Sawise setahun lan setengah pembangunan release saka server DNS cache , tanggung jawab kanggo konversi jeneng rekursif. PowerDNS Recursor dibangun ing basis kode sing padha karo PowerDNS Authoritative Server, nanging PowerDNS rekursif lan server DNS kuoso dikembangake liwat siklus pangembangan beda lan dirilis minangka produk kapisah. Kode proyek dilisensi ing GPLv2.
Versi anyar ngilangi kabeh masalah sing ana gandhengane karo pangolahan paket DNS nganggo panji EDNS. Versi lawas saka PowerDNS Recursor sadurunge 2016 wis laku nglirwakake paket karo gendéra EDNS unsupported tanpa ngirim respon ing format lawas, discarding gendera EDNS minangka dibutuhake dening specifications. Sadurunge, prilaku non-standar iki didhukung ing BIND ing wangun workaround, nanging ing ruang lingkup ing inisiatif Februari , pangembang server DNS mutusake kanggo ninggalake hack iki.
Ing PowerDNS, masalah utama ing ngolah paket karo EDNS diilangi maneh ing 2017 ing release 4.1, lan ing cabang 2016 sing dirilis ing 4.0, incompatibilities individu muncul sing muncul ing kahanan tartamtu lan, ing umum, ora ngganggu normal. operasi. Ing PowerDNS Recursor 4.2, kaya ing , Workarounds dibusak kanggo ndhukung server wewenang sing salah nanggapi panjalukan karo panji EDNS. Nganti saiki, yen sawise ngirim panjalukan karo panji EDNS ora ana respon sawise wektu tartamtu, server DNS nganggep yen panji sing ditambahi ora didhukung lan ngirim panjalukan kapindho tanpa panji EDNS. Prilaku iki saiki wis dipateni amarga kode iki nyebabake tambah latensi amarga transmisi ulang paket, tambah beban jaringan lan ambiguitas nalika ora nanggapi amarga gagal jaringan, lan nyegah implementasi fitur basis EDNS kayata DNS Cookies kanggo nglindhungi serangan DDoS.
Wis diputusake kanggo nganakake acara ing taun ngarep dirancang kanggo fokus manungsa waé karo fragmentasi IP nalika ngolah pesen DNS gedhe. Minangka bagéan saka inisiatif ndandani ukuran buffer dianjurake kanggo EDNS kanggo 1200 bait, lan panjalukan pangolahan liwat TCP minangka fitur sing kudu ana ing server. Saiki dhukungan kanggo pangolahan panjalukan liwat UDP dibutuhake, lan TCP dikarepake, nanging ora dibutuhake kanggo operasi (standar mbutuhake kemampuan kanggo mateni TCP). Disaranake mbusak pilihan kanggo mateni TCP saka standar lan standar transisi saka ngirim panjalukan liwat UDP kanggo nggunakake TCP ing kasus ngendi ukuran buffer EDNS diadegaké ora cukup.
Owah-owahan sing diusulake minangka bagéan saka inisiatif bakal ngilangi kebingungan kanthi milih ukuran buffer EDNS lan ngatasi masalah fragmentasi pesen UDP gedhe, pangolahan sing asring nyebabake mundhut paket lan wektu entek ing sisih klien. Ing sisih klien, ukuran buffer EDNS bakal tetep lan respon gedhe bakal dikirim langsung menyang klien liwat TCP. Nyingkiri ngirim pesen gedhe liwat UDP uga bakal ngidini sampeyan mblokir kanggo keracunan cache DNS, adhedhasar manipulasi paket UDP sing dipérang (nalika dipérang dadi pecahan, fragmen kapindho ora kalebu header kanthi pengenal, supaya bisa dipalsukan, sing cukup mung kanggo checksum sing cocog) .
PowerDNS Recursor 4.2 njupuk menyang akun masalah karo paket UDP gedhe lan ngalih kanggo nggunakake ukuran buffer EDNS (edns-outgoing-bufsize) saka 1232 bait, tinimbang watesan sadurunge digunakake 1680 bait, kang kudu Ngartekno nyuda kamungkinan ilang paket UDP. . Nilai 1232 dipilih amarga ukuran maksimum respon DNS, njupuk IPv6, pas karo nilai MTU minimal (1280). Nilai parameter truncation-threshold, sing tanggung jawab kanggo trimming respon kanggo klien, uga wis suda dadi 1232.
Owah-owahan liyane ing PowerDNS Recursor 4.2:
- Dhukungan mekanisme ditambahake (X-Proxied-For), yaiku DNS sing padha karo header HTTP X-Forwarded-For, ngidini informasi babagan alamat IP lan nomer port saka panjaluk asli bisa diterusake liwat proxy penengah lan load balancers (kayata dnsdist) . Kanggo ngaktifake XPF ana opsi ""Lan"";
- Dhukungan sing luwih apik kanggo ekstensi EDNS (ECS), sing ngidini sampeyan ngirim pitakon DNS menyang informasi server DNS sing otoritatif babagan subnet saka panyuwunan awal sing dikirim ing rantai kasebut diracun (data babagan subnet sumber klien perlu kanggo operasi efektif jaringan pangiriman konten) . Rilis anyar nambahake setelan kanggo kontrol selektif babagan panggunaan Subnet Klien EDNS: "»Kanthi dhaptar topeng jaringan sing IP bakal digunakake ing ECS ing panjalukan sing metu. Kanggo alamat sing ora kalebu ing topeng sing ditemtokake, alamat umum sing ditemtokake ing arahan "". Liwat arahan"» sampeyan bisa nemtokake subnet saka panjaluk sing mlebu kanthi nilai ECS sing diisi ora bakal diganti;
- Kanggo server ngolah akeh panjalukan per detik (luwih saka 100 ewu), arahan "", sing nemtokake jumlah utas kanggo nampa panjalukan sing mlebu lan disebarake ing antarane benang pekerja (mung bisa digunakake nalika nggunakake "").
- Setelan ditambahake kanggo nemtokake file dhewe karo domain sing pangguna bisa ndhaptar subdomain, tinimbang dhaptar sing dibangun ing PowerDNS Recursor.
Proyek PowerDNS uga ngumumake pamindhahan menyang siklus pangembangan nem wulan, kanthi rilis utama PowerDNS Recursor 4.3 sing samesthine ing Januari 2020. Nganyari kanggo rilis sing signifikan bakal dikembangake ing saindenging taun, sawise koreksi kerentanan bakal diluncurake sajrone nem wulan maneh. Dadi, dhukungan kanggo cabang PowerDNS Recursor 4.2 bakal nganti Januari 2021. Owah-owahan siklus pangembangan sing padha wis digawe kanggo PowerDNS Authoritative Server, sing samesthine bakal ngeculake 4.2 ing mangsa ngarep.
Fitur utama PowerDNS Recursor:
- Piranti kanggo koleksi statistik remot;
- Wiwiti maneh cepet;
- Mesin sing dibangun kanggo nyambungake panangan ing basa Lua;
- Dhukungan DNSSEC lengkap lan ;
- Dhukungan kanggo RPZ (Zona Kebijakan Response) lan kemampuan kanggo nemtokake dhaptar ireng;
- Mekanisme anti-spoofing;
- Kemampuan kanggo ngrekam asil resolusi minangka file zona BIND.
- Kanggo njamin kinerja dhuwur, mekanisme multiplexing sambungan modern digunakake ing FreeBSD, Linux lan Solaris (kqueue, epoll, /dev/poll), uga parser paket DNS kinerja dhuwur sing bisa ngolah puluhan ewu panjalukan paralel.
Source: opennet.ru