cache DNS-bediener vrystelling , wat verantwoordelik is vir rekursiewe naamresolusie. PowerDNS Recursor is gebou op dieselfde kodebasis as PowerDNS Authoritative Server, maar PowerDNS rekursiewe en gesaghebbende DNS-bedieners word deur verskillende ontwikkelingsiklusse ontwikkel en as aparte produkte vrygestel. Projek kode gelisensieer onder GPLv2.
Die bediener bied gereedskap vir afgeleë statistiek-insameling, ondersteun onmiddellike herbegin, het 'n ingeboude enjin om Lua-hanteerders te koppel, ondersteun ten volle DNSSEC, DNS64, RPZ (Respons Policy Zones), laat jou toe om swartlyste te koppel. Dit is moontlik om die oplossingsresultate as BIND-sonelêers te skryf. Om hoë werkverrigting te verseker, word moderne verbindingsmultipleksmeganismes in FreeBSD, Linux en Solaris (kqueue, epoll, /dev/poll) gebruik, sowel as 'n hoëprestasie DNS-pakketontleder wat in staat is om tienduisende parallelle navrae te verwerk.
In die nuwe weergawe:
- Om lekkasies van inligting oor die gevraagde domein te voorkom en privaatheid te verhoog, is die meganisme by verstek geaktiveer (), wat in "ontspanne" modus werk. Die kern van die meganisme is dat die oplosser nie die volle naam van die verlangde gasheer in sy versoeke aan die stroomop-naambediener noem nie. Byvoorbeeld, wanneer die adres vir die gasheer foo.bar.baz.com bepaal word, sal die resolver die versoek "QTYPE=NS,QNAME=baz.com" na die gesaghebbende bediener vir die ".com"-sone stuur, sonder om " foo.bar". In sy huidige vorm word werk in die "ontspanne" modus geïmplementeer.
- Die vermoë om uitgaande versoeke aan te meld by 'n gesaghebbende bediener en antwoorde daarop in dnstap-formaat is geïmplementeer (vir gebruik word 'n bou met die "-enable-dnstap" opsie vereis).
- Gelyktydige verwerking van verskeie inkomende versoeke wat oor 'n TCP-verbinding versend is, word verskaf, met resultate wat teruggestuur word soos hulle gereed is, en nie in die volgorde van versoeke in die tou nie. Die limiet van gelyktydige versoeke word bepaal deur die "«.
- Het 'n tegniek geïmplementeer om nuwe domeine op te spoor (Newly Observed Domain), wat gebruik kan word om verdagte domeine of domeine wat met kwaadwillige aktiwiteit geassosieer word, te identifiseer, soos die verspreiding van wanware, deelname aan uitvissing en om gebruik te word om botnets te bedryf. Die metode is gebaseer op die identifisering van domeine wat nie voorheen toegang verkry het nie en die ontleding van hierdie nuwe domeine. In plaas daarvan om nuwe domeine op te spoor teen 'n volledige databasis van alle domeine wat ooit bekyk is, wat aansienlike hulpbronne benodig om in stand te hou, gebruik NOD 'n waarskynlikheidsraamwerk (Stable Bloom Filter), wat jou toelaat om geheue en SVE-verbruik te verminder. Om dit te aktiveer, spesifiseer "new-domain-tracking=yes" in die instellings.
- Wanneer dit onder systemd loop, loop die PowerDNS Recursor-proses nou onder die onbevoorregte gebruiker pdns-recursor in plaas van root. Vir stelsels sonder systemd en sonder chroot, is die verstekgids vir die stoor van die beheersok en pid-lêer nou /var/run/pdns-recursor.
Daarbenewens, vrylating , 'n hoëprestasie gesaghebbende DNS-bediener (die herhaler is ontwerp as 'n aparte toepassing) wat alle moderne DNS-kenmerke ondersteun. Die projek word ontwikkel deur die Tsjeggiese naamregister CZ.NIC, geskryf in C en gelisensieer onder GPLv3.
KnotDNS word gekenmerk deur sy fokus op hoëprestasie-navraagverwerking, waarvoor dit 'n multi-threaded en meestal nie-blokkerende implementering gebruik wat goed op SMP-stelsels skaal. Kenmerke soos die byvoeging en uitvee van sones op die oomblik, die oordrag van sones tussen bedieners, DDNS (dinamiese opdaterings), NSID (RFC 5001), EDNS0 en DNSSEC uitbreidings (insluitend NSEC3), reaksietempo beperking (RRL) word verskaf.
In die nuwe vrystelling:
- Bygevoeg 'remote.block-notify-after-transfer'-instelling om die stuur van NOTIFY-boodskappe te deaktiveer;
- Implementeer eksperimentele ondersteuning vir die Ed448-algoritme in DNSSE (vereis GnuTLS 3.6.12+ en nog nie vrygestel nie );
- Die 'local-serial'-parameter is by keymgr gevoeg om die SOA-reeksnommer vir die getekende sone in die KASP-databasis te verkry of te stel;
- Bygevoeg ondersteuning vir die invoer van Ed25519 en Ed448 sleutels in BIND DNS bediener formaat na keymgr;
- Die verstek 'server.tcp-io-timeout' instelling is verhoog na 500 ms en 'database.journal-db-max-size' is verminder tot 512 MiB op 32-bis stelsels.
Bron: opennet.ru