Nei oardel jier fan ûntwikkeling frijlitting fan caching DNS-tsjinner , ferantwurdlik foar rekursive nammekonverzje. PowerDNS Recursor is boud op deselde koadebasis as PowerDNS Authoritative Server, mar PowerDNS rekursive en autoritative DNS-tsjinners wurde ûntwikkele troch ferskate ûntwikkelingssyklusen en wurde frijjûn as aparte produkten. Projektkoade lisinsje ûnder GPLv2.
De nije ferzje elimineert alle problemen yn ferbân mei de ferwurking fan DNS-pakketten mei EDNS-flaggen. Âldere ferzjes fan PowerDNS Recursor foarôfgeand oan 2016 hiene de praktyk fan it negearjen fan pakketten mei net-stipe EDNS-flaggen sûnder in antwurd yn it âlde formaat te ferstjoeren, en de EDNS-flaggen te ferwiderjen lykas fereaske troch de spesifikaasje. Earder waard dit net-standert gedrach stipe yn BIND yn 'e foarm fan in oplossing, mar binnen it ramt fan yn febrewaris inisjativen , DNS-tsjinnerûntwikkelders besletten om dizze hack te ferlitten.
Yn PowerDNS waarden de wichtichste problemen by it ferwurkjen fan pakketten mei EDNS werom yn 2017 yn frijlitting 4.1 elimineare, en yn 'e 2016-tûke útbrocht yn 4.0 ferskynden yndividuele ynkompatibiliteiten dy't ûntsteane ûnder in bepaalde set fan omstannichheden en, yn' t algemien, net ynterferearje mei normale operaasje. Yn PowerDNS Recursor 4.2, lykas yn , Ferwidere oplossingen om autoritative tsjinners te stypjen dy't ferkeard reagearje op fersiken mei EDNS-flaggen. Oant no ta, as der nei it ferstjoeren fan in fersyk mei EDNS-flaggen gjin antwurd wie nei in bepaalde tiid, gie de DNS-tsjinner oan dat útwreide flaggen net stipe waarden en stjoerde in twadde fersyk sûnder EDNS-flaggen. Dit gedrach is no útskeakele, om't dizze koade resultearre yn ferhege latency fanwegen pakketferstjoerings, ferhege netwurkbelêsting en ûndúdlikens by it net reagearje fanwege netwurkflaters, en foarkaam de ymplemintaasje fan EDNS-basearre funksjes lykas DNS-koekjes om te beskermjen tsjin DDoS-oanfallen.
Der is besletten om it evenemint takom jier te hâlden ûntworpen om oandacht te rjochtsjen op mei IP-fragmintaasje by it ferwurkjen fan grutte DNS-berjochten. As ûnderdiel fan it inisjatyf fix de rekommandearre bufferstorrelsen foar EDNS oan 1200 bytes, en ferwurkjen fan oanfragen fia TCP is in must-have funksje op servers. No is stipe foar it ferwurkjen fan oanfragen fia UDP fereaske, en TCP is winsklik, mar net fereaske foar operaasje (de standert fereasket de mooglikheid om TCP út te skeakeljen). It wurdt foarsteld om de opsje te ferwiderjen om TCP út te skeakeljen fan 'e standert en de oergong te standardisearjen fan it ferstjoeren fan oanfragen oer UDP nei it brûken fan TCP yn gefallen dêr't de fêststelde EDNS-buffergrutte net genôch is.
De wizigingen dy't foarsteld binne as ûnderdiel fan it inisjatyf sille betizing eliminearje mei it kiezen fan 'e EDNS-buffergrutte en it probleem fan fragmintaasje fan grutte UDP-berjochten oplosse, wêrfan de ferwurking faak liedt ta pakketferlies en timeouts op' e kliïntside. Oan 'e kant fan' e kliïnt sil de EDNS-buffergrutte konstant wêze en grutte antwurden wurde fuortendaliks nei de kliïnt oer TCP stjoerd. It foarkommen fan it ferstjoeren fan grutte berjochten oer UDP sil jo ek blokkearje kinne foar fergiftiging fan 'e DNS-cache, basearre op' e manipulaasje fan fragmintele UDP-pakketten (as splitst yn fragminten, it twadde fragmint omfettet gjin koptekst mei in identifier, sadat it kin wurde smeid, wêrfoar it allinich genôch is foar de kontrôlesum om te passen) .
