Bir il yarım inkişafdan sonra keşləmə DNS server buraxılışı , rekursiv ad həllinə cavabdehdir. PowerDNS Recursor PowerDNS Authoritative Server ilə eyni kod bazası üzərində qurulub, lakin PowerDNS rekursiv və nüfuzlu DNS serverləri müxtəlif inkişaf dövrləri vasitəsilə hazırlanır və ayrıca məhsullar kimi buraxılır. Layihə kodu GPLv2 altında lisenziyalıdır.
Yeni versiya EDNS bayraqları ilə DNS paketlərinin emalı ilə bağlı bütün problemləri aradan qaldırır. 2016-cı ildən əvvəl PowerDNS Recursor-un köhnə versiyalarında, spesifikasiyanın tələb etdiyi kimi, köhnə formatda cavab göndərmədən, EDNS bayraqlarını atmadan, dəstəklənməyən EDNS bayraqları olan paketlərə məhəl qoymamaq tətbiq olunurdu. Əvvəllər bu cür qeyri-standart davranış BIND-də həll yolu şəklində dəstəklənirdi, lakin Fevral təşəbbüsləri , DNS serverlərinin tərtibatçıları bu hackdən imtina etmək qərarına gəldilər.
PowerDNS-də EDNS ilə paketlərin işlənməsi ilə bağlı əsas problemlər 2017-ci ildə buraxılış 4.1-də aradan qaldırıldı və 2016-cı ildə buraxılmış 4.0 filialında müəyyən şəraitdə baş verən və ümumiyyətlə normal işləməyə mane olmayan fərdi uyğunsuzluqlar ortaya çıxdı. PowerDNS Recursor 4.2-də olduğu kimi , EDNS bayraqları ilə sorğulara səhv cavab verən səlahiyyətli serverləri dəstəkləmək üçün həll yolları silindi. İndiyədək EDNS bayraqları ilə sorğu göndərildikdən sonra müəyyən müddətdən sonra heç bir cavab alınmayıbsa, DNS server genişləndirilmiş bayraqların dəstəklənmədiyini hesab edib və EDNS bayraqları olmadan ikinci sorğu göndərib. Bu davranış indi qeyri-aktivdir, çünki belə kodun olması paketlərin yenidən göndərilməsi səbəbindən gecikmələrin artmasına, şəbəkə yükünün artmasına və şəbəkə nasazlıqları səbəbindən cavabın olmamasında qeyri-müəyyənliyə səbəb olur və həmçinin istifadə kimi EDNS əsaslı xüsusiyyətlərin həyata keçirilməsinə mane olur. DDoS hücumlarından qorunmaq üçün DNS kukiləri.
Gələn il tədbirin keçirilməsi qərara alınıb diqqət yetirmək üçün nəzərdə tutulmuşdur böyük DNS mesajlarını emal edərkən IP parçalanması ilə. Təşəbbüsün bir hissəsi kimi EDNS üçün tövsiyə olunan bufer ölçülərini 1200 bayta qədər düzəldin və serverlərdə mütləq dəstəklənən kateqoriyada TCP üzərindən sorğuların işlənməsi. İndi UDP üzərindən sorğuların işlənməsi üçün dəstək tələb olunur və TCP arzuolunandır, lakin əməliyyat üçün tələb olunmur (standart TCP-ni söndürmək qabiliyyətini təyin edir). TCP-nin standartdan söndürülməsi variantının aradan qaldırılması və müəyyən edilmiş EDNS bufer ölçüsünün kifayət etmədiyi hallarda UDP üzərindən sorğuların göndərilməsindən TCP-nin istifadəsinə keçidin standartlaşdırılması təklif olunur.
Təşəbbüs tərəfindən təklif olunan dəyişikliklər EDNS bufer ölçüsünün seçilməsi ilə bağlı çaşqınlığı aradan qaldıracaq və emalı çox vaxt paket itkisinə və müştəri tərəfində fasilələrə səbəb olan böyük UDP mesajlarının parçalanması problemini həll edəcək. Müştəri tərəfində EDNS bufer ölçüsü sabit olacaq və böyük cavablar dərhal TCP üzərindən müştəriyə göndəriləcək. UDP üzərindən böyük mesajların göndərilməsinin qarşısının alınması da bloklanacaq parçalanmış UDP paketlərinin manipulyasiyasına əsaslanan DNS keşinin zəhərlənməsi üzrə (fraqmentlərə bölündükdə ikinci fraqment identifikatoru olan başlığı ehtiva etmir, ona görə də saxtalaşdırıla bilər, bunun üçün yoxlama məbləğinə uyğun gəlmək kifayətdir).
