release av cachande DNS-server , ansvarig för rekursiv namnkonvertering. PowerDNS Recursor är byggd på samma kodbas som PowerDNS Authoritative Server, men PowerDNS rekursiva och auktoritativa DNS-servrar utvecklas genom olika utvecklingscykler och släpps som separata produkter. Projektkod licensierad under GPLv2.
Servern tillhandahåller verktyg för fjärrinsamling av statistik, stöder omedelbar omstart, har en inbyggd motor för att ansluta hanterare på Lua-språket, stöder fullt ut DNSSEC, DNS64, RPZ (Response Policy Zones) och låter dig ansluta svartlistor. Det är möjligt att spela in upplösningsresultat som BIND-zonfiler. För att säkerställa hög prestanda används moderna anslutningsmultiplexeringsmekanismer i FreeBSD, Linux och Solaris (kqueue, epoll, /dev/poll), såväl som en högpresterande DNS-paketparser som kan behandla tiotusentals parallella förfrågningar.
I den nya versionen:
- För att förhindra läckor av information om den begärda domänen och öka integriteten är mekanismen aktiverad som standard (), som arbetar i "avslappnat" läge. Kärnan i mekanismen är att resolvern inte nämner det fullständiga namnet på den önskade värden i sina förfrågningar till uppströmsnamnservern. Till exempel, när man bestämmer adressen för värden foo.bar.baz.com, kommer resolvern att skicka begäran "QTYPE=NS,QNAME=baz.com" till den auktoritativa servern för ".com"-zonen, utan att nämna " Foo bar". I sin nuvarande form implementeras arbete i det "avslappnade" läget.
- Möjligheten att logga utgående förfrågningar till en auktoritativ server och svar på dem i dnstap-format har implementerats (för användning krävs en build med alternativet "-enable-dnstap").
- Samtidig bearbetning av flera inkommande förfrågningar som sänds över en TCP-anslutning tillhandahålls, med resultat som returneras när de är klara, och inte i ordningen för förfrågningar i kön. Gränsen för samtidiga förfrågningar bestäms av "".
- Implementerade en teknik för att spåra nya domäner (Newly Observed Domain), som kan användas för att identifiera misstänkta domäner eller domäner som är associerade med skadlig aktivitet, som att distribuera skadlig programvara, delta i nätfiske och användas för att driva botnät. Metoden bygger på att identifiera domäner som inte tidigare har nåtts och analysera dessa nya domäner. Istället för att spåra nya domäner mot en komplett databas över alla domäner som någonsin har visats, vilket kräver betydande resurser att underhålla, använder NOD ett probabilistiskt ramverk (Stable Bloom Filter), som låter dig minimera minnes- och CPU-förbrukning. För att aktivera det bör du ange "new-domain-tracking=yes" i inställningarna.
- När du kör under systemd, körs PowerDNS Recursor-processen nu under den oprivilegierade användaren pdns-recursor istället för root. För system utan systemd och utan chroot är standardkatalogen för lagring av kontrolluttaget och pid-filen nu /var/run/pdns-recursor.
Dessutom, släpp , en högpresterande auktoritativ DNS-server (rekursorn är utformad som en separat applikation) som stöder alla moderna DNS-funktioner. Projektet utvecklas av det tjeckiska namnregistret CZ.NIC, skrivet i C och licensierad under GPLv3.
KnotDNS kännetecknas av sitt fokus på högpresterande frågebehandling, för vilken den använder en flertrådad och mestadels icke-blockerande implementering som skalas väl på SMP-system. Funktioner som att lägga till och ta bort zoner i farten, överföring av zoner mellan servrar, DDNS (dynamiska uppdateringar), NSID (RFC 5001), EDNS0 och DNSSEC-tillägg (inklusive NSEC3), svarsfrekvensbegränsning (RRL) tillhandahålls.
I den nya utgåvan:
- Lade till inställningen "remote.block-notify-after-transfer" för att inaktivera sändning av NOTIFY-meddelanden;
- Implementerat experimentellt stöd för Ed448-algoritmen i DNSSE (kräver GnuTLS 3.6.12+ och ännu inte släppt );
- Parametern 'local-serial' har lagts till i keymgr för att erhålla eller ställa in SOA-serienumret för den signerade zonen i KASP-databasen;
- Lade till stöd för import av Ed25519- och Ed448-nycklar i BIND DNS-serverformat till keymgr;
- Standardinställningen för 'server.tcp-io-timeout' har ökats till 500 ms och 'database.journal-db-max-size' har reducerats till 512 MiB på 32-bitarssystem.
Källa: opennet.ru