PowerDNS Recursor

Το PowerDNS Recursor είναι ένας ανοικτής πηγής, υψηλής ποιότητας, ελεύθερος, φορητός και υψηλής απόδοσης διακομιστής ονομάτων, ένα λογισμικό γραμμής εντολών που παρέχει στους διαχειριστές συστημάτων ένα πλούσιο σε χαρακτηριστικά και πλήρες σύνολο τεχνολογίες που σχετίζονται με την ονομασία του ηλεκτρονικού ταχυδρομείου και του Internet. Είναι μέρος της γνωστής σουίτας λογισμικού PowerDNS.

Το PowerDNS είναι λογισμικό διακομιστή ονομάτων ανοιχτού κώδικα, που γράφτηκε από το μηδέν, παρέχοντας ένα υψηλής απόδοσης, σύγχρονο και προηγμένο όνομα-διακομιστή με αποκλειστική εξουσιοδότηση. Συνδέεται με σχεδόν οποιαδήποτε βάση δεδομένων και συμμορφώνεται με όλα τα σχετικά πρότυπα DNS (Domain Name System).

Χαρακτηριστικά με μια ματιά

Βασικά χαρακτηριστικά περιλαμβάνουν πλήρη υποστήριξη για όλα τα δημοφιλή πρότυπα, υποστήριξη DNS64, δυνατότητα αναδιάρθρωσης χωρίς διακοπή λειτουργίας, υποστήριξη μέτρων ασφαλείας και λίστες αποκλεισμού, απομακρυσμένη και τοπική πρόσβαση, ισχυρά μέτρα κατά της πλαστογράφησης, απάντηση σε ανανέωση, υποκλοπή ερωτήσεων, NXDOMAIN την ανακατεύθυνση, τα απλά αρχεία ζώνης BIND, το API άμεσου ελέγχου και την ενσωματωμένη γενετική απάντηση βάσει Lua.

Επιπλέον, περιλαμβάνει κορυφαίες λειτουργίες που είναι κοινές σε όλα τα προϊόντα PowerDNS, όπως υποστήριξη για IPv4 (UDP και TCP), IPv6 (UDP και TCP), υψηλής απόδοσης, SNMP μόνο για ανάγνωση (Simple Network Management Protocol) τη στατιστική γέφυρα, καθώς και τη γραφική παράσταση σε πραγματικό χρόνο μέσω απομακρυσμένων στατιστικών στοιχείων.

Το PowerDNS Recursor είναι ένα πολύ ισχυρό λογισμικό που μπορεί να διαχειριστεί εκατοντάδες εκατομμύρια αναλύσεις DNS, υποστηριζόμενες από πολλαπλούς επεξεργαστές και την ίδια λειτουργικότητα τελευταίας τεχνολογίας scripting που χρησιμοποιείται στο προϊόν PowerDNS Authoritative Server. Πρόκειται για ένα πολύ ευέλικτο και αποτελεσματικό πρόγραμμα ανάλυσης DNS γραμμένο ειδικά για συστήματα GNU / Linux.

Κάτω από την κουκούλα και τη διαθεσιμότητα

Το PowerDNS είναι διαθέσιμο σε όλες τις μεγάλες διανομές Linux και χρησιμοποιεί μια ευέλικτη αρχιτεκτονική backend, ειδικά σχεδιασμένη για να επιτρέπει την πρόσβαση σε πληροφορίες DNS από οποιαδήποτε πηγή δεδομένων. Το λογισμικό είναι γραμμένο εξ ολοκλήρου στη γλώσσα προγραμματισμού C ++ και είναι διαθέσιμο για λήψη ως εγγενείς εγκαταστάτες για λειτουργικά συστήματα Ubuntu / Debian και Red Hat / Fedora, καθώς και αρχείο αρχείου. Έχει δοκιμαστεί με επιτυχία σε πλατφόρμες υλικού 32 bit και 64 bit.

Τι νέο υπάρχει σε αυτήν την έκδοση:

