ProHoster > Blog > berita internet > Keluaran PowerDNS Recursor 4.3 dan KnotDNS 2.9.3

Keluaran PowerDNS Recursor 4.3 dan KnotDNS 2.9.3

mengambil tempat cache keluaran pelayan DNS Sumber PowerDNS 4.3, yang bertanggungjawab untuk resolusi nama rekursif. PowerDNS Recursor dibina pada asas kod yang sama seperti PowerDNS Authoritative Server, tetapi pelayan DNS rekursif dan autoritatif PowerDNS dibangunkan melalui kitaran pembangunan yang berbeza dan dikeluarkan sebagai produk berasingan. Kod projek diedarkan oleh dilesenkan di bawah GPLv2.

Pelayan menyediakan alat untuk pengumpulan statistik jauh, menyokong mula semula segera, mempunyai enjin terbina dalam untuk menyambungkan pengendali Lua, menyokong sepenuhnya DNSSEC, DNS64, RPZ (Zon Dasar Respons), membolehkan anda menyambungkan senarai hitam. Adalah mungkin untuk menulis keputusan penyelesaian sebagai fail zon BIND. Untuk memastikan prestasi tinggi, mekanisme pemultipleksan sambungan moden dalam FreeBSD, Linux dan Solaris (kqueue, epoll, /dev/poll) digunakan, serta parser paket DNS berprestasi tinggi yang mampu memproses puluhan ribu pertanyaan selari.

Dalam versi baharu:

  • Untuk mengelakkan kebocoran maklumat tentang domain yang diminta dan meningkatkan privasi, mekanisme ini didayakan secara lalai Pengurangan QNAME (RFC-7816), beroperasi dalam mod "santai". Intipati mekanisme ini ialah penyelesai tidak menyebut nama penuh hos yang dikehendaki dalam permintaannya kepada pelayan nama huluan. Sebagai contoh, apabila menentukan alamat untuk hos foo.bar.baz.com, penyelesai akan menghantar permintaan "QTYPE=NS,QNAME=baz.com" kepada pelayan berwibawa untuk zon ".com", tanpa menyebut " foo.bar". Dalam bentuk semasa, kerja dalam mod "santai" dilaksanakan.
  • Keupayaan untuk log permintaan keluar ke pelayan berwibawa dan respons kepada mereka dalam format dnstap telah dilaksanakan (untuk digunakan, binaan dengan pilihan "-enable-dnstap" diperlukan).
  • Pemprosesan serentak beberapa permintaan masuk yang dihantar melalui sambungan TCP disediakan, dengan hasil dikembalikan apabila ia sedia, dan bukan mengikut susunan permintaan dalam baris gilir. Had permintaan serentak ditentukan oleh "max-concurrent-requests-per-tcp-connection".
  • Melaksanakan teknik untuk menjejak domain baharu angguk (Domain Baru Diperhatikan), yang boleh digunakan untuk mengenal pasti domain atau domain yang mencurigakan yang dikaitkan dengan aktiviti hasad, seperti mengedarkan perisian hasad, mengambil bahagian dalam pancingan data dan digunakan untuk mengendalikan botnet. Kaedah ini adalah berdasarkan mengenal pasti domain yang belum pernah diakses dan menganalisis domain baharu ini. Daripada menjejak domain baharu terhadap pangkalan data lengkap semua domain yang pernah dilihat, yang memerlukan sumber penting untuk diselenggara, NOD menggunakan rangka kerja kebarangkalian SBF (Stable Bloom Filter), yang membolehkan anda meminimumkan penggunaan memori dan CPU. Untuk mendayakannya, nyatakan β€œnew-domain-tracking=yes” dalam tetapan.
  • Apabila dijalankan di bawah systemd, proses PowerDNS Recursor kini berjalan di bawah pdns-recursor pengguna yang tidak mempunyai hak dan bukannya root. Untuk sistem tanpa systemd dan tanpa chroot, direktori lalai untuk menyimpan soket kawalan dan fail pid kini ialah /var/run/pdns-recursor.

Tambahan pula, diterbitkan melepaskan KnotDNS 2.9.3, pelayan DNS berwibawa berprestasi tinggi (rekursor direka bentuk sebagai aplikasi berasingan) yang menyokong semua ciri DNS moden. Projek ini sedang dibangunkan oleh pendaftaran nama Czech CZ.NIC, ditulis dalam C dan diedarkan oleh dilesenkan di bawah GPLv3.

KnotDNS dibezakan dengan tumpuannya pada pemprosesan pertanyaan berprestasi tinggi, yang mana ia menggunakan pelaksanaan berbilang benang dan kebanyakannya tidak menyekat yang berskala baik pada sistem SMP. Ciri-ciri seperti menambah dan memadam zon dengan cepat, memindahkan zon antara pelayan, DDNS (kemas kini dinamik), NSID (RFC 5001), sambungan EDNS0 dan DNSSEC (termasuk NSEC3), pengehadan kadar tindak balas (RRL) disediakan.

Dalam keluaran baharu:

  • Menambah tetapan 'remote.block-notify-after-transfer' untuk melumpuhkan penghantaran mesej NOTIFY;
  • Melaksanakan sokongan percubaan untuk algoritma Ed448 dalam DNSSE (memerlukan GnuTLS 3.6.12+ dan belum dikeluarkan Jelatang 3.6+);
  • Parameter 'siri-tempatan' telah ditambahkan pada keymgr untuk mendapatkan atau menetapkan nombor siri SOA untuk zon yang ditandatangani dalam pangkalan data KASP;
  • Menambah sokongan untuk mengimport kekunci Ed25519 dan Ed448 dalam format pelayan DNS BIND ke keymgr;
  • Tetapan lalai 'server.tcp-io-timeout' telah ditingkatkan kepada 500 ms dan 'database.journal-db-max-size' telah dikurangkan kepada 512 MiB pada sistem 32-bit.

Sumber: opennet.ru

Tambah komen