Apre yon ane ak yon mwatye nan devlopman lage nan kachèt sèvè dns , responsab pou konvèsyon non rekursif. PowerDNS Recursor bati sou menm baz kòd ak PowerDNS Authoritative Server, men PowerDNS rekursif ak autorité DNS sèvè yo devlope atravè sik devlopman diferan epi yo lage kòm pwodwi separe. Kòd pwojè lisansye anba GPLv2.
Nouvo vèsyon an elimine tout pwoblèm ki gen rapò ak pwosesis DNS pakè ak drapo EDNS. Vèsyon ki pi ansyen nan PowerDNS Recursor anvan 2016 te gen pratik nan inyore pake ki gen drapo EDNS ki pa sipòte san yo pa voye yon repons nan ansyen fòma a, jete drapo EDNS yo jan spesifikasyon la mande. Anvan sa, konpòtman ki pa estanda sa a te sipòte nan BIND nan fòm lan nan yon solisyon, men nan sijè ki abòde lan nan mwa fevriye inisyativ , devlopè sèvè dns deside abandone Hack sa a.
Nan PowerDNS, pwoblèm prensipal yo nan pwosesis pake ak EDNS yo te elimine tounen nan 2017 nan lage 4.1, ak nan branch 2016 lage nan 4.0, enkonpatibilite endividyèl sifas ki leve nan yon seri sèten sikonstans epi, an jeneral, pa entèfere ak nòmal. operasyon. Nan PowerDNS Recursor 4.2, tankou nan , Retire solisyon pou sipòte sèvè autorité ki mal reponn demann ak drapo EDNS. Jiska kounye a, si apre yo fin voye yon demann ak drapo EDNS pa te gen okenn repons apre yon sèten peryòd tan, sèvè a DNS sipoze ke drapo pwolonje pa te sipòte epi li voye yon dezyèm demann san drapo EDNS. Konpòtman sa a te enfim kounye a paske kòd sa a te lakòz ogmante latansi akòz retransmisyon pake, ogmante chaj rezo a ak anbigwite lè yo pa reponn akòz echèk rezo a, epi li te anpeche aplikasyon EDNS ki baze sou karakteristik tankou bonbon DNS pou pwoteje kont atak DDoS.
Li te deside kenbe evènman an ane pwochèn fèt pou konsantre atansyon sou ak fwagmantasyon IP lè w ap trete gwo mesaj DNS. Kòm yon pati nan inisyativ la ranje gwosè tanpon rekòmande pou EDNS a 1200 bytes, ak pwosesis demann atravè TCP se yon karakteristik ki dwe genyen sou sèvè yo. Koulye a, sipò pou demann pwosesis atravè UDP obligatwa, ak TCP se dezirab, men se pa obligatwa pou operasyon (estanda a mande pou kapasite nan enfim TCP). Yo pwopoze pou retire opsyon pou enfim TCP nan estanda a ak estandadize tranzisyon an soti nan voye demann sou UDP pou itilize TCP nan ka kote gwosè tanpon EDNS etabli a pa ase.
Chanjman yo pwopoze kòm yon pati nan inisyativ la pral elimine konfizyon ak chwazi gwosè a tanpon EDNS ak rezoud pwoblèm nan nan fwagmantasyon nan gwo mesaj UDP, pwosesis la nan ki souvan mennen nan pèt pake ak timeout sou bò kliyan an. Sou bò kliyan an, gwosè tanpon EDNS yo pral konstan epi yo pral voye gwo repons imedyatman bay kliyan an sou TCP. Evite voye gwo mesaj sou UDP pral pèmèt ou bloke tou pou anpwazònman kachèt DNS la, ki baze sou manipilasyon pake UDP fragmenté (lè divize an fragman, dezyèm fragman an pa gen ladan yon header ak yon idantifyan, kidonk li ka fòje, pou ki li ase sèlman pou chèk la matche ak) .
