PowerDNS Recursor 4.3-ի և KnotDNS 2.9.3-ի թողարկում

տեղի ունեցավ քեշավորման DNS սերվերի թողարկում PowerDNS ռեսուրս 4.3, պատասխանատու է ռեկուրսիվ անվան փոխակերպման համար։ PowerDNS Recursor-ը կառուցված է նույն կոդերի բազայի վրա, ինչ PowerDNS հեղինակավոր սերվերը, սակայն PowerDNS ռեկուրսիվ և հեղինակավոր DNS սերվերները մշակվում են զարգացման տարբեր ցիկլերի միջոցով և թողարկվում են որպես առանձին արտադրանք: Ծրագրի կոդը տարածվում է լիցենզավորված GPLv2-ի համաձայն:

Սերվերը տրամադրում է գործիքներ հեռավոր վիճակագրության հավաքագրման համար, աջակցում է ակնթարթային վերագործարկմանը, ունի ներկառուցված շարժիչ Lua լեզվով կարգավորիչների միացման համար, լիովին աջակցում է DNSSEC, DNS64, RPZ (Response Policy Zones) և թույլ է տալիս միացնել սև ցուցակները: Հնարավոր է գրանցել լուծման արդյունքները որպես BIND գոտու ֆայլեր: Բարձր արդյունավետությունն ապահովելու համար օգտագործվում են միացման մուլտիպլեքսավորման ժամանակակից մեխանիզմներ FreeBSD-ում, Linux-ում և Solaris-ում (kqueue, epoll, /dev/poll), ինչպես նաև բարձր արդյունավետությամբ DNS փաթեթների վերլուծիչ, որը կարող է մշակել տասնյակ հազարավոր զուգահեռ հարցումներ:

Նոր տարբերակում.

• Հայցվող տիրույթի մասին տեղեկատվության արտահոսքը կանխելու և գաղտնիությունը բարձրացնելու համար մեխանիզմը լռելյայն միացված է QNAME-ի նվազագույնի հասցնել (RFC-7816), գործում է «հանգիստ» ռեժիմով։ Մեխանիզմի էությունը կայանում է նրանում, որ լուծիչը չի նշում ցանկալի հոսթի ամբողջական անունը վերին հոսքի անվան սերվերին ուղղված իր հարցումներում: Օրինակ, foo.bar.baz.com հոսթի հասցեն որոշելիս, լուծիչը կուղարկի «QTYPE=NS,QNAME=baz.com» հարցումը «.com» գոտու հեղինակավոր սերվերին՝ առանց նշելու «. foo.bar». Ներկայիս ձևով աշխատանքն իրականացվում է «հանգիստ» ռեժիմով։
• Իրականացվել է ելքային հարցումները հեղինակավոր սերվեր մուտքագրելու և դրանց պատասխանները dnstap ձևաչափով մուտքագրելու հնարավորությունը (օգտագործման համար պահանջվում է «-enable-dnstap» տարբերակով կառուցում):
• Տրվում է TCP կապով փոխանցված մի քանի մուտքային հարցումների միաժամանակյա մշակում, որոնց արդյունքները վերադարձվում են պատրաստ լինելուն պես, և ոչ թե հերթում առկա հարցումների հերթականությամբ: Միաժամանակյա հարցումների սահմանաչափը որոշվում է «max-concurrent-requests-per-tcp-connection»:
• Իրականացրել է նոր տիրույթներին հետևելու տեխնիկա Նոդ (Նոր դիտարկված տիրույթ), որը կարող է օգտագործվել կասկածելի տիրույթները կամ տիրույթները, որոնք կապված են վնասակար գործունեության հետ, ինչպես օրինակ՝ չարամիտ ծրագրերի տարածումը, ֆիշինգին մասնակցելը և բոտնետների շահագործման համար օգտագործվող տիրույթները հայտնաբերելու համար: Մեթոդը հիմնված է այն տիրույթների նույնականացման վրա, որոնք նախկինում հասանելի չեն եղել և վերլուծել այս նոր տիրույթները: Փոխանակ հետևելու նոր տիրույթներին երբևէ դիտված բոլոր տիրույթների ամբողջական տվյալների բազայի հետ, ինչը պահպանելու համար զգալի ռեսուրսներ է պահանջվում, NOD-ն օգտագործում է հավանականական շրջանակ SBF (Stable Bloom Filter), որը թույլ է տալիս նվազագույնի հասցնել հիշողությունը և պրոցեսորի սպառումը: Այն միացնելու համար կարգավորումներում պետք է նշեք «new-domain-tracking=yes»:
• Երբ աշխատում է systemd-ի տակ, PowerDNS Recursor գործընթացն այժմ աշխատում է ոչ արտոնյալ օգտվողի pdns-recursor-ի ներքո՝ արմատի փոխարեն: Առանց systemd և առանց chroot համակարգերի համար կառավարման վարդակից և pid ֆայլը պահելու լռելյայն գրացուցակը այժմ /var/run/pdns-recursor է:

Բացի այդ, հրատարակված արձակել KnotDNS 2.9.3, բարձր արդյունավետությամբ հեղինակավոր DNS սերվեր (ռեկուրսորը նախատեսված է որպես առանձին հավելված), որն աջակցում է բոլոր ժամանակակից DNS հնարավորություններին։ Նախագիծը մշակվում է CZ.NIC անվանումների չեխական ռեգիստրի կողմից՝ գրված C և տարածվում է լիցենզավորված GPLv3-ի համաձայն:

KnotDNS-ը բնութագրվում է հարցումների մշակման բարձր կատարողականի վրա կենտրոնացվածությամբ, որն օգտագործում է բազմաշերտ և հիմնականում չարգելափակող իրականացում, որը լավ է չափվում SMP համակարգերում: Տրամադրվում են այնպիսի առանձնահատկություններ, ինչպիսիք են գոտիների ավելացումն ու հեռացումը, սերվերից սերվեր գոտիների փոխանցում, DDNS (դինամիկ թարմացումներ), NSID (RFC 5001), EDNS0 և DNSSEC ընդլայնումներ (ներառյալ NSEC3), արձագանքման արագության սահմանաչափեր (RRL):

Նոր թողարկումում.

• Ավելացվեց «remote.block-notify-after-transfer» պարամետրը՝ NOTIFY հաղորդագրությունների ուղարկումն անջատելու համար;
• Իրականացված փորձնական աջակցություն Ed448 ալգորիթմի համար DNSSE-ում (պահանջում է GnuTLS 3.6.12+ և դեռ թողարկված չէ Եղինջ 3.6+);
• «Տեղական-սերիալ» պարամետրը ավելացվել է keymgr՝ KASP տվյալների բազայում ստորագրված գոտու համար SOA սերիական համարը ստանալու կամ սահմանելու համար.
• Ավելացված է աջակցություն՝ Ed25519 և Ed448 ստեղները BIND DNS սերվերի ձևաչափով keymgr ներմուծելու համար;
• «server.tcp-io-timeout» կանխադրված պարամետրը ավելացվել է մինչև 500 ms, իսկ «database.journal-db-max-size»-ը կրճատվել է մինչև 512 ՄԲ 32-բիթանոց համակարգերում:

Source: opennet.ru