Po letu in pol razvoja izdaja predpomnjenega strežnika DNS , odgovoren za rekurzivno pretvorbo imen. PowerDNS Recursor je zgrajen na isti osnovi kode kot PowerDNS Authoritative Server, vendar so PowerDNS rekurzivni in avtoritativni DNS strežniki razviti v različnih razvojnih ciklih in izdani kot ločeni izdelki. Koda projekta licenciran pod GPLv2.
Nova različica odpravlja vse težave, povezane z obravnavanjem DNS paketov z zastavicami EDNS. Starejše različice PowerDNS Recursorja, pred letom 2016, so prezrle pakete z nepodprtimi zastavicami EDNS, ne da bi poslale odgovor v stari obliki, in zavrgle zastavice EDNS, kot je zahtevala specifikacija. Prej je bilo to nestandardno vedenje podprto v BIND-u kot rešitev, vendar znotraj pobude v februarju Razvijalci DNS strežnikov so se odločili, da bodo opustili ta vdor.
V PowerDNS so bile glavne težave z obdelavo paketov EDNS odpravljene leta 2017 z izdajo 4.1, medtem ko je imela veja 4.0, izdana leta 2016, nekatere nezdružljivosti, ki so se pojavile v določenih okoliščinah in na splošno niso motile normalnega delovanja. V PowerDNS Recursor 4.2, tako kot v Rešitve za avtoritativne strežnike, ki so se nepravilno odzvali na poizvedbe z zastavicami EDNS, so bile odstranjene. Prej je strežnik DNS, če na zahtevo z zastavicami EDNS ni bilo odgovora v določenem času, domneval, da razširjene zastavice niso podprte, in ponovno poslal zahtevo brez zastavic EDNS. To vedenje je zdaj onemogočeno, saj je prisotnost takšne kode povzročila povečano zakasnitev zaradi ponovnega prenosa paketov, povečano obremenitev omrežja in dvoumnost, ko zaradi omrežnih napak ni bilo prejetega odgovora. Prav tako je ovirala izvajanje funkcij, ki temeljijo na EDNS, kot so piškotki DNS za ublažitev DDoS.
Odločeno je bilo, da dogodek izvedejo prihodnje leto , zasnovan tako, da usmeri pozornost na z fragmentacijo IP-naslovov pri obdelavi velikih sporočil DNS. Kot del pobude popraviti priporočene velikosti medpomnilnika za EDNS na vrednosti na ravni 1200 bajtov in Obdelava zahtev TCP bi morala biti na strežnikih obvezna. Trenutno je obdelava zahtev UDP obvezna, medtem ko je TCP zaželen, vendar ni obvezen (standard zahteva možnost onemogočanja TCP). Predlaga se, da se iz standarda odstrani možnost onemogočanja TCP in standardizira prehod s pošiljanja zahtev prek UDP na uporabo TCP v primerih, ko določena velikost medpomnilnika EDNS ni zadostna.
Spremembe, predlagane v okviru pobude, bodo odpravile zmedo glede velikosti medpomnilnika EDNS in obravnavale fragmentacijo velikih sporočil UDP, katerih obdelava pogosto vodi do izgube paketov in časovnih omejitev na strani odjemalca. Na strani odjemalca bo velikost medpomnilnika EDNS konstantna, veliki odgovori pa bodo poslani neposredno odjemalcu prek TCP. Odprava pošiljanja velikih sporočil prek UDP bo blokirala tudi Zastrupitev predpomnilnika DNS, ki temelji na manipulaciji fragmentiranih UDP paketov (ko je razdeljen na fragmente, drugi fragment ne vsebuje glave z identifikatorjem, zato ga je mogoče ponarediti, za kar je dovolj le, da se kontrolna vsota ujema).
PowerDNS Recursor 4.2 odpravlja težave z velikimi UDP paketi in preklopi na 1232-bajtno velikost medpomnilnika EDNS (edns-outgoing-bufsize) namesto prejšnje omejitve 1680 bajtov, kar bi moralo znatno zmanjšati verjetnost izgube UDP paketov. Vrednost 1232 je bila izbrana, ker je to največja vrednost, pri kateri se velikost odgovora DNS, vključno z IPv6, ujema z minimalnim MTU (1280). Parameter praga skrajšanja, ki je odgovoren za skrajšanje odgovorov odjemalcev, je bil prav tako zmanjšan na 1232.
Druge spremembe v PowerDNS Recursorju 4.2:
- Dodana podpora za mehanizem (X-Proxyed-For), ki je DNS ekvivalent glave HTTP X-Forwarded-For in omogoča posredovanje IP-naslova in številke vrat prvotnega zahtevalca prek vmesnih posrednikov in uravnalnikov obremenitve (npr. dnsdist). Za omogočanje XPF so na voljo naslednje možnosti:"In"";
- Izboljšana podpora za razširitev EDNS (ECS), ki omogoča pošiljanje poizvedb DNS avtoritativnemu strežniku DNS z informacijami o podomrežju, iz katerega je bila poslana izvirna poizvedba (informacije o izvornem podomrežju odjemalca so potrebne za učinkovito delovanje omrežij za dostavo vsebin). Nova izdaja dodaja nastavitve za selektivni nadzor nad uporabo podomrežja odjemalca EDNS:" s seznamom omrežnih mask, za katere bo IP uporabljen v ECS za odhodne zahteve. Za naslove, ki se ne ujemajo z določenimi maskami, bo uporabljen splošni naslov, naveden v direktivi "".". Z direktivo "» Določite lahko podomrežja, iz katerih dohodne zahteve z izpolnjenimi vrednostmi ECS ne bodo nadomeščene;
- Za strežnike, ki obdelujejo veliko število zahtev na sekundo (več kot 100 tisoč), velja direktiva "", ki določa število niti za prejemanje dohodnih zahtev in njihovo porazdelitev med delovne niti (smiselno je le pri uporabi načina "").
- Dodana nastavitev za definiranje lastne datoteke z domene, kjer lahko uporabniki registrirajo svoje poddomene, namesto vgrajenega seznama v PowerDNS Recursorju.
Projekt PowerDNS je prav tako napovedal prehod na šestmesečni razvojni cikel, pri čemer bo naslednja večja izdaja, PowerDNS Recursor 4.3, predvidoma izšla januarja 2020. Posodobitve za večje izdaje bodo izdane v enem letu, sledilo pa bo še šest mesecev odpravljanja ranljivosti. Podpora za vejo PowerDNS Recursor 4.2 se bo tako nadaljevala do januarja 2021. Podobna sprememba razvojnega cikla je bila sprejeta za PowerDNS Authoritative Server, katerega izdaja 4.2 se pričakuje kmalu.
Ključne značilnosti rekurzorja PowerDNS:
- Orodja za oddaljeno zbiranje statističnih podatkov;
- Takojšen ponovni zagon;
- Vgrajen mehanizem za povezovanje upravljavcev v jeziku Lua;
- Polna podpora DNSSEC in ;
- Podpora za RPZ (območja odzivne politike) in možnost definiranja črnih seznamov;
- Mehanizmi proti ponarejanju;
- Možnost snemanja rezultatov ločljivosti kot conskih datotek BIND.
- Za zagotovitev visoke zmogljivosti se v FreeBSD uporabljajo sodobni mehanizmi za multipleksiranje povezav, Linux in Solaris (kqueue, epoll, /dev/poll), kot tudi visokozmogljiv razčlenjevalnik paketov DNS, ki je sposoben obdelati več deset tisoč vzporednih zahtev.
Vir: opennet.ru
