Freigabe des Caching-DNS-Servers , verantwortlich für die rekursive Namenskonvertierung. PowerDNS Recursor basiert auf derselben Codebasis wie PowerDNS Authoritative Server, aber rekursive und autorisierende DNS-Server von PowerDNS werden in unterschiedlichen Entwicklungszyklen entwickelt und als separate Produkte veröffentlicht. Projektnummer lizenziert unter GPLv2.
Der Server bietet Tools für die Remote-Statistikerfassung, unterstützt sofortige Neustarts, verfügt über eine integrierte Engine zum Verbinden von Handlern in der Lua-Sprache, unterstützt vollständig DNSSEC, DNS64, RPZ (Response Policy Zones) und ermöglicht die Verbindung von Blacklists. Es ist möglich, Auflösungsergebnisse als BIND-Zonendateien aufzuzeichnen. Um eine hohe Leistung zu gewährleisten, werden in FreeBSD, Linux und Solaris moderne Verbindungsmultiplexmechanismen (kqueue, epoll, /dev/poll) sowie ein leistungsstarker DNS-Paketparser verwendet, der Zehntausende paralleler Anfragen verarbeiten kann.
In der neuen Version:
- Um den Verlust von Informationen über die angeforderte Domain zu verhindern und den Datenschutz zu erhöhen, ist der Mechanismus standardmäßig aktiviert (), im „entspannten“ Modus betrieben. Der Kern des Mechanismus besteht darin, dass der Resolver in seinen Anfragen an den Upstream-Nameserver nicht den vollständigen Namen des gewünschten Hosts nennt. Wenn Sie beispielsweise die Adresse für den Host foo.bar.baz.com ermitteln, sendet der Resolver die Anfrage „QTYPE=NS,QNAME=baz.com“ an den autorisierenden Server für die Zone „.com“, ohne „ foo.bar". In seiner jetzigen Form wird die Arbeit im „entspannten“ Modus umgesetzt.
- Die Möglichkeit, ausgehende Anfragen an einen autorisierenden Server und Antworten darauf im dnstap-Format zu protokollieren, wurde implementiert (zur Verwendung ist ein Build mit der Option „-enable-dnstap“ erforderlich).
- Es ist eine gleichzeitige Verarbeitung mehrerer über eine TCP-Verbindung übertragener eingehender Anforderungen möglich, wobei die Ergebnisse zurückgegeben werden, sobald sie bereit sind, und nicht in der Reihenfolge der Anforderungen in der Warteschlange. Die Grenze gleichzeitiger Anfragen wird bestimmt durch „«.
- Implementierung einer Technik zur Verfolgung neuer Domains (Neu beobachtete Domäne), mit der verdächtige Domänen oder Domänen identifiziert werden können, die mit böswilligen Aktivitäten in Verbindung stehen, wie z. B. der Verbreitung von Malware, der Teilnahme an Phishing und der Nutzung für den Betrieb von Botnetzen. Die Methode basiert auf der Identifizierung von Domänen, auf die zuvor noch nicht zugegriffen wurde, und der Analyse dieser neuen Domänen. Anstatt neue Domänen anhand einer vollständigen Datenbank aller jemals angezeigten Domänen zu verfolgen, deren Pflege erhebliche Ressourcen erfordert, verwendet NOD ein probabilistisches Framework (Stable Bloom Filter), mit dem Sie den Speicher- und CPU-Verbrauch minimieren können. Um es zu aktivieren, sollten Sie in den Einstellungen „new-domain-tracking=yes“ angeben.
- Bei der Ausführung unter systemd wird der PowerDNS-Recursor-Prozess jetzt unter dem unprivilegierten Benutzer pdns-recursor statt unter root ausgeführt. Für Systeme ohne systemd und ohne chroot ist das Standardverzeichnis zum Speichern des Steuersockets und der PID-Datei jetzt /var/run/pdns-recursor.
Außerdem, freigeben , ein hochleistungsfähiger autoritativer DNS-Server (der Rekursor ist als separate Anwendung konzipiert), der alle modernen DNS-Funktionen unterstützt. Das Projekt wird von der tschechischen Namensregistrierungsstelle CZ.NIC entwickelt und ist in C und geschrieben lizenziert unter GPLv3.
KnotDNS zeichnet sich durch einen Fokus auf eine hohe Abfrageverarbeitungsleistung aus, die eine Multithread- und größtenteils nicht blockierende Implementierung verwendet, die sich gut auf SMP-Systemen skalieren lässt. Funktionen wie das Hinzufügen und Entfernen von Zonen im laufenden Betrieb, Zonenübertragungen zwischen Servern, DDNS (dynamische Updates), NSID (RFC 5001), EDNS0- und DNSSEC-Erweiterungen (einschließlich NSEC3) sowie Antwortratenlimits (RRL) werden bereitgestellt.
In der neuen Version:
- Einstellung „remote.block-notify-after-transfer“ hinzugefügt, um das Senden von NOTIFY-Nachrichten zu deaktivieren;
- Experimentelle Unterstützung für den Ed448-Algorithmus in DNSSE implementiert (erfordert GnuTLS 3.6.12+ und ist noch nicht veröffentlicht). );
- Der Parameter „local-serial“ wurde zu keymgr hinzugefügt, um die SOA-Seriennummer für die signierte Zone in der KASP-Datenbank abzurufen oder festzulegen;
- Unterstützung für den Import von Ed25519- und Ed448-Schlüsseln im BIND-DNS-Serverformat in keymgr hinzugefügt;
- Die Standardeinstellung „server.tcp-io-timeout“ wurde auf 500 ms erhöht und „database.journal-db-max-size“ wurde auf 512-Bit-Systemen auf 32 MiB reduziert.
Source: opennet.ru