PowerDNS Recursor 4.3 및 KnotDNS 2.9.3 출시

일어났다 캐싱 DNS 서버 출시 PowerDNS 리소스 4.3, 재귀적인 이름 변환을 담당합니다. PowerDNS Recursor는 PowerDNS Authoritative Server와 동일한 코드 베이스를 기반으로 구축되었지만 PowerDNS Recursive 및 Authoritative DNS 서버는 서로 다른 개발 주기를 통해 개발되어 별도의 제품으로 출시됩니다. 프로젝트 코드 배포자 GPLv2에 따라 라이센스가 부여되었습니다.

서버는 원격 통계 수집을 위한 도구를 제공하고, 즉시 재시작을 지원하며, Lua 언어로 처리기를 연결하기 위한 엔진이 내장되어 있으며, DNSSEC, DNS64, RPZ(응답 정책 영역)를 완벽하게 지원하고 블랙리스트 연결을 허용합니다. 해결 결과를 BIND zone 파일로 기록하는 것이 가능합니다. 고성능을 보장하기 위해 FreeBSD, Linux 및 Solaris(kqueue, epoll, /dev/poll)에서는 최신 연결 다중화 메커니즘과 수만 개의 병렬 요청을 처리할 수 있는 고성능 DNS 패킷 파서가 사용됩니다.

새 버전에서:

• 요청한 도메인에 대한 정보 유출을 방지하고 개인 정보 보호를 강화하기 위해 해당 메커니즘이 기본적으로 활성화되어 있습니다. QNAME 최소화 (RFC-7816), "완화" 모드에서 작동합니다. 메커니즘의 핵심은 확인자가 업스트림 이름 서버에 대한 요청에서 원하는 호스트의 전체 이름을 언급하지 않는다는 것입니다. 예를 들어 foo.bar.baz.com 호스트의 주소를 결정할 때 확인자는 ".com" 영역에 대한 권한 있는 서버에 "QTYPE=NS,QNAME=baz.com" 요청을 "" 언급 없이 보냅니다. foo.bar". 현재 형태에서는 작업이 "완화" 모드로 구현됩니다.
• 권한 있는 서버로 나가는 요청과 그에 대한 응답을 dnstap 형식으로 기록하는 기능이 구현되었습니다(사용하려면 "-enable-dnstap" 옵션이 있는 빌드가 필요함).
• TCP 연결을 통해 전송된 여러 수신 요청에 대한 동시 처리가 제공되며 결과는 대기열의 요청 순서가 아닌 준비가 되면 반환됩니다. 동시 요청 한도는 “TCP 연결당 최대 동시 요청 수".
• 새로운 도메인을 추적하는 기술 구현 목례 (새로 관찰된 도메인), 의심스러운 도메인이나 악성코드 유포, 피싱 가담, 봇넷 운영에 이용되는 등 악성 활동과 관련된 도메인을 식별하는 데 사용할 수 있습니다. 이 방법은 이전에 액세스한 적이 없는 도메인을 식별하고 이러한 새로운 도메인을 분석하는 것을 기반으로 합니다. 유지 관리에 상당한 자원이 필요한 지금까지 본 모든 도메인의 전체 데이터베이스에 대해 새 도메인을 추적하는 대신 NOD는 확률적 프레임워크를 사용합니다. SBF (Stable Bloom Filter)를 사용하면 메모리와 CPU 소비를 최소화할 수 있습니다. 이를 활성화하려면 설정에서 "new-domain-tracking=yes"를 지정해야 합니다.
• systemd에서 실행할 때 PowerDNS Recursor 프로세스는 이제 루트 대신 권한이 없는 사용자 pdns-recursor에서 실행됩니다. systemd 및 chroot가 없는 시스템의 경우 제어 소켓 및 pid 파일을 저장하기 위한 기본 디렉터리는 이제 /var/run/pdns-recursor입니다.

또한, 출판 된 석방하다 KnotDNS 2.9.3, 모든 최신 DNS 기능을 지원하는 고성능 권한 있는 DNS 서버(리커서는 별도의 애플리케이션으로 설계됨)입니다. 이 프로젝트는 C로 작성된 체코 이름 등록 CZ.NIC에 의해 개발 중입니다. 배포자 GPLv3에 따라 라이센스가 부여되었습니다.

KnotDNS는 SMP 시스템에서 잘 확장되는 다중 스레드 및 대부분 비차단 구현을 사용하는 고성능 쿼리 처리에 중점을 둔다는 점에서 구별됩니다. 즉시 영역 추가 및 삭제, 서버 간 영역 전송, DDNS(동적 업데이트), NSID(RFC 5001), EDNS0 및 DNSSEC 확장(NSEC3 포함), 응답 속도 제한(RRL)과 같은 기능이 제공됩니다.

새 릴리스에서:

• NOTIFY 메시지 전송을 비활성화하기 위해 'remote.block-notify-after-transfer' 설정을 추가했습니다.
• DNSSE에서 Ed448 알고리즘에 대한 실험적 지원 구현(GnuTLS 3.6.12+ 필요, 아직 출시되지 않음) 쐐기풀 3.6+);
• KASP 데이터베이스의 서명된 영역에 대한 SOA 일련 번호를 얻거나 설정하기 위해 'local-serial' 매개변수가 keymgr에 추가되었습니다.
• BIND DNS 서버 형식의 Ed25519 및 Ed448 키를 keymgr로 가져오기 위한 지원이 추가되었습니다.
• 500비트 시스템에서 기본 'server.tcp-io-timeout' 설정은 512ms로 늘어났고 'database.journal-db-max-size'는 32MiB로 줄었습니다.

출처 : opennet.ru