PowerDNS Recursor 4.2 hâldt rekken mei problemen mei grutte UDP-pakketten en skeakelt oer op it brûken fan de EDNS-buffergrutte (edns-útgeande-bufsize) fan 1232 bytes, ynstee fan de earder brûkte limyt fan 1680 bytes, wat de kâns op ferlies fan UDP-pakketten signifikant moat ferminderje. . De wearde 1232 waard keazen om't it it maksimum is wêrby't de grutte fan 'e DNS-antwurd, mei rekken hâldend mei IPv6, past yn' e minimale MTU-wearde (1280). De wearde fan 'e parameter foar trunkaasje-drompel, dy't ferantwurdlik is foar it trimmen fan antwurden oan' e kliïnt, is ek fermindere nei 1232.
Oare feroaringen yn PowerDNS Recursor 4.2:
- Mechanismestipe tafoege (X-Proxied-For), dat is it DNS-ekwivalint fan 'e X-Forwarded-For HTTP-header, wêrtroch ynformaasje oer it IP-adres en poartenûmer fan' e orizjinele oanfreger kin wurde trochstjoerd fia intermediate proxy's en load balancers (lykas dnsdist) . Om XPF yn te skeakeljen binne d'r opsjes ""En"";
- Ferbettere stipe foar EDNS-útwreiding (ECS), wêrtroch jo yn DNS-fragen nei in autoritative DNS-tsjinner ynformaasje oer it subnet kinne ferstjoere wêrfan it earste fersyk oer de keatling fergiftige is (gegevens oer it boarnesubnet fan 'e kliïnt binne nedich foar de effektive wurking fan netwurken foar levering fan ynhâld) . De nije release foeget ynstellings ta foar selektive kontrôle oer it gebrûk fan EDNS Client Subnet: "» mei in list mei netwurkmaskers wêrfoar de IP sil wurde brûkt yn ECS yn útgeande oanfragen. Foar adressen dy't net binnen de opjûne maskers falle, is it algemiene adres spesifisearre yn 'e rjochtline "". Troch de rjochtline "» jo kinne subnets definiearje wêrfan ynkommende oanfragen mei ynfolle ECS-wearden net sille wurde ferfongen;
- Foar servers dy't in grut oantal oanfragen per sekonde ferwurkje (mear dan 100 tûzen), de rjochtline "", dy't it oantal diskusjes bepaalt foar it ûntfangen fan ynkommende oanfragen en fersprieden se tusken wurktrieden (makket allinich sin by it brûken fan de "").
- Ynstelling tafoege om jo eigen bestân mei te definiearjen domeinen wêryn brûkers har subdomeinen kinne registrearje, ynstee fan de list ynboud yn PowerDNS Recursor.
It PowerDNS-projekt kundige ek in ferhuzing oan nei in ûntwikkelingssyklus fan seis moanne, mei de folgjende grutte release fan PowerDNS Recursor 4.3 ferwachte yn jannewaris 2020. Updates foar wichtige releases sille it hiele jier troch wurde ûntwikkele, wêrnei't kwetsberheidsfixes noch seis moannen wurde frijlitten. Sa sil stipe foar de PowerDNS Recursor 4.2-tak duorje oant jannewaris 2021. Fergelykbere ûntwikkelingssykluswizigingen binne makke foar PowerDNS Authoritative Server, dy't ferwachte wurdt 4.2 yn 'e heine takomst frij te litten.
Haadfunksjes fan PowerDNS Recursor:
- Tools foar it sammeljen fan statistyk op ôfstân;
- Daliks opnij starte;
- Ynboude motor foar it ferbinen fan handlers yn 'e Lua-taal;
- Folsleine DNSSEC-stipe en ;
- Stipe foar RPZ (Response Policy Zones) en de mooglikheid om swartelisten te definiearjen;
- Anti-spoofing meganismen;
- Mooglikheid om resolúsjeresultaten op te nimmen as BIND-sône-bestannen.
- Om hege prestaasjes te garandearjen, wurde moderne ferbiningsmultiplexingmeganismen brûkt yn FreeBSD, Linux en Solaris (kqueue, epoll, /dev/poll), lykas ek in hege prestaasjes DNS-pakketparser dy't yn steat is om tsientûzenen parallelle oanfragen te ferwurkjen.
Boarne: opennet.ru