• Βελτιώσεις:
• # 6550, # 6562: Προσθέστε μια επιλογή δευτερεύουσας διάταξης στο τελικό σημείο κενού API cache.
• # 6566: Χρησιμοποιήστε έναν ξεχωριστό σωλήνα που δεν εμποδίζει τη διανομή των ερωτημάτων.
• # 6567: Μετακινήστε τον επεξεργαστή άνθρακα / webserver / control / stats σε ένα ξεχωριστό νήμα.
• # 6583: Προσθήκη εκδόσεων _raw για QName / ComboAddresses στο API FFI.
• # 6611, # 6130: Ενημερώστε τα έτη πνευματικής ιδιοκτησίας έως το 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: Διορθώστε μια προειδοποίηση στο botan & gt; = 2.5.0.
• Διορθώσεις σφαλμάτων:
• # 6313: Μετρήστε μια αναζήτηση σε μια εσωτερική ζώνη auth ως αδυναμία κρυφής μνήμης
• # 6467: Μην αυξάνετε τους μετρητές επικύρωσης DNSSEC όταν εκτελείτε με διαδικασία χωρίς επικύρωση.
• # 6469: Σεβαστείτε το χρονικό όριο AXFR κατά τη σύνδεση με τον διακομιστή RPZ.
• # 6418, # 6179: Αυξήστε το stack του MTasker για να αποφύγετε τη συντριβή με την εξαίρεση (Chris Hofstaedtler).
• # 6419, # 6086: Χρησιμοποιήστε την ώρα SyncRes στις δοκιμές μονάδων μας κατά τον έλεγχο της εγκυρότητας της κρυφής μνήμης (Chris Hofstaedtler).
• # 6514, # 6630: Προσθέστε -δρονικά σε C {, XX} FLAGS όταν χτίζουμε με το LuaJIT.
• # 6588, # 6237: Καθυστέρηση φόρτωσης ζωνών RPZ έως ότου γίνει η ανάλυση, καθορίζοντας μια κατάσταση κούρσας.
• # 6595, # 6542, # 6516, # 6358, # 6517: Η αναδιάταξη περιλαμβάνει για να αποφευχθεί η σύγκρουση L.

Τι νέο υπάρχει στην έκδοση:

• Διορθώσεις σφαλμάτων:
• # 5930: Μην υποθέτετε ότι η εγγραφή TXT είναι η πρώτη εγγραφή για secpoll
• # 6082: Μην προσθέτετε μη-IN αρχεία στην προσωρινή μνήμη

Τι νέο υπάρχει στην έκδοση 4.0.6:

• Διορθώσεις σφαλμάτων:
• Χρησιμοποιήστε την εισερχόμενη ECS για αναζήτηση προσωρινής μνήμης εάν έχει οριστεί η χρήση εισερχόμενου-edns-subnet
• κατά τη δημιουργία μιας μάσκας δικτύου από ένα comboaddress, παραμελήσαμε μηδέν στη θύρα. Αυτό θα μπορούσε να οδηγήσει σε πολλαπλασιασμό των netmask.
• Μην παίρνετε την αρχική πηγή ECS για ένα πεδίο εμβέλειας εάν το EDNS είναι απενεργοποιημένο
• Επίσης, ορίστε d_requestor χωρίς Lua: η λογική ECS το χρειάζεται
• Στερεώστε το IXFR παρακάμπτοντας το τμήμα προσθήκες της τελευταίας ακολουθίας
• Απολαύστε το μέγεθος του ωφέλιμου φορτίου του αιτούντος κάτω από 512 ως ίσο προς 512
• κάνει τους ακέραιους URI 16 bits, καθορίζει το εισιτήριο # 5443
• παραβιάζοντας την παραπομπή. καθορίζει το εισιτήριο # 5401
• Βελτιώσεις:
• με αυτό το υποσύνολο πελάτη EDNS γίνεται συμβατό με την προσωρινή μνήμη πακέτων, χρησιμοποιώντας την υπάρχουσα εγκατάσταση μεταβλητής απάντησης.
• Αφαιρέστε μόνο αρκετές καταχωρήσεις από την προσωρινή μνήμη, όχι περισσότερες από τις ερωτήσεις
• Μετακινήστε τις καταχωρίσεις προσωρινής μνήμης που έχουν λήξει προς τα εμπρός, έτσι ώστε να καταργηθούν
• άλλαξε τον IPv6 addr του b.root-servers.net
• Το e.root-servers.net έχει τώρα IPv6
• υπογράφοντες hello decaf (ED25519 και ED448) Αλγόριθμος δοκιμής 15: 'Decaf ED25519' -> 'Decaf ED25519' -> 'Decaf ED25519' Υπογραφή & επαλήθευση ok, υπογραφή 68usec, επαλήθευση 93usec Αλγόριθμος δοκιμής 16: 'Decaf ED448' -> 'Decaf ED448' - & gt; 'Decaf ED448' Υπογραφή & επαλήθευση ok, υπογραφή 163usec, επαλήθευση 252usec
• Μην χρησιμοποιείτε τον υπογραφή του libdecaf ed25519 όταν είναι ενεργοποιημένο το libsodium
• μην κατακερματίζετε το μήνυμα στον υπογράφοντα ed25519
• Απενεργοποιήστε από προεπιλογή την χρήση-εισερχόμενη-edns-subnet

