伺服器提供遠端統計收集工具,支援即時重啟,內建Lua語言連接處理程序引擎,完全支援DNSSEC、DNS64、RPZ(回應策略區域),並允許連接黑名單。 可以將解析結果記錄為 BIND 區域檔案。 為了確保高效能,FreeBSD、Linux 和 Solaris 中使用了現代連接復用機制(kqueue、epoll、/dev/poll),以及能夠處理數萬個並行請求的高效能 DNS 封包解析器。
在新版本中:
- 為了防止請求域名的資訊洩露並增加隱私性,該機制預設為啟用
QNAME 最小化 (RFC-7816 ),以「輕鬆」模式運作。此機制的本質是解析器在向上游名稱伺服器發出的請求中不會提及所需主機的全名。例如,當確定主機 foo.bar.baz.com 的位址時,解析器將向“.com”區域的權威伺服器發送請求“QTYPE=NS,QNAME=baz.com”,而不提及“ foo.bar 」。在目前的形式下,工作是在「輕鬆」的模式下進行的。 - 已經實現了將傳出請求記錄到權威伺服器並以 dnstap 格式對其進行回應的功能(要使用,需要使用「-enable-dnstap」選項進行建置)。
- 提供透過 TCP 連線傳輸的多個傳入請求的同時處理,結果在準備好時返回,而不是按照佇列中請求的順序。同時請求的限制由“
每個 TCP 連線的最大並發請求數 “。 - 實施了追蹤新域的技術
點頭 (新觀察到的網域),可用於識別可疑網域或與惡意活動相關的網域,例如散佈惡意軟體、參與網路釣魚以及用於操作殭屍網路。該方法基於識別以前未訪問過的網域並分析這些新域。 NOD 使用機率框架,而不是根據曾經查看過的所有網域的完整資料庫來追蹤新網域(這需要大量資源來維護)SBF (穩定布隆過濾器),它可以讓您最大限度地減少記憶體和 CPU 消耗。要啟用它,您應該在設定中指定“new-domain-tracking=yes”。 - 在 systemd 下執行時,PowerDNS Recursor 程序現在在非特權使用者 pdns-recursor 而不是 root 下執行。對於沒有 systemd 和 chroot 的系統,儲存控制套接字和 pid 檔案的預設目錄現在是 /var/run/pdns-recursor。
另外,
KnotDNS 的特點是專注於高效能查詢處理,為此它使用多執行緒且大部分非阻塞的實現,可以在 SMP 系統上很好地擴展。 提供動態新增和刪除區域、伺服器之間傳輸區域、DDNS(動態更新)、NSID (RFC 5001)、EDNS0 和 DNSSEC 擴充(包括 NSEC3)、回應速率限制 (RRL) 等功能。
在新版本中:
- 新增了「remote.block-notify-after-transfer」設定以停用發送 NOTIFY 訊息;
- 在 DNSSE 中實現了對 Ed448 演算法的實驗性支援(需要 GnuTLS 3.6.12+,尚未發布)
蕁麻 3.6+ ); - keymgr 中新增了「local-serial」參數,用於取得或設定 KASP 資料庫中簽章區域的 SOA 序號;
- 新增了將 BIND DNS 伺服器格式的 Ed25519 和 Ed448 金鑰匯入到 keymgr 的支援;
- 在 500 位元系統上,預設的「server.tcp-io-timeout」設定已增加到 512 毫秒,「database.journal-db-max-size」已減少至 32 MiB。
來源: opennet.ru