vrijgave van caching DNS-server , verantwoordelijk voor recursieve naamconversie. PowerDNS Recursor is gebouwd op dezelfde codebasis als PowerDNS Authoritative Server, maar PowerDNS recursieve en gezaghebbende DNS-servers zijn ontwikkeld via verschillende ontwikkelingscycli en worden als afzonderlijke producten uitgebracht. Projectcode gelicentieerd onder GPLv2.
De server biedt tools voor het op afstand verzamelen van statistieken, ondersteunt onmiddellijke herstart, heeft een ingebouwde engine voor het verbinden van handlers in de Lua-taal, ondersteunt DNSSEC, DNS64, RPZ (Response Policy Zones) volledig en stelt u in staat om zwarte lijsten te verbinden. Het is mogelijk om resolutieresultaten op te nemen als BIND-zonebestanden. Om hoge prestaties te garanderen, worden moderne verbindingsmultiplexmechanismen gebruikt in FreeBSD, Linux en Solaris (kqueue, epoll, /dev/poll), evenals een krachtige DNS-pakketparser die in staat is tienduizenden parallelle verzoeken te verwerken.
In de nieuwe versie:
- Om lekken van informatie over het aangevraagde domein te voorkomen en de privacy te vergroten, is het mechanisme standaard ingeschakeld (), werkend in de “ontspannen” modus. De essentie van het mechanisme is dat de solver niet de volledige naam van de gewenste host vermeldt in zijn verzoeken aan de upstream nameserver. Bij het bepalen van het adres voor de host foo.bar.baz.com stuurt de solver bijvoorbeeld het verzoek "QTYPE=NS,QNAME=baz.com" naar de gezaghebbende server voor de ".com"-zone, zonder de vermelding " foo.bar". In de huidige vorm wordt er in de “ontspannen” modus gewerkt.
- De mogelijkheid om uitgaande verzoeken naar een gezaghebbende server en de reacties daarop in dnstap-formaat te loggen is geïmplementeerd (voor gebruik is een build met de optie “-enable-dnstap” vereist).
- Er is gelijktijdige verwerking mogelijk van verschillende binnenkomende verzoeken die via een TCP-verbinding worden verzonden, waarbij de resultaten worden geretourneerd zodra ze gereed zijn, en niet in de volgorde van de verzoeken in de wachtrij. De limiet van gelijktijdige verzoeken wordt bepaald door de “".
- Een techniek geïmplementeerd voor het volgen van nieuwe domeinen (Newly Observed Domain), dat kan worden gebruikt om verdachte domeinen of domeinen te identificeren die verband houden met kwaadaardige activiteiten, zoals het verspreiden van malware, deelname aan phishing en het gebruik van botnets. De methode is gebaseerd op het identificeren van domeinen die nog niet eerder zijn bezocht en het analyseren van deze nieuwe domeinen. In plaats van nieuwe domeinen te volgen aan de hand van een volledige database van alle domeinen die ooit zijn bekeken, waarvoor aanzienlijke middelen nodig zijn om te onderhouden, gebruikt NOD een probabilistisch raamwerk (Stable Bloom Filter), waarmee u het geheugen- en CPU-verbruik kunt minimaliseren. Om dit in te schakelen, specificeert u “new-domain-tracking=yes” in de instellingen.
- Wanneer u onder systemd draait, wordt het PowerDNS Recursor-proces nu uitgevoerd onder de niet-bevoorrechte gebruiker pdns-recursor in plaats van root. Voor systemen zonder systemd en zonder chroot is de standaardmap voor het opslaan van de control socket en het pid-bestand nu /var/run/pdns-recursor.
Bovendien релиз , een krachtige, gezaghebbende DNS-server (de recursor is ontworpen als een afzonderlijke applicatie) die alle moderne DNS-functies ondersteunt. Het project wordt ontwikkeld door het Tsjechische naamregister CZ.NIC, geschreven in C en gelicentieerd onder GPLv3.
KnotDNS onderscheidt zich door zijn focus op hoogwaardige verwerking van zoekopdrachten, waarvoor het een multi-threaded en grotendeels niet-blokkerende implementatie gebruikt die goed schaalbaar is op SMP-systemen. Functies zoals het direct toevoegen en verwijderen van zones, het overbrengen van zones tussen servers, DDNS (dynamische updates), NSID (RFC 5001), EDNS0- en DNSSEC-extensies (inclusief NSEC3), responssnelheidsbeperking (RRL) zijn beschikbaar.
In de nieuwe uitgave:
- 'remote.block-notify-after-transfer'-instelling toegevoegd om het verzenden van NOTIFY-berichten uit te schakelen;
- Experimentele ondersteuning geïmplementeerd voor het Ed448-algoritme in DNSSE (vereist GnuTLS 3.6.12+ en nog niet uitgebracht );
- De parameter 'local-serial' is toegevoegd aan keymgr om het SOA-serienummer voor de ondertekende zone in de KASP-database te verkrijgen of in te stellen;
- Ondersteuning toegevoegd voor het importeren van Ed25519- en Ed448-sleutels in BIND DNS-serverformaat naar keymgr;
- De standaardinstelling 'server.tcp-io-timeout' is verhoogd naar 500 ms en 'database.journal-db-max-size' is teruggebracht naar 512 MiB op 32-bits systemen.
Bron: opennet.ru