Sanggeus sataun satengah pangwangunan ngaleupaskeun cache server DNS , jawab konversi ngaran recursive. PowerDNS Recursor diwangun dina dasar kode anu sami sareng PowerDNS Authoritative Server, tapi PowerDNS recursive sareng otoritas DNS server dikembangkeun ngaliwatan siklus pangembangan anu béda sareng dileupaskeun salaku produk anu misah. Kodeu proyék dilisensikeun dina GPLv2.
Versi anyar ngaleungitkeun sagala masalah anu aya hubunganana sareng ngolah pakét DNS nganggo bandéra EDNS. Versi heubeul tina PowerDNS Recursor saméméh 2016 boga prakték malire pakét jeung umbul EDNS unsupported tanpa ngirim respon dina format heubeul, discarding bandéra EDNS sakumaha diperlukeun ku spésifikasi. Saméméhna, kabiasaan non-standar ieu dirojong dina BIND dina bentuk workaround, tapi dina lingkup dina inisiatif Pébruari , pamekar server DNS mutuskeun pikeun abandon hack ieu.
Dina PowerDNS, masalah utama dina ngolah pakét sareng EDNS dileungitkeun deui dina 2017 dina sékrési 4.1, sareng dina cabang 2016 anu dirilis dina 4.0, incompatibilities individu muncul dina kaayaan anu tangtu sareng, sacara umum, henteu ngaganggu normal. operasi. Dina PowerDNS Recursor 4.2, sapertos dina , Dipiceun workarounds pikeun ngarojong server otoritatif nu salah ngabales requests kalawan bandéra EDNS. Nepi ka ayeuna, lamun sanggeus ngirim pamundut kalawan bandéra EDNS euweuh respon sanggeus kurun waktu nu tangtu, server DNS nganggap yén bandéra ngalegaan teu dirojong tur dikirim pamundut kadua tanpa bandéra EDNS. Paripolah ieu ayeuna parantos ditumpurkeun sabab kode ieu nyababkeun paningkatan latency kusabab pangiriman ulang pakét, ningkat beban jaringan sareng ambiguitas nalika henteu ngaréspon kusabab gagal jaringan, sareng nyegah palaksanaan fitur dumasar EDNS sapertos DNS Cookies pikeun ngajagaan tina serangan DDoS.
Eta geus mutuskeun pikeun ngayakeun acara taun hareup dirancang pikeun museurkeun perhatian kana kalawan fragméntasi IP nalika ngolah seratan DNS badag. Salaku bagian tina inisiatif ngalereskeun ukuran panyangga dianjurkeun pikeun EDNS ka 1200 bait, jeung ngolah requests via TCP mangrupakeun fitur kudu-kudu dina server. Ayeuna rojongan pikeun ngolah requests via UDP diperlukeun, sarta TCP nyaeta desirable, tapi teu diperlukeun pikeun operasi (standar merlukeun kamampuhan pikeun nganonaktipkeun TCP). Diusulkeun pikeun ngahapus pilihan pikeun nganonaktipkeun TCP tina standar sareng ngabakukeun transisi tina ngirim pamenta ngaliwatan UDP pikeun ngagunakeun TCP dina kasus dimana ukuran panyangga EDNS anu ditetepkeun henteu cekap.
Parobihan anu diusulkeun salaku bagian tina inisiatif bakal ngaleungitkeun kabingungan kalayan milih ukuran panyangga EDNS sareng ngarengsekeun masalah fragméntasi seratan UDP anu ageung, anu ngolah sering nyababkeun pakét leungitna sareng timeouts di sisi klien. Di sisi klien, ukuran panyangga EDNS bakal konstan sareng réspon ageung bakal dikirim langsung ka klien ngalangkungan TCP. Ngahindarkeun ngirim pesen ageung tina UDP ogé bakal ngantep anjeun meungpeuk pikeun karacunan cache DNS, dumasar kana manipulasi pakét UDP anu fragméntasi (nalika dibagi jadi fragmen, fragmén kadua henteu kalebet header sareng identifier, ku kituna tiasa dipalsukan, anu cekap ngan ukur pikeun checksum cocog) .
