lanzamiento del servidor DNS de almacenamiento en caché , responsable de la conversión recursiva de nombres. PowerDNS Recursor se basa en la misma base de código que PowerDNS Authoritative Server, pero los servidores DNS autoritativos y recursivos de PowerDNS se desarrollan a través de diferentes ciclos de desarrollo y se lanzan como productos separados. Código de proyecto licenciado bajo GPLv2.
El servidor proporciona herramientas para la recopilación remota de estadísticas, admite reinicio instantáneo, tiene un motor integrado para conectar controladores en el idioma Lua, es totalmente compatible con DNSSEC, DNS64, RPZ (Zonas de política de respuesta) y le permite conectar listas negras. Es posible registrar los resultados de la resolución como archivos de zona BIND. Para garantizar un alto rendimiento, se utilizan modernos mecanismos de multiplexación de conexiones en FreeBSD, Linux y Solaris (kqueue, epoll, /dev/poll), así como un analizador de paquetes DNS de alto rendimiento capaz de procesar decenas de miles de solicitudes paralelas.
Versículos nuevos:
- Para evitar fugas de información sobre el dominio solicitado y aumentar la privacidad, el mecanismo está habilitado por defecto. (), funcionando en modo “relajado”. La esencia del mecanismo es que el solucionador no menciona el nombre completo del host deseado en sus solicitudes al servidor de nombres ascendente. Por ejemplo, al determinar la dirección del host foo.bar.baz.com, el solucionador enviará la solicitud "QTYPE=NS,QNAME=baz.com" al servidor autorizado para la zona ".com", sin mencionar " foo.bar". En su forma actual, el trabajo se realiza en modo "relajado".
- Se ha implementado la capacidad de registrar solicitudes salientes en un servidor autorizado y sus respuestas en formato dnstap (para su uso, se requiere una compilación con la opción "-enable-dnstap").
- Se proporciona procesamiento simultáneo de varias solicitudes entrantes transmitidas a través de una conexión TCP, y los resultados se devuelven cuando están listos y no en el orden de las solicitudes en la cola. El límite de solicitudes simultáneas está determinado por el “«.
- Implementó una técnica para rastrear nuevos dominios. (Dominio recientemente observado), que puede usarse para identificar dominios sospechosos o dominios asociados con actividades maliciosas, como distribuir malware, participar en phishing y usarse para operar botnets. El método se basa en identificar dominios a los que no se ha accedido previamente y analizar estos nuevos dominios. En lugar de rastrear nuevos dominios contra una base de datos completa de todos los dominios alguna vez vistos, cuyo mantenimiento requiere importantes recursos, NOD utiliza un marco probabilístico. (Filtro Bloom estable), que permite minimizar el consumo de memoria y CPU. Para habilitarlo, debe especificar "new-domain-tracking=yes" en la configuración.
- Cuando se ejecuta bajo systemd, el proceso PowerDNS Recursor ahora se ejecuta bajo el usuario sin privilegios pdns-recursor en lugar de root. Para sistemas sin systemd y sin chroot, el directorio predeterminado para almacenar el socket de control y el archivo pid ahora es /var/run/pdns-recursor.
Además, relizar , un servidor DNS autorizado de alto rendimiento (el recursor está diseñado como una aplicación separada) que admite todas las capacidades DNS modernas. El proyecto está siendo desarrollado por el registro de nombres checo CZ.NIC, escrito en C y licenciado bajo GPLv3.
KnotDNS se caracteriza por un enfoque en el alto rendimiento del procesamiento de consultas, que utiliza una implementación de subprocesos múltiples y en su mayoría sin bloqueo que se adapta bien a los sistemas SMP. Se proporcionan funciones como agregar y eliminar zonas sobre la marcha, transferencias de zona entre servidores, DDNS (actualizaciones dinámicas), NSID (RFC 5001), EDNS0 y extensiones DNSSEC (incluido NSEC3), límites de tasa de respuesta (RRL).
En el nuevo lanzamiento:
- Se agregó la configuración 'remote.block-notify-after-transfer' para deshabilitar el envío de mensajes NOTIFICAR;
- Se implementó soporte experimental para el algoritmo Ed448 en DNSSE (requiere GnuTLS 3.6.12+ y aún no se ha publicado). );
- El parámetro 'local-serial' se agregó a keymgr para obtener o configurar el número de serie SOA para la zona firmada en la base de datos KASP;
- Se agregó soporte para importar claves Ed25519 y Ed448 en formato de servidor DNS BIND a keymgr;
- La configuración predeterminada 'server.tcp-io-timeout' se ha aumentado a 500 ms y 'database.journal-db-max-size' se ha reducido a 512 MiB en sistemas de 32 bits.
Fuente: opennet.ru