Urte eta erdiko garapenaren ostean cacheko DNS zerbitzariaren askatzea , izenen bihurketa errekurtsiboaren arduraduna. PowerDNS Recursor PowerDNS Authoritative Server-en kode-oinarri berean eraikita dago, baina PowerDNS DNS zerbitzari errekurtsibo eta autoritarioak garapen-ziklo ezberdinen bidez garatzen dira eta produktu bereizi gisa kaleratzen dira. Proiektuaren kodea GPLv2 lizentziapean.
Bertsio berriak EDNS bandera duten DNS paketeen prozesamenduarekin lotutako arazo guztiak ezabatzen ditu. 2016 baino lehen PowerDNS Recursor-en bertsio zaharragoek onartzen ez duten EDNS banderadun paketeei jaramonik ez egiteko ohitura zuten formatu zaharrean erantzunik bidali gabe, EDNS banderak baztertuz zehaztapenak eskatzen duen moduan. Aurretik, portaera ez-estandar hau BIND-en onartzen zen konponbide moduan, baina esparruaren barruan. otsailean ekimenak , DNS zerbitzariko garatzaileek hack hau alde batera uztea erabaki zuten.
PowerDNS-en, EDNS-ekin paketeak prozesatzeko arazo nagusiak 2017an ezabatu ziren 4.1 bertsioan, eta 2016an kaleratutako 4.0 adarrean, zirkunstantzia multzo jakin batzuetan sortzen diren eta, oro har, normaltasuna oztopatzen ez duten banakako bateraezintasunak azaleratu ziren. operazioa. PowerDNS Recursor 4.2-n, adibidez , EDNS banderarekin eskaerei gaizki erantzuten dieten zerbitzari autoritarioak onartzeko konponbideak kendu ziren. Orain arte, EDNS banderarekin eskaera bat bidali ondoren denbora-tarte jakin baten ondoren erantzunik ez bazegoen, DNS zerbitzariak bere gain hartzen zuen hedatutako banderak ez zirela onartzen eta bigarren eskaera bat bidali zuen EDNS banderarik gabe. Jokaera hau desgaitu egin da orain, kode honek latentzia handitu duelako paketeen birtransmisioengatik, sareko karga areagotu eta sareko hutsegiteengatik erantzuten ez zutenean anbiguotasuna eragin baitzuen, eta DDoS erasoetatik babesteko EDNSn oinarritutako funtzioak ezartzea eragotzi baitu.
Datorren urtean ekitaldia egitea erabaki da arreta bideratzeko diseinatua IP zatiketarekin DNS mezu handiak prozesatzen direnean. Ekimenaren baitan konpondu gomendatutako buffer-en tamaina EDNSrako 1200 byteraino, eta TCP bidez eskaerak prozesatzea zerbitzarietan ezinbesteko eginbidea da. Orain UDP bidez eskaerak prozesatzeko laguntza beharrezkoa da, eta TCP desiragarria da, baina ez da beharrezkoa funtzionatzeko (estandarrak TCP desgaitzeko gaitasuna eskatzen du). TCP estandarretik desgaitzeko aukera kentzea eta UDP bidez eskaerak bidaltzetik TCP erabiltzera trantsizioa estandarizatzea proposatzen da, ezarritako EDNS buffer tamaina nahikoa ez den kasuetan.
Ekimenaren baitan proposatutako aldaketek EDNS buffer-aren tamaina aukeratzearen nahasmena ezabatuko dute eta UDP mezu handien zatiketaren arazoa konponduko dute, zeinen prozesatzeak maiz paketeak galtzea eta denbora-muga izatea bezeroaren aldetik. Bezeroaren aldetik, EDNS buffer tamaina konstantea izango da eta erantzun handiak berehala bidaliko zaizkio bezeroari TCP bidez. UDP bidez mezu handiak bidaltzea saihesteak blokeatzeko aukera ere emango dizu DNS cachea pozoitzeko, zatitutako UDP paketeen manipulazioan oinarrituta (zatietan zatitzen denean, bigarren zatiak ez du identifikatzaile duen goibururik sartzen, beraz, faltsutu daiteke, eta horretarako nahikoa da checksum-a bat etortzea bakarrik) .