PowerDNS Recursor 4.2 merhatikeun masalah sareng pakét UDP ageung sareng ngalih kana ukuran panyangga EDNS (edns-outgoing-bufsize) tina 1232 bait, tibatan wates anu dianggo sateuacana 1680 bait, anu sacara signifikan ngirangan kamungkinan kaleungitan pakét UDP. . Nilai 1232 dipilih sabab éta maksimum nu ukuran respon DNS, nyokot kana akun IPv6, fits kana nilai MTU minimum (1280). Nilai parameter truncation-threshold, anu tanggung jawab pikeun motong réspon ka klien, ogé parantos diréduksi jadi 1232.
Parobihan sanés dina PowerDNS Recursor 4.2:
- Ditambahkeun rojongan mékanisme (X-Proxied-For), nu sarua DNS tina X-Diteruskeun-Kanggo lulugu HTTP, sahingga informasi ngeunaan alamat IP jeung nomer port tina requester aslina bisa diteruskeun ngaliwatan proxy panengah sarta balancers beban (sapertos dnsdist) . Pikeun ngaktifkeun XPF aya pilihan ""Jeung"";
- Ningkatkeun dukungan pikeun extension EDNS (ECS), anu ngamungkinkeun anjeun ngirimkeun pamundut DNS ka inpormasi pangladén DNS anu otoritatif ngeunaan subnet dimana pamundut awal anu dikirimkeun sapanjang ranté diracun (data ngeunaan subnet sumber klien dipikabutuh pikeun operasi efektif jaringan pangiriman eusi) . Pelepasan énggal nambihan setélan pikeun kontrol selektif kana panggunaan Subnet Klién EDNS: "» sareng daptar masker jaringan dimana IP bakal dianggo dina ECS dina pamundut kaluar. Pikeun alamat anu henteu digolongkeun dina masker anu ditangtukeun, alamat umum anu ditunjuk dina diréktif "". Ngaliwatan diréktif "» Anjeun tiasa nangtukeun subnets ti mana requests asup kalawan nilai ECS dieusian moal diganti;
- Pikeun server ngolah sajumlah ageung pamundut per detik (leuwih ti 100 rébu), diréktif "", nu nangtukeun jumlah threads pikeun narima requests asup tur ngadistribusikaeun aranjeunna antara threads worker (make akal pikiran ngan lamun ngagunakeun "").
- setelan ditambahkeun pikeun nangtukeun file anjeun sorangan kalawan domain nu pamaké bisa ngadaptar subdomains maranéhanana, tinimbang daptar diwangun kana PowerDNS Recursor.
Proyék PowerDNS ogé ngumumkeun pamindahan kana siklus pangembangan genep bulan, kalayan sékrési utama PowerDNS Recursor 4.3 diperkirakeun dina Januari 2020. Pembaruan pikeun sékrési anu penting bakal dikembangkeun sapanjang taun, saatos éta perbaikan kerentanan bakal dileupaskeun salami genep bulan deui. Janten, dukungan pikeun cabang PowerDNS Recursor 4.2 bakal dugi ka Januari 2021. Parobihan siklus pangembangan anu sami parantos dilakukeun pikeun PowerDNS Authoritative Server, anu diperkirakeun ngabebaskeun 4.2 dina waktos anu caket.
Fitur utama PowerDNS Recursor:
- Alat pikeun ngumpulkeun statistik jauh;
- Balikan deui instan;
- Mesin diwangun-di pikeun nyambungkeun pawang dina basa Lua;
- rojongan DNSSEC pinuh na ;
- Rojongan pikeun RPZ (Zona Sarat jeung Kaayaan Tanggapan) jeung kamampuhan pikeun nangtukeun blacklists;
- mékanisme anti spoofing;
- Kamampuhan pikeun ngarékam hasil résolusi salaku file zona BIND.
- Pikeun mastikeun kinerja luhur, mékanisme sambungan multiplexing modern dipaké dina FreeBSD, Linux Ubuntu jeung Solaris (kqueue, epoll, / dev / poll), kitu ogé parser pakét DNS-kinerja tinggi sanggup ngolah puluhan rébu requests paralel.
sumber: opennet.ru