Τι νέο υπάρχει στην έκδοση 4.0.4:

• Διορθώσεις σφαλμάτων:
• Εμπιστευτείτε το 658d9e4: Ελέγξτε την υπογραφή TSIG στο IXFR (Security Advisory 2016-04)
• δεσμεύστε 91acd82: Μην αναλύετε ψευδείς RRs στα ερωτήματα όταν δεν τους χρειαζόμαστε (Security Advisory 2016-02)
• δεσμεύστε 400e28d: Επιδιόρθωση εσφαλμένου ελέγχου μήκους στο DNSName κατά την εξαγωγή qtype ή qclass
• commit 2168188: rec: Περιμένετε μέχρι να daemonizing για να ξεκινήσετε τα RPZ και τα protobuf threads
• δεσμεύστε 3beb3b2: Ενεργοποιήστε (re-) priming, μεταφέρετε τα αρχεία NS root
• δεσμεύστε το cfeb109: rec: Διόρθωση της αντιστροφής src / dest στο μήνυμα protobuf για ερωτήματα TCP
• δεσμεύστε 46a6666: Αποκλεισμός NSEC3 και διορθώσεις εμπιστοσύνης του Bogus
• δεσμεύστε bb437d4: Στην RPZ customPolicy, ακολουθήστε το CNAME που προκύπτει
• δεσμεύστε 6b5a8f3: DNSSEC: μην πάτε ψεύτικα σε μηδενικά διαμορφωμένα DS
• Δέσμευση 1fa6e1b: Μην συντρίβετε σε άδειο δαχτυλίδι ερώτησης
• δεσμεύστε bfb7e5d: Ορίστε το αποτέλεσμα σε NoError πριν καλέσετε το preresolve
• Προσθήκες και βελτιώσεις:
• δεσμεύστε 7c3398a: Προσθέστε το μέγιστο βάθος επανάκτησης για να περιορίσετε τον αριθμό εσωτερικών επαναλήψεων
• δέσμευση 3d59c6f: Διορθώστε το κτίριο με υποστήριξη ECDSA απενεργοποιημένη στο libcrypto
• δεσμεύστε 0170a3b: Προσθέστε τον requestorId και μερικά σχόλια στο αρχείο ορισμού protobuf
• Δέσμευση d8cd67b: Να γνωρίζετε τις ζώνες προώθησης της μηδέν
• Δέσμευση 46ccbd6: Εγγραφές προσωρινής μνήμης για ζώνες που έχουν μεταβιβαστεί από μια προωθημένη ζώνη
• δεσμεύστε 5aa64e6, δεσμεύστε 5f4242e και δεσμεύστε το 0f707cd: DNSSEC: Εφαρμόστε την αναζήτηση κλειδιών με βάση τις περικοπές ζώνης
• Δέσμευση ddf6fa5: rec: Προσθέστε υποστήριξη για boost :: context & gt; = 1.61
• δεσμεύστε bb6bd6e: Προσθέστε getRecursorThreadId () στο Lua, προσδιορίζοντας το τρέχον νήμα
• δέσμευση d8baf17: Χειριστείτε CNAMEs στην κορυφή ασφαλών ζωνών σε άλλες ασφαλείς ζώνες

Τι νέο υπάρχει στην έκδοση 4.0.0:

