プロホスト > ブログ > インターネットニュース > PowerDNS Recursor 4.3 および KnotDNS 2.9.3 のリリース

PowerDNS Recursor 4.3 および KnotDNS 2.9.3 のリリース

開催されました キャッシュDNSサーバーのリリース PowerDNSリソース4.3、再帰的な名前変換を担当します。 PowerDNS Recursor は PowerDNS Authoritative Server と同じコード ベースに構築されていますが、PowerDNS 再帰サーバーと権威 DNS サーバーは異なる開発サイクルで開発され、別の製品としてリリースされます。 プロジェクトコード によって配布 GPLv2に基づいてライセンスされています。

このサーバーは、リモート統計収集用のツールを提供し、即時再起動をサポートし、Lua 言語でハンドラーを接続するための組み込みエンジンを備え、DNSSEC、DNS64、RPZ (応答ポリシー ゾーン) を完全にサポートし、ブラックリストに接続できるようにします。 解決結果をBINDゾーンファイルとして記録することが可能です。 高いパフォーマンスを確保するために、FreeBSD、Linux、Solaris では最新の接続多重化メカニズム (kqueue、epoll、/dev/poll) が使用されているほか、数万の並列リクエストを処理できる高性能 DNS パケット パーサーも使用されています。

収録曲:

  • リクエストされたドメインに関する情報の漏洩を防ぎ、プライバシーを高めるために、このメカニズムはデフォルトで有効になっています QNAME の最小化 (RFC-7816)、「リラックス」モードで動作します。 このメカニズムの本質は、リゾルバーが上流のネーム サーバーへのリクエストで目的のホストのフル ネームを言及しないことです。 たとえば、ホスト foo.bar.baz.com のアドレスを決定する場合、リゾルバーは「.com」ゾーンの権限のあるサーバーにリクエスト「QTYPE=NS,QNAME=baz.com」を送信します。フー.バー」。 現在の形態では、作業は「リラックス」モードで実施されます。
  • 権限のあるサーバーへの送信リクエストとそれに対する応答を dnstap 形式でログに記録する機能が実装されました (使用するには、「-enable-dnstap」オプションを指定したビルドが必要です)。
  • TCP 接続を介して送信される複数の受信リクエストの同時処理が提供され、キュー内のリクエストの順序ではなく、準備が整った時点で結果が返されます。 同時リクエストの制限は、「TCP 接続ごとの最大同時リクエスト数"
  • 新しいドメインを追跡する技術を実装しました NOD (新しく観察されたドメイン)。疑わしいドメイン、またはマルウェアの配布、フィッシングへの参加、ボットネットの操作などの悪意のある活動に関連するドメインを識別するために使用できます。 この方法は、これまでアクセスされていないドメインを特定し、これらの新しいドメインを分析することに基づいています。 NOD は、これまでに表示されたすべてのドメインの完全なデータベースに対して新しいドメインを追跡する代わりに、維持するために多大なリソースが必要になります。NOD は確率的フレームワークを使用します。 SBF (Stable Bloom Filter) により、メモリと CPU の消費を最小限に抑えることができます。 有効にするには、設定で「new-domain-tracking=yes」を指定する必要があります。
  • systemd で実行する場合、PowerDNS Recursor プロセスは root ではなく非特権ユーザー pdns-recursor で実行されるようになりました。 systemd も chroot も持たないシステムの場合、制御ソケットと pid ファイルを保存するデフォルトのディレクトリは /var/run/pdns-recursor になりました。

加えて、 公開済み 解放する ノットDNS 2.9.3、最新の DNS 機能をすべてサポートする高性能の権威 DNS サーバー (リカーサーは別個のアプリケーションとして設計されています)。 このプロジェクトはチェコのネームレジストリ CZ.NIC によって開発されており、C と によって配布 GPLv3に基づいてライセンスされています。

KnotDNS は、高性能のクエリ処理に重点を置いていることが特徴で、SMP システムで適切に拡張できるマルチスレッドでほとんどノンブロッキングの実装が使用されています。 オンザフライでのゾーンの追加と削除、サーバー間でのゾーンの転送、DDNS (動的更新)、NSID (RFC 5001)、EDNS0 および DNSSEC 拡張機能 (NSEC3 を含む)、応答速度制限 (RRL) などの機能が提供されます。

新しいリリースでは:

  • NOTIFY メッセージの送信を無効にする「remote.block-notify-after-transfer」設定を追加しました。
  • DNSSE での Ed448 アルゴリズムの実験的サポートを実装しました (GnuTLS 3.6.12 以降が必要ですが、まだリリースされていません) イラクサ 3.6+);
  • KASP データベース内の署名付きゾーンの SOA シリアル番号を取得または設定するために、「local-serial」パラメーターが keymgr に追加されました。
  • Ed25519 および Ed448 キーを BIND DNS サーバー形式で keymgr にインポートするためのサポートが追加されました。
  • 500 ビット システムでは、デフォルトの「server.tcp-io-timeout」設定が 512 ミリ秒に増加し、「database.journal-db-max-size」が 32 MiB に減少しました。

出所: オープンネット.ru

コメントを追加します