PowerDNS Recursor 4.2-k UDP pakete handien arazoak hartzen ditu kontuan eta 1232 byteko EDNS buffer tamaina (edns-outgoing-bufsize) erabiltzera aldatzen du, lehen erabilitako 1680 byteko mugaren ordez, eta horrek UDP paketeak galtzeko probabilitatea nabarmen murriztu beharko luke. . 1232 balioa aukeratu da DNS erantzunaren tamaina maximoa delako, IPv6 kontuan hartuta, MTU gutxieneko balioan (1280). Bezeroari erantzunak mozteaz arduratzen den mozketaren atalasearen parametroaren balioa ere 1232ra murriztu da.
PowerDNS Recursor 4.2-n beste aldaketa batzuk:
- Mekanismoaren euskarria gehitu da (X-Proxied-For), hau da, X-Forwarded-For HTTP goiburuaren DNS baliokidea, jatorrizko eskatzailearen IP helbideari eta ataka-zenbakiari buruzko informazioa tarteko proxy eta karga-orekatzaileen bidez birbidaltzeko aukera ematen duena (adibidez, dnsdist) . XPF gaitzeko aukerak daude ""Eta"";
- EDNS luzapenerako euskarria hobetu da (ECS), DNS kontsultetan DNS zerbitzari autoritario bati katean zehar transmititutako hasierako eskaera pozoitu zen azpisareari buruzko informazioa transmititzeko aukera ematen duena (bezeroaren iturburuko azpisareari buruzko datuak beharrezkoak dira edukiak bidaltzeko sareak eraginkortasunez funtzionatzeko) . Bertsio berriak EDNS Bezeroaren azpisarearen erabileraren gaineko kontrol selektiborako ezarpenak gehitzen ditu: "Β» irteerako eskaeretan ECSn IPa erabiliko den sare-masken zerrenda batekin. Zehaztutako maskaretan sartzen ez diren helbideetarako, zuzentarauan zehaztutako helbide orokorra "". Zuzentarauaren bidez"Β» ECS balioak betetako sarrerako eskaerak ordezkatuko ez diren azpisareak defini ditzakezu;
- Segundoko eskaera kopuru handia prozesatzen duten zerbitzarientzat (100 mila baino gehiago), zuzentaraua "", sarrerako eskaerak jasotzeko eta langileen harien artean banatzeko hari kopurua zehazten duena (zentzuzkoa da soilik "").
- Ezarpen gehitua zure fitxategiarekin definitzeko erabiltzaileek beren azpidomeinuak erregistra ditzaketen domeinuak, PowerDNS Recursor-en integratutako zerrendaren ordez.
PowerDNS proiektuak sei hilabeteko garapen-ziklo batera pasatzea ere iragarri zuen, eta PowerDNS Recursor 4.3-ren hurrengo bertsio nagusia 2020ko urtarrilean espero zen. Urtean zehar kaleratze esanguratsuen eguneraketak garatuko dira, eta ondoren ahultasun konponketak beste sei hilabetez kaleratuko dira. Horrela, PowerDNS Recursor 4.2 adarraren laguntza 2021eko urtarrilera arte iraungo du. Garapen-zikloaren antzeko aldaketak egin dira PowerDNS Authoritative Server-en, eta etorkizun hurbilean 4.2 kaleratzea espero da.
PowerDNS Recursor-en ezaugarri nagusiak:
- Urruneko estatistikak biltzeko tresnak;
- Berehalako berrabiarazi;
- Lua hizkuntzan kudeatzaileak konektatzeko motor integratua;
- DNSSEC laguntza osoa eta ;
- RPZ (Erantzun Politika Eremuak) laguntza eta zerrenda beltzak definitzeko gaitasuna;
- Faltsioaren aurkako mekanismoak;
- Ebazpenaren emaitzak BIND zonako fitxategi gisa grabatzeko gaitasuna.
- Errendimendu handia bermatzeko, FreeBSD, Linux eta Solaris-en konexio-multiplexatze-mekanismo modernoak erabiltzen dira (kqueue, epoll, /dev/poll), baita errendimendu handiko DNS pakete analizatzaile bat ere, dozenaka mila eskaera paralelo prozesatzeko gai dena.
Iturria: opennet.ru