PowerDNS Recursor 4.2 böyük UDP paketləri ilə bağlı problemləri həll etdi və əvvəllər istifadə olunmuş 1232 bayt limiti əvəzinə 1680 baytlıq EDNS bufer ölçüsündən (edns-gediş-bufsize) istifadə etməyə keçdi ki, bu da itirilmiş UDP paketlərinin şansını əhəmiyyətli dərəcədə azaltmalıdır. 1232 dəyəri ona görə seçilir ki, o, IPv6 nəzərə alınmaqla DNS cavab ölçüsünün minimum MTU dəyərinə (1280) uyğun gəldiyi maksimumdur. Müştəriyə cavabların kəsilməsinə cavabdeh olan kəsilmə həddi parametrinin dəyəri də 1232-ə endirilib.
PowerDNS Recursor 4.2-də digər dəyişikliklər:
- Əlavə mexanizm dəstəyi X-Forwarded-For HTTP başlığının DNS ekvivalenti olan (X-Proxied-For), aralıq proksilər və yük balanslaşdırıcıları (üçün) vasitəsilə ötürülən orijinal sorğuçunun IP ünvanı və port nömrəsi haqqında məlumat ötürməyə imkan verir. məsələn, dnsdist). XPF-ni aktivləşdirmək üçün seçimlər ""Və"";
- EDNS uzadılması üçün təkmilləşdirilmiş dəstək (ECS), DNS sorğularının zəncir vasitəsilə orijinal sorğunun zəhərləndiyi alt şəbəkə haqqında məlumatı nüfuzlu DNS serverinə ötürməyə imkan verir (müştərinin mənbə alt şəbəkəsi haqqında məlumat məzmunun çatdırılması şəbəkələrinin effektiv işləməsi üçün zəruridir). Yeni buraxılış EDNS Müştəri Alt Şəbəkəsinin istifadəsi üzərində selektiv nəzarət üçün parametrlər əlavə edir: «» gedən sorğularda IP-nin ECS-də istifadə ediləcəyi şəbəkə maskalarının siyahısı ilə. Göstərilən maskalara uyğun gəlməyən ünvanlar üçün ""-də göstərilən ümumi ünvan.". Direktiv vasitəsilə» əvəz olunmayacaq doldurulmuş ECS dəyərləri ilə gələn sorğuları, alt şəbəkələri təyin edə bilərsiniz;
- Saniyədə çoxlu sayda sorğuları (100 mindən çox) emal edən serverlər üçün direktiv "", gələn sorğuları qəbul etmək və onları işçi mövzular arasında yaymaq üçün mövzuların sayını müəyyən edir (yalnız " istifadə edərkən məna kəsb edir.").
- Əlavə edilmiş parametr ilə öz faylınızı müəyyən etmək üçün istifadəçilərin daxili PowerDNS Rekursor siyahısı əvəzinə öz subdomenlərini qeydiyyatdan keçirə biləcəyi domenlər.
PowerDNS layihəsi həmçinin altı aylıq inkişaf dövrü elan etdi, PowerDNS Recursor 4.3-ün növbəti əsas buraxılışı 2020-ci ilin yanvarında gözlənilir. Əsas buraxılışlar üçün yeniləmələr bir il ərzində, daha sonra zəifliklərin aradan qaldırılması üçün daha altı ay ərzində yayımlanacaq. Beləliklə, PowerDNS Recursor 4.2 filialına dəstək 2021-ci ilin yanvarına qədər davam edəcək. Oxşar inkişaf dövrü dəyişiklikləri tezliklə 4.2-ni buraxacağı gözlənilən PowerDNS Authoritative Server məhsulu üçün də qəbul edilmişdir.
PowerDNS Rekursorunun əsas xüsusiyyətləri:
- Statistikanın uzaqdan toplanması üçün alətlər;
- Dərhal yenidən başladın;
- Lua dilində işləyiciləri birləşdirmək üçün quraşdırılmış mühərrik;
- DNSSEC üçün tam dəstək və ;
- RPZ (Response Policy Zones) üçün dəstək və qara siyahıları müəyyən etmək imkanı;
- Spoofinq əleyhinə mexanizmlər;
- Həlledici nəticələri BIND zona faylları kimi yazmaq imkanı.
- Yüksək performansı təmin etmək üçün FreeBSD, Linux və Solaris-də (kqueue, epoll, /dev/poll) müasir əlaqə multipleksləşdirmə mexanizmləri, həmçinin on minlərlə paralel sorğuları emal edə bilən yüksək performanslı DNS paket analizatorundan istifadə olunur.
Mənbə: opennet.ru