PowerDNS Recursor 4.2 pran an kont pwoblèm ki genyen ak gwo pake UDP ak chanjman nan itilize gwosè tanpon EDNS (edns-outgoing-bufsize) nan 1232 bytes, olye pou yo te itilize anvan limit la nan 1680 bytes, ki ta dwe siyifikativman redwi chans pou pèdi pake UDP. . Yo te chwazi valè 1232 paske li se maksimòm nan ki gwosè a nan repons DNS, pran an kont IPv6, adapte nan valè a MTU minimòm (1280). Valè paramèt truncation-threshold, ki responsab pou koupe repons pou kliyan an, te redwi tou pou 1232.
Lòt chanjman nan PowerDNS Recursor 4.2:
- Te ajoute sipò mekanis (X-Proxied-For), ki se ekivalan DNS nan header HTTP X-Forwarded-For, ki pèmèt enfòmasyon sou adrès IP ak nimewo pò moun ki mande orijinal la voye yo atravè proxy entèmedyè ak balans chaj (tankou dnsdist) . Pou pèmèt XPF gen opsyon ""Ak"";
- Amelyore sipò pou ekstansyon EDNS (ECS), ki pèmèt ou transmèt nan demann DNS nan yon sèvè DNS otorite enfòmasyon sou subnet ki soti nan ki demann inisyal la transmèt sou chèn lan te anpwazonnen (done sou sous rezo sous kliyan an nesesè pou operasyon an efikas nan rezo livrezon kontni) . Nouvo lage a ajoute anviwònman pou kontwòl selektif sou itilizasyon EDNS Kliyan Subnet: "» ak yon lis mask rezo pou yo pral itilize IP a nan ECS nan demann sortan yo. Pou adrès ki pa tonbe nan mask yo espesifye, adrès jeneral ki espesifye nan direktiv la "". Atravè direktiv la "» ou ka defini sous-rezo ki soti nan ki demann fèk ap rantre ak valè ECS ranpli yo pa pral ranplase;
- Pou sèvè k ap trete yon gwo kantite demann pou chak segonn (plis pase 100 mil), direktiv la "", ki detèmine kantite fil pou resevwa demann fèk ap rantre epi distribye yo ant fil travayè yo (fè sans sèlman lè w ap itilize "").
- Te ajoute anviwònman pou defini pwòp dosye ou ak domèn kote itilizatè yo ka anrejistre subdomains yo, olye pou yo lis ki bati nan PowerDNS Recursor.
Pwojè PowerDNS la te anonse tou yon mouvman nan yon sik devlopman sis mwa, ak pwochen gwo lage PowerDNS Recursor 4.3 espere nan mwa janvye 2020. Mizajou pou degaje enpòtan yo pral devlope pandan tout ane a, apre sa yo pral lage kòrektif vilnerabilite yo pou yon lòt sis mwa. Kidonk, sipò pou branch PowerDNS Recursor 4.2 pral dire jiska janvye 2021. Chanjman sik devlopman ki sanble yo te fèt pou PowerDNS Authoritative Server, ki espere lage 4.2 nan fiti prè.
Karakteristik prensipal PowerDNS Recursor:
- Zouti pou koleksyon estatistik aleka;
- Rekòmanse enstantane;
- Motè entegre pou konekte moun kap okipe yo nan lang Lua;
- Sipò konplè DNSSEC ak ;
- Sipò pou RPZ (Repons Policy Zones) ak kapasite pou defini lis nwa;
- Mekanis anti-spoofing;
- Kapasite pou anrejistre rezilta rezolisyon yo kòm dosye zòn BIND.
- Pou asire pèfòmans segondè, yo itilize mekanis koneksyon modèn multiplexing nan FreeBSD, Linux ak Solaris (kqueue, epoll, /dev/poll), osi byen ke yon analizeur pake DNS pèfòmans segondè ki kapab trete dè dizèn de milye demann paralèl.
Sous: opennet.ru