• Αλλάξαμε πολλά πράγματα εσωτερικά στο όνομα διακομιστή:
• Μεταφέρθηκε στο C ++ 2011, μια καθαρότερη πιο ισχυρή έκδοση της C ++ που μας επέτρεψε να βελτιώσουμε την ποιότητα της υλοποίησης σε πολλά sites.c
• Εφαρμογή αποκλειστικής υποδομής για την αντιμετώπιση ονομασιών DNS που είναι πλήρως "DNS Native" και χρειάζεται λιγότερη διαφυγή και αποτυχία.
• Μετάβαση σε δυαδική αποθήκευση αρχείων DNS σε όλα τα μέρη.
• Μετακινήθηκαν ACL σε ένα αποκλειστικό Δέντρο Netmask.
• Εφαρμόστηκε μια έκδοση του RCU για αλλαγές διαμόρφωσης
• Μέσα από τη χρήση του κατανεμητή μνήμης, μειώθηκε σημαντικά ο αριθμός κλήσεων malloc.
• Η υποδομή γάντζου Lua επαναδιοργανώθηκε χρησιμοποιώντας το LuaWrapper. τα παλαιά σενάρια δεν θα λειτουργούν πλέον, αλλά τα νέα σενάρια είναι ευκολότερα γραμμένα κάτω από τη νέα διεπαφή.
• Λόγω αυτών των αλλαγών, ο PowerDNS Recursor 4.0.0 είναι σχεδόν μια τάξη μεγέθους γρηγορότερος από τον κλάδο 3.7.
• επεξεργασία DNSSEC: εάν ζητάτε εγγραφές DNSSEC, θα τα λάβετε.
• Επικύρωση DNSSEC: Εάν έχει ρυθμιστεί, το PowerDNS εκτελεί επικύρωση DNSSEC των απαντήσεων σας.
• Πλήρως ανανεωμένο API scripting Lua που είναι "DNSName" αυτόχθονο και κατά συνέπεια πολύ λιγότερο επιρρεπές στο σφάλμα και πιθανότατα ταχύτερο για τα πιο συχνά χρησιμοποιούμενα σενάρια. Φορτώνει και ευρετήρια μια λίστα προσαρμοσμένων πολιτικών 1 εκατομμυρίου τομέων μέσα σε λίγα δευτερόλεπτα.
• Νέα ασύγχρονη ανά τομέα, ανά διεύθυνση IP, μηχανή ερωτήματος. Αυτό επιτρέπει στο PowerDNS να συμβουλεύεται μια εξωτερική υπηρεσία σε πραγματικό χρόνο για να προσδιορίσει την κατάσταση του πελάτη ή του τομέα. Αυτό θα μπορούσε για παράδειγμα να σημαίνει την αναζήτηση πραγματικής ταυτότητας πελάτη από διακομιστή DHCP με βάση διεύθυνση IP (για παράδειγμα, επιλογή 82).
• RPZ (από αρχείο, πάνω από AXFR ή IXFR) υποστήριξη. Αυτό φορτώνει τη μεγαλύτερη ζώνη Spamhaus σε 5 δευτερόλεπτα στο υλικό μας, που περιέχει περίπου 2 εκατομμύρια οδηγίες.
• Όλοι οι αποθηκευμένοι χώροι αποθήκευσης μπορούν τώρα να σκουπιστούν σε επιθήματα λόγω κανονικής παραγγελίας.
• Πολλές, πολλές πιο σχετικές μετρήσεις απόδοσης, συμπεριλαμβανομένων των έγκυρων μετρήσεων επιδόσεων ("είμαι εγώ ή το δίκτυο που είναι αργό").
• Υποστήριξη υποδικτύου EDNS Client, συμπεριλαμβανομένης της συνειδητοποίησης της κρυφής μνήμης για τις απαντήσεις που ποικίλουν στο υποδίκτυο
• DNSSEC:
• Όπως αναφέρθηκε στην ενότητα των χαρακτηριστικών παραπάνω, ο Ανακυκλωτής PowerDNS διαθέτει πλέον υποστήριξη επεξεργασίας DNSSEC και πειραματική επικύρωση DNSSEC. Η επεξεργασία DNSSEC σημαίνει ότι ο διακομιστής nameserver θα επιστρέψει τα αρχεία RRSIG όταν το ζητήσει ο πελάτης (μέσω του DO-bit) και θα ανακτήσει πάντα τα RRSIG ακόμα κι αν ο πελάτης δεν το ζητήσει. Θα πραγματοποιήσει επικύρωση και θα θέσει το bit AD στην απάντηση, εάν ο πελάτης ζητήσει επικύρωση. Σε πλήρη λειτουργία του DNSSEC, ο PowerDNS Recursor θα επικυρώσει τις απαντήσεις και θα θέσει το bit AD σε επικυρωμένες απαντήσεις, αν το ζητήσει ο πελάτης και θα SERVFAIL για ψευδείς απαντήσεις σε όλους τους πελάτες.
• Η υποστήριξη DNSSEC χαρακτηρίζεται ως πειραματική αλλά λειτουργική αυτή τη στιγμή, καθώς διαθέτει 2 περιορισμούς:
• Οι αρνητικές απαντήσεις επικυρώθηκαν αλλά η απόδειξη NSEC δεν έχει ελεγχθεί πλήρως.
• Ζώνες που έχουν CNAME στην κορυφή (το οποίο είναι ούτως ή άλλως «λάθος») επικυρώνεται ως Bogus.
• Αν τρέχετε με ενεργοποιημένο το DNSSEC και ειδοποιήστε τους κατεστραμμένους τομείς, αρχειοθετήστε ένα πρόβλημα.

Τι νέο υπάρχει στην έκδοση 3.7.2:

• για το CVE-2015-1868.

Τι νέο υπάρχει στην έκδοση 3.6.2:

• δεσμεύστε το ab14b4f: επιταχύνετε την παραγωγή servfail για αποτυχίες παρόμοιες με το ezