שחרור של PowerDNS Recursor 4.3 ו- KnotDNS 2.9.3

התרחש שחרור שרת DNS לאחסון במטמון משאב PowerDNS 4.3, אחראי להמרת שמות רקורסיבית. PowerDNS Recursor בנוי על אותו בסיס קוד כמו PowerDNS Authoritative Server, אך שרתי DNS רקורסיביים וסמכותיים של PowerDNS מפותחים באמצעות מחזורי פיתוח שונים ומשוחררים כמוצרים נפרדים. קוד פרויקט מופץ על ידי מורשה תחת GPLv2.

השרת מספק כלים לאיסוף סטטיסטיקות מרחוק, תומך באתחול מיידי, בעל מנוע מובנה לחיבור מטפלים בשפת Lua, תומך באופן מלא ב-DNSSEC, DNS64, RPZ (Response Policy Zones), ומאפשר לחבר רשימות שחורות. אפשר להקליט תוצאות רזולוציה כקבצי אזור BIND. כדי להבטיח ביצועים גבוהים, נעשה שימוש במנגנוני ריבוי חיבורים מודרניים ב-FreeBSD, Linux ו-Solaris (kqueue, epoll, /dev/poll), כמו גם מנתח מנות DNS בעל ביצועים גבוהים המסוגל לעבד עשרות אלפי בקשות מקבילות.

בגרסה החדשה:

• על מנת למנוע דליפות מידע על הדומיין המבוקש ולהגביר את הפרטיות, המנגנון מופעל כברירת מחדל מזעור QNAME (RFC-7816), פועל במצב "רגוע". מהות המנגנון היא שהפורם אינו מזכיר את שמו המלא של המארח הרצוי בבקשותיו לשרת השמות במעלה הזרם. לדוגמה, בעת קביעת הכתובת עבור המארח foo.bar.baz.com, הפותר ישלח את הבקשה "QTYPE=NS,QNAME=baz.com" לשרת הסמכותי של אזור ".com", מבלי לציין " פו בר". בצורתה הנוכחית, העבודה מיושמת במצב "רגוע".
• הוטמעה היכולת לרשום בקשות יוצאות לשרת סמכותי ותגובות להן בפורמט dnstap (לשימוש, נדרשת בנייה עם אפשרות "-enable-dnstap").
• ניתן עיבוד סימולטני של מספר בקשות נכנסות המועברות דרך חיבור TCP, כאשר התוצאות מוחזרות כשהן מוכנות, ולא לפי סדר הבקשות בתור. מגבלת הבקשות בו זמנית נקבעת על ידי "max-concurrent-requests-per-tcp-connection".
• הטמיע טכניקה למעקב אחר דומיינים חדשים Nod (Newly Observed Domain), שניתן להשתמש בו כדי לזהות דומיינים חשודים או דומיינים הקשורים לפעילות זדונית, כגון הפצת תוכנות זדוניות, השתתפות בדיוג ושימוש להפעלת רשתות בוטים. השיטה מבוססת על זיהוי דומיינים שלא ניגשו אליהם בעבר וניתוח דומיינים חדשים אלו. במקום לעקוב אחר דומיינים חדשים מול מסד נתונים שלם של כל הדומיינים שנצפו אי פעם, מה שדורש משאבים משמעותיים לתחזוקה, NOD משתמשת במסגרת הסתברותית Sbf (Stable Bloom Filter), המאפשר למזער את צריכת הזיכרון והמעבד. כדי להפעיל אותו, עליך לציין "new-domain-tracking=yes" בהגדרות.
• כאשר פועל תחת systemd, תהליך PowerDNS Recursor פועל כעת תחת המשתמש הבלתי מוגן pdns-recursor במקום שורש. עבור מערכות ללא systemd וללא chroot, ספריית ברירת המחדל לאחסון שקע הבקרה וקובץ ה-Pid היא כעת /var/run/pdns-recursor.

בנוסף, פורסם שחרור KnotDNS 2.9.3, שרת DNS סמכותי בעל ביצועים גבוהים (הרקורסור מתוכנן כאפליקציה נפרדת) התומך בכל תכונות ה-DNS המודרניות. הפרויקט מפותח על ידי מרשם השמות הצ'כי CZ.NIC, כתוב ב-C ו מופץ על ידי מורשה תחת GPLv3.

KnotDNS נבדל בהתמקדות שלו בעיבוד שאילתות בעל ביצועים גבוהים, שעבורו הוא משתמש ביישום מרובה הליכי ובעיקר לא חוסם שמתרחב היטב במערכות SMP. תכונות כגון הוספה ומחיקה של אזורים תוך כדי תנועה, העברת אזורים בין שרתים, DDNS (עדכונים דינמיים), NSID (RFC 5001), הרחבות EDNS0 ו-DNSSEC (כולל NSEC3), הגבלת שיעור תגובה (RRL).

במהדורה החדשה:

• נוספה הגדרה 'remote.block-notify-after-transfer' כדי לבטל את שליחת הודעות NOTIFY;
• הטמיעה תמיכה ניסיונית באלגוריתם Ed448 ב-DNSSE (דורש GnuTLS 3.6.12+ ועדיין לא שוחרר סרפד 3.6+);
• הפרמטר 'local-serial' נוסף ל-keymgr כדי להשיג או להגדיר את המספר הסידורי של SOA עבור האזור החתום במסד הנתונים של KASP;
• נוספה תמיכה בייבוא ​​מפתחות Ed25519 ו-Ed448 בפורמט שרת BIND DNS ל-keymgr;
• הגדרת ברירת המחדל 'server.tcp-io-timeout' הוגדלה ל-500 ms ו-'database.journal-db-max-size' הצטמצמה ל-512 MiB במערכות 32 סיביות.

מקור: OpenNet.ru