sortie du serveur DNS de mise en cache , responsable de la conversion récursive des noms. PowerDNS Recursor est construit sur la même base de code que PowerDNS Authoritative Server, mais les serveurs DNS récursifs et faisant autorité PowerDNS sont développés selon différents cycles de développement et sont publiés en tant que produits distincts. Code de projet sous licence GPLv2.
Le serveur fournit des outils de collecte de statistiques à distance, prend en charge le redémarrage instantané, dispose d'un moteur intégré pour connecter les gestionnaires en langage Lua, prend entièrement en charge DNSSEC, DNS64, RPZ (Response Policy Zones) et vous permet de connecter des listes noires. Il est possible d'enregistrer les résultats de résolution sous forme de fichiers de zone BIND. Pour garantir des performances élevées, des mécanismes modernes de multiplexage de connexion sont utilisés dans FreeBSD, Linux et Solaris (kqueue, epoll, /dev/poll), ainsi qu'un analyseur de paquets DNS haute performance capable de traiter des dizaines de milliers de requêtes parallèles.
Dans la nouvelle version:
- Afin d'éviter les fuites d'informations sur le domaine demandé et d'augmenter la confidentialité, le mécanisme est activé par défaut (), fonctionnant en mode « détendu ». L'essence du mécanisme est que le résolveur ne mentionne pas le nom complet de l'hôte souhaité dans ses requêtes adressées au serveur de noms en amont. Par exemple, lors de la détermination de l'adresse de l'hôte foo.bar.baz.com, le résolveur enverra la requête "QTYPE=NS,QNAME=baz.com" au serveur faisant autorité pour la zone ".com", sans mentionner " foo.bar". Dans sa forme actuelle, le travail est mis en œuvre en mode « détendu ».
- La possibilité de consigner les requêtes sortantes vers un serveur faisant autorité et les réponses y afférentes au format dnstap a été implémentée (pour l'utiliser, une version avec l'option « -enable-dnstap » est requise).
- Le traitement simultané de plusieurs requêtes entrantes transmises via une connexion TCP est assuré, les résultats étant renvoyés au fur et à mesure qu'ils sont prêts, et non dans l'ordre des requêtes dans la file d'attente. La limite des demandes simultanées est déterminée par le « «.
- Implémentation d'une technique de suivi de nouveaux domaines (Newly Observed Domain), qui peut être utilisé pour identifier les domaines suspects ou associés à des activités malveillantes, telles que la distribution de logiciels malveillants, la participation à du phishing et l'utilisation de réseaux de zombies. La méthode est basée sur l’identification des domaines qui n’ont pas été consultés auparavant et sur l’analyse de ces nouveaux domaines. Au lieu de suivre les nouveaux domaines par rapport à une base de données complète de tous les domaines jamais consultés, ce qui nécessite des ressources importantes à maintenir, NOD utilise un cadre probabiliste. (Stable Bloom Filter), qui vous permet de minimiser la consommation de mémoire et de CPU. Pour l'activer, vous devez spécifier « new-domain-tracking=yes » dans les paramètres.
- Lorsqu'il est exécuté sous systemd, le processus PowerDNS Recursor s'exécute désormais sous l'utilisateur non privilégié pdns-recursor au lieu de root. Pour les systèmes sans systemd et sans chroot, le répertoire par défaut pour stocker le socket de contrôle et le fichier pid est désormais /var/run/pdns-recursor.
En outre, libération , un serveur DNS faisant autorité hautes performances (le récurseur est conçu comme une application distincte) qui prend en charge toutes les fonctionnalités DNS modernes. Le projet est développé par le registre de noms tchèque CZ.NIC, écrit en C et sous licence GPLv3.
KnotDNS se distingue par l'accent mis sur le traitement des requêtes hautes performances, pour lequel il utilise une implémentation multithread et principalement non bloquante qui s'adapte bien aux systèmes SMP. Des fonctionnalités telles que l'ajout et la suppression de zones à la volée, le transfert de zones entre serveurs, le DDNS (mises à jour dynamiques), le NSID (RFC 5001), les extensions EDNS0 et DNSSEC (y compris NSEC3), la limitation du taux de réponse (RRL) sont fournies.
Dans la nouvelle version :
- Ajout du paramètre « remote.block-notify-after-transfer » pour désactiver l'envoi de messages NOTIFY ;
- Implémentation du support expérimental pour l'algorithme Ed448 dans DNSSE (nécessite GnuTLS 3.6.12+ et pas encore publié );
- Le paramètre 'local-serial' a été ajouté à keymgr pour obtenir ou définir le numéro de série SOA pour la zone signée dans la base de données KASP ;
- Ajout de la prise en charge de l'importation des clés Ed25519 et Ed448 au format de serveur DNS BIND vers keymgr ;
- Le paramètre par défaut « server.tcp-io-timeout » a été augmenté à 500 ms et « database.journal-db-max-size » a été réduit à 512 Mo sur les systèmes 32 bits.
Source: opennet.ru