wydanie buforującego serwera DNS , odpowiedzialny za rekursywną konwersję nazw. PowerDNS Recursor jest zbudowany w oparciu o tę samą bazę kodu, co serwer autorytatywny PowerDNS, ale rekurencyjne i autorytatywne serwery DNS PowerDNS są opracowywane w różnych cyklach rozwoju i wydawane jako osobne produkty. Kod projektu licencjonowany na licencji GPLv2.
Serwer udostępnia narzędzia do zdalnego zbierania statystyk, obsługuje natychmiastowy restart, posiada wbudowany silnik do łączenia handlerów w języku Lua, w pełni obsługuje DNSSEC, DNS64, RPZ (Response Policy Zones), a także umożliwia łączenie czarnych list. Możliwe jest zapisanie wyników rozdzielczości w postaci plików strefowych BIND. Aby zapewnić wysoką wydajność, we FreeBSD, Linux i Solaris zastosowano nowoczesne mechanizmy multipleksowania połączeń (kqueue, epoll, /dev/poll), a także wydajny parser pakietów DNS zdolny do przetwarzania dziesiątek tysięcy równoległych żądań.
W nowej wersji:
- Aby zapobiec wyciekom informacji o żądanej domenie i zwiększyć prywatność, mechanizm jest domyślnie włączony (), pracując w trybie „zrelaksowanym”. Istota mechanizmu polega na tym, że mechanizm rozpoznawania nazw nie wymienia pełnej nazwy żądanego hosta w swoich żądaniach kierowanych do nadrzędnego serwera nazw. Na przykład podczas określania adresu hosta foo.bar.baz.com, przelicznik wyśle żądanie „QTYPE=NS,QNAME=baz.com” do serwera autorytatywnego dla strefy „.com”, bez wspominania „ foo.bar". W obecnej formie realizowana jest praca w trybie „zrelaksowanym”.
- Zaimplementowano możliwość logowania wychodzących żądań do autorytatywnego serwera i odpowiedzi na nie w formacie dnstap (do użycia wymagana jest kompilacja z opcją „-enable-dnstap”).
- Zapewnione jest jednoczesne przetwarzanie kilku przychodzących żądań przesyłanych przez połączenie TCP, a wyniki są zwracane w momencie, gdy są gotowe, a nie w kolejności żądań w kolejce. Limit jednoczesnych żądań określa „".
- Wdrożono technikę śledzenia nowych domen (Nowo Obserwowana Domena), która może służyć do identyfikowania podejrzanych domen lub domen powiązanych ze złośliwą działalnością, taką jak dystrybucja złośliwego oprogramowania, udział w phishingu i wykorzystywanie do obsługi botnetów. Metoda opiera się na identyfikacji domen, do których nie uzyskano wcześniej dostępu, i analizie nowych domen. Zamiast śledzić nowe domeny w pełnej bazie danych wszystkich kiedykolwiek przeglądanych domen, co wymaga znacznych zasobów do utrzymania, NOD wykorzystuje strukturę probabilistyczną (Stable Bloom Filter), który pozwala zminimalizować zużycie pamięci i procesora. Aby to włączyć, należy w ustawieniach określić „new-domain-tracking=yes”.
- Podczas uruchamiania w systemie systemd proces PowerDNS Recursor działa teraz pod nieuprzywilejowanym użytkownikiem pdns-recursor zamiast root. W przypadku systemów bez systemd i chroot domyślnym katalogiem do przechowywania gniazda sterującego i pliku pid jest teraz /var/run/pdns-recursor.
RљSЂRѕRјRμ S, RѕRіRѕ, wydanie , autorytatywny serwer DNS o wysokiej wydajności (rekursor został zaprojektowany jako osobna aplikacja), który obsługuje wszystkie nowoczesne funkcje DNS. Projekt jest rozwijany przez czeski rejestr nazw CZ.NIC, napisany w C i licencjonowany na licencji GPLv3.
KnotDNS wyróżnia się skupieniem na wysokowydajnym przetwarzaniu zapytań, do czego wykorzystuje wielowątkową i w większości nieblokującą implementację, która dobrze skaluje się na systemach SMP. Dostępne są takie funkcje, jak dodawanie i usuwanie stref na bieżąco, przesyłanie stref między serwerami, DDNS (aktualizacje dynamiczne), NSID (RFC 5001), rozszerzenia EDNS0 i DNSSEC (w tym NSEC3), ograniczanie szybkości odpowiedzi (RRL).
W nowym wydaniu:
- Dodano ustawienie „remote.block-notify-after-transfer”, aby wyłączyć wysyłanie wiadomości NOTIFY;
- Zaimplementowano eksperymentalne wsparcie dla algorytmu Ed448 w DNSSE (wymaga GnuTLS 3.6.12+ i nie został jeszcze wydany );
- Dodano parametr „local-serial” do keymgr umożliwiający uzyskanie lub ustawienie numeru seryjnego SOA dla podpisanej strefy w bazie danych KASP;
- Dodano obsługę importowania kluczy Ed25519 i Ed448 w formacie serwera DNS BIND do keymgr;
- Domyślne ustawienie „server.tcp-io-timeout” zostało zwiększone do 500 ms, a „database.journal-db-max-size” zostało zmniejszone do 512 MiB w systemach 32-bitowych.
Źródło: opennet.ru