||||
}
|
||||
|
||||
// 如果响应成功或为NXDOMAIN,根据DNSSEC状态选择最佳响应
|
||||
@@ -910,14 +922,12 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(selectedServer, true, rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(response)
|
||||
|
||||
// 如果启用了DNSSEC且响应包含DNSSEC记录,验证DNSSEC签名
|
||||
if s.config.EnableDNSSEC && containsDNSSEC {
|
||||
// 但如果域名匹配不验证DNSSEC的模式,则跳过验证
|
||||
if s.config.EnableDNSSEC && containsDNSSEC && !noDNSSEC {
|
||||
// 验证DNSSEC记录
|
||||
signatureValid := s.verifyDNSSEC(response)
|
||||
|
||||
@@ -937,6 +947,9 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
stats.DNSSECFailed++
|
||||
})
|
||||
}
|
||||
} else if noDNSSEC {
|
||||
// 对于不验证DNSSEC的域名,始终设置AD标志为false
|
||||
response.AuthenticatedData = false
|
||||
}
|
||||
|
||||
// 如果响应成功或为NXDOMAIN,根据DNSSEC状态选择最佳响应
|
||||
@@ -1003,14 +1016,12 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(fastestServer, true, rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(response)
|
||||
|
||||
// 如果启用了DNSSEC且响应包含DNSSEC记录,验证DNSSEC签名
|
||||
if s.config.EnableDNSSEC && containsDNSSEC {
|
||||
// 但如果域名匹配不验证DNSSEC的模式,则跳过验证
|
||||
if s.config.EnableDNSSEC && containsDNSSEC && !noDNSSEC {
|
||||
// 验证DNSSEC记录
|
||||
signatureValid := s.verifyDNSSEC(response)
|
||||
|
||||
@@ -1030,6 +1041,9 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
stats.DNSSECFailed++
|
||||
})
|
||||
}
|
||||
} else if noDNSSEC {
|
||||
// 对于不验证DNSSEC的域名,始终设置AD标志为false
|
||||
response.AuthenticatedData = false
|
||||
}
|
||||
|
||||
// 如果响应成功或为NXDOMAIN,根据DNSSEC状态选择最佳响应
|
||||
@@ -1110,14 +1124,13 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 处理所有响应
|
||||
for resp := range responses {
|
||||
if resp.error == nil && resp.response != nil {
|
||||
// 设置递归可用标志
|
||||
resp.response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(resp.response)
|
||||
|
||||
// 如果启用了DNSSEC且响应包含DNSSEC记录,验证DNSSEC签名
|
||||
if s.config.EnableDNSSEC && containsDNSSEC {
|
||||
// 但如果域名匹配不验证DNSSEC的模式,则跳过验证
|
||||
if s.config.EnableDNSSEC && containsDNSSEC && !noDNSSEC {
|
||||
// 验证DNSSEC记录
|
||||
signatureValid := s.verifyDNSSEC(resp.response)
|
||||
|
||||
@@ -1137,6 +1150,9 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
stats.DNSSECFailed++
|
||||
})
|
||||
}
|
||||
} else if noDNSSEC {
|
||||
// 对于不验证DNSSEC的域名,始终设置AD标志为false
|
||||
resp.response.AuthenticatedData = false
|
||||
}
|
||||
|
||||
// 如果响应成功或为NXDOMAIN,根据DNSSEC状态选择最佳响应
|
||||
@@ -1250,9 +1266,6 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(resp.server, true, resp.rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
resp.response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(resp.response)
|
||||
|
||||
@@ -1313,9 +1326,6 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(selectedServer, true, rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(response)
|
||||
|
||||
@@ -1376,9 +1386,6 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(fastestServer, true, rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(response)
|
||||
|
||||
@@ -1437,9 +1444,6 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 更新服务器统计信息
|
||||
s.updateServerStats(dnssecServer, true, rtt)
|
||||
|
||||
// 设置递归可用标志
|
||||
response.RecursionAvailable = true
|
||||
|
||||
// 检查是否包含DNSSEC记录
|
||||
containsDNSSEC := s.hasDNSSECRecords(response)
|
||||
|
||||
@@ -1505,7 +1509,7 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 本地解析成功,构建响应
|
||||
localResponse := new(dns.Msg)
|
||||
localResponse.SetReply(r)
|
||||
localResponse.RecursionAvailable = true
|
||||
|
||||
localResponse.AuthenticatedData = false
|
||||
localResponse.Rcode = dns.RcodeSuccess
|
||||
|
||||
@@ -1568,7 +1572,7 @@ func (s *Server) forwardDNSRequestWithCache(r *dns.Msg, domain string) (*dns.Msg
|
||||
// 所有上游服务器都失败,返回服务器失败错误
|
||||
response := new(dns.Msg)
|
||||
response.SetReply(r)
|
||||
response.RecursionAvailable = true
|
||||
|
||||
response.SetRcode(r, dns.RcodeServerFailure)
|
||||
|
||||
logger.Error("DNS查询失败", "domain", domain)
|
||||
|
||||
Reference in New Issue
Block a user