освобождаване на кеширащ DNS сървър , отговорен за рекурсивното преобразуване на имена. PowerDNS Recursor е изграден на същата кодова база като PowerDNS Authoritative Server, но PowerDNS рекурсивните и авторитетните DNS сървъри са разработени чрез различни цикли на разработка и се пускат като отделни продукти. Код на проекта лицензиран под GPLv2.
Сървърът предоставя инструменти за отдалечено събиране на статистика, поддържа незабавно рестартиране, има вграден двигател за свързване на манипулатори на езика Lua, поддържа напълно DNSSEC, DNS64, RPZ (зони за политика на отговор) и ви позволява да свързвате черни списъци. Възможно е да се записват резултати от разделителната способност като BIND зонови файлове. За да се осигури висока производителност, модерни механизми за мултиплексиране на връзки се използват във FreeBSD, Linux и Solaris (kqueue, epoll, /dev/poll), както и високоефективен анализатор на DNS пакети, способен да обработва десетки хиляди паралелни заявки.
В новата версия:
- С цел предотвратяване на изтичане на информация за искания домейн и повишаване на поверителността, механизмът е активиран по подразбиране (), работещи в „спокоен“ режим. Същността на механизма е, че резолверът не споменава пълното име на желания хост в своите заявки към сървъра за имена нагоре по веригата. Например, когато определя адреса за хоста foo.bar.baz.com, резолверът ще изпрати заявката "QTYPE=NS,QNAME=baz.com" до авторитетния сървър за зоната ".com", без да споменава " foo.bar". В сегашния си вид работата се осъществява в „спокоен“ режим.
- Въведена е възможност за регистриране на изходящи заявки към авторитетен сървър и отговори към тях във формат dnstap (за използване е необходима компилация с опцията „-enable-dnstap“).
- Осигурена е едновременна обработка на няколко входящи заявки, предадени по TCP връзка, като резултатите се връщат, когато са готови, а не по реда на заявките в опашката. Лимитът на едновременните заявки се определя от „".
- Внедрена техника за проследяване на нови домейни (Ново наблюдаван домейн), който може да се използва за идентифициране на подозрителни домейни или домейни, свързани със злонамерена дейност, като разпространение на злонамерен софтуер, участие във фишинг и използване за управление на ботнет мрежи. Методът се основава на идентифициране на домейни, които преди това не са били достъпвани, и анализиране на тези нови домейни. Вместо да проследява нови домейни спрямо пълна база данни от всички домейни, които някога са били разглеждани, което изисква значителни ресурси за поддръжка, NOD използва вероятностна рамка (Stable Bloom Filter), който ви позволява да минимизирате консумацията на памет и процесор. За да го активирате, трябва да посочите „new-domain-tracking=yes“ в настройките.
- Когато се изпълнява под systemd, процесът PowerDNS Recursor вече работи под непривилегирован потребител pdns-recursor вместо root. За системи без systemd и без chroot, директорията по подразбиране за съхраняване на контролния сокет и pid файла вече е /var/run/pdns-recursor.
Освен това, освобождаване , високопроизводителен авторитетен DNS сървър (рекурсорът е проектиран като отделно приложение), който поддържа всички съвременни функции на DNS. Проектът се разработва от чешкия регистър на имена CZ.NIC, написан на C и лицензиран под GPLv3.
KnotDNS се характеризира с фокус върху висока производителност на обработка на заявки, която използва многонишкова и предимно неблокираща реализация, която се мащабира добре на SMP системи. Осигурени са функции като добавяне и премахване на зони в движение, прехвърляне на зони от сървър към сървър, DDNS (динамични актуализации), NSID (RFC 5001), EDNS0 и DNSSEC разширения (включително NSEC3), ограничения на скоростта на реакция (RRL).
В новата версия:
- Добавена е настройка „remote.block-notify-after-transfer“ за деактивиране на изпращането на NOTIFY съобщения;
- Реализирана експериментална поддръжка за алгоритъма Ed448 в DNSSE (изисква GnuTLS 3.6.12+ и все още не е пуснат );
- Параметърът 'local-serial' е добавен към keymgr за получаване или задаване на серийния номер на SOA за подписаната зона в базата данни на KASP;
- Добавена е поддръжка за импортиране на ключове Ed25519 и Ed448 във формат на BIND DNS сървър към keymgr;
- Настройката по подразбиране „server.tcp-io-timeout“ е увеличена до 500 ms, а „database.journal-db-max-size“ е намалена до 512 MiB на 32-битови системи.
Източник: opennet.ru