rilascio della memorizzazione nella cache del server DNS , responsabile della conversione ricorsiva dei nomi. PowerDNS Recursor è basato sulla stessa base di codice del server autorevole PowerDNS, ma i server DNS ricorsivi e autorevoli PowerDNS vengono sviluppati attraverso cicli di sviluppo diversi e vengono rilasciati come prodotti separati. Codice del progetto concesso in licenza con GPLv2.
Il server fornisce strumenti per la raccolta remota di statistiche, supporta il riavvio istantaneo, dispone di un motore integrato per la connessione di gestori in linguaggio Lua, supporta pienamente DNSSEC, DNS64, RPZ (Response Policy Zones) e consente di connettere liste nere. È possibile registrare i risultati della risoluzione come file di zona BIND. Per garantire prestazioni elevate, in FreeBSD, Linux e Solaris vengono utilizzati moderni meccanismi di multiplexing della connessione (kqueue, epoll, /dev/poll), nonché un parser di pacchetti DNS ad alte prestazioni in grado di elaborare decine di migliaia di richieste parallele.
Nella nuova versione:
- Per evitare fughe di informazioni sul dominio richiesto e aumentare la privacy, il meccanismo è abilitato per impostazione predefinita (), operando in modalità “rilassata”. L'essenza del meccanismo è che il risolutore non menziona il nome completo dell'host desiderato nelle sue richieste al server dei nomi upstream. Ad esempio, quando si determina l'indirizzo per l'host foo.bar.baz.com, il risolutore invierà la richiesta "QTYPE=NS,QNAME=baz.com" al server autorevole per la zona ".com", senza menzionare " foo.bar". Nella sua forma attuale, il lavoro viene svolto in modalità “rilassata”.
- È stata implementata la possibilità di registrare le richieste in uscita su un server autorevole e le risposte ad esse in formato dnstap (per l'utilizzo è necessaria una build con l'opzione “-enable-dnstap”).
- Viene fornita l'elaborazione simultanea di diverse richieste in entrata trasmesse su una connessione TCP, con i risultati restituiti non appena sono pronti e non nell'ordine delle richieste in coda. Il limite delle richieste contemporanee è determinato dal “«.
- Implementata una tecnica per il tracciamento di nuovi domini (Newly Observed Domain), che può essere utilizzato per identificare domini sospetti o domini associati ad attività dannose, come la distribuzione di malware, la partecipazione al phishing e l'utilizzo per gestire botnet. Il metodo si basa sull'identificazione dei domini a cui non si è avuto accesso in precedenza e sull'analisi di questi nuovi domini. Invece di tenere traccia dei nuovi domini rispetto a un database completo di tutti i domini mai visualizzati, che richiede risorse significative per la manutenzione, NOD utilizza un quadro probabilistico (Stable Bloom Filter), che consente di ridurre al minimo il consumo di memoria e CPU. Per abilitarlo, devi specificare "new-domain-tracking=yes" nelle impostazioni.
- Quando viene eseguito con systemd, il processo PowerDNS Recursor ora viene eseguito con l'utente non privilegiato pdns-recursor invece che con root. Per i sistemi senza systemd e senza chroot, la directory predefinita per memorizzare il socket di controllo e il file pid è ora /var/run/pdns-recursor.
Inoltre, rilasciare , un server DNS autorevole ad alte prestazioni (il ricorsiore è progettato come un'applicazione separata) che supporta tutte le moderne funzionalità DNS. Il progetto è stato sviluppato dal registro dei nomi ceco CZ.NIC, scritto in C e concesso in licenza con GPLv3.
KnotDNS si distingue per la sua attenzione all'elaborazione delle query ad alte prestazioni, per la quale utilizza un'implementazione multi-thread e per lo più non bloccante che si adatta bene ai sistemi SMP. Vengono fornite funzionalità come l'aggiunta e l'eliminazione di zone al volo, il trasferimento di zone tra server, DDNS (aggiornamenti dinamici), NSID (RFC 5001), estensioni EDNS0 e DNSSEC (incluso NSEC3), limitazione della velocità di risposta (RRL).
Nella nuova versione:
- Aggiunta l'impostazione 'remote.block-notify-after-transfer' per disabilitare l'invio di messaggi NOTIFY;
- Implementato il supporto sperimentale per l'algoritmo Ed448 in DNSSE (richiede GnuTLS 3.6.12+ e non ancora rilasciato );
- È stato aggiunto il parametro 'local-serial' a keymgr per ottenere o impostare il numero di serie SOA per la zona firmata nel database KASP;
- Aggiunto il supporto per l'importazione delle chiavi Ed25519 e Ed448 nel formato server DNS BIND su keymgr;
- L'impostazione predefinita "server.tcp-io-timeout" è stata aumentata a 500 ms e "database.journal-db-max-size" è stata ridotta a 512 MiB sui sistemi a 32 bit.
Fonte: opennet.ru