liberación do servidor DNS de caché , responsable da conversión recursiva de nomes. PowerDNS Recursor está construído na mesma base de código que PowerDNS Authoritative Server, pero os servidores DNS autorizados e recursivos de PowerDNS desenvólvense a través de diferentes ciclos de desenvolvemento e lánzanse como produtos separados. Código do proxecto licenciado baixo GPLv2.
O servidor ofrece ferramentas para a recollida de estatísticas remotas, admite o reinicio instantáneo, ten un motor integrado para conectar controladores no idioma Lua, admite totalmente DNSSEC, DNS64, RPZ (zonas de política de resposta) e permítelle conectar listas negras. É posible gravar os resultados da resolución como ficheiros da zona BIND. Para garantir un alto rendemento, utilízanse mecanismos modernos de multiplexación de conexións en FreeBSD, Linux e Solaris (kqueue, epoll, /dev/poll), así como un analizador de paquetes DNS de alto rendemento capaz de procesar decenas de miles de solicitudes paralelas.
Na nova versión:
- Para evitar filtracións de información sobre o dominio solicitado e aumentar a privacidade, o mecanismo está habilitado por defecto (), funcionando en modo "relaxado". A esencia do mecanismo é que o resolutor non menciona o nome completo do host desexado nas súas solicitudes ao servidor de nomes ascendente. Por exemplo, ao determinar o enderezo para o host foo.bar.baz.com, o resolvedor enviará a solicitude "QTYPE=NS,QNAME=baz.com" ao servidor autorizado para a zona ".com", sen mencionar " foo.bar". Na súa forma actual, o traballo no modo "relaxado" está implementado.
- Implementouse a capacidade de rexistrar as solicitudes de saída nun servidor autorizado e as respostas a elas en formato dnstap (para o seu uso, é necesaria unha compilación coa opción "-enable-dnstap").
- Prodúcese o procesamento simultáneo de varias solicitudes entrantes transmitidas a través dunha conexión TCP, devéndose os resultados cando están listos, e non na orde das solicitudes na cola. O límite de solicitudes simultáneas está determinado polo "«.
- Implementouse unha técnica para rastrexar novos dominios (Dominio recentemente observado), que se pode utilizar para identificar dominios sospeitosos ou asociados a actividade maliciosa, como a distribución de software malicioso, a participación en phishing e o uso de botnets. O método baséase na identificación de dominios aos que non se accedeu previamente e na análise destes novos dominios. En lugar de rastrexar novos dominios cunha base de datos completa de todos os dominios vistos, o que require recursos importantes para manter, NOD usa un marco probabilístico (Filtro de floración estable), que permite minimizar o consumo de memoria e CPU. Para activalo, especifique "new-domain-tracking=yes" na configuración.
- Cando se executa baixo systemd, o proceso PowerDNS Recursor agora execútase baixo o usuario sen privilexios pdns-recursor en lugar de root. Para sistemas sen systemd e sen chroot, o directorio predeterminado para almacenar o socket de control e o ficheiro pid agora é /var/run/pdns-recursor.
Ademais, liberación , un servidor DNS autorizado de alto rendemento (o recurso está deseñado como unha aplicación separada) que admite todas as capacidades de DNS modernas. O proxecto está a ser desenvolvido polo rexistro de nomes checo CZ.NIC, escrito en C e licenciado baixo GPLv3.
KnotDNS distínguese polo seu foco no procesamento de consultas de alto rendemento, para o que usa unha implementación multiproceso e na súa maioría sen bloqueo que se escala ben nos sistemas SMP. Ofrécense funcións como engadir e eliminar zonas sobre a marcha, transferir zonas entre servidores, DDNS (actualizacións dinámicas), NSID (RFC 5001), extensións EDNS0 e DNSSEC (incluíndo NSEC3), limitación da taxa de resposta (RRL).
Na nova versión:
- Engadiuse a configuración "remote.block-notify-after-transfer" para desactivar o envío de mensaxes NOTIFY;
- Implementouse soporte experimental para o algoritmo Ed448 en DNSSE (require GnuTLS 3.6.12+ e aínda non se lanzou );
- O parámetro 'local-serial' engadiuse a keymgr para obter ou establecer o número de serie SOA para a zona asinada na base de datos KASP;
- Engadido soporte para importar chaves Ed25519 e Ed448 en formato de servidor BIND DNS a keymgr;
- A configuración predeterminada "server.tcp-io-timeout" aumentouse a 500 ms e "database.journal-db-max-size" reduciuse a 512 MiB en sistemas de 32 bits.
Fonte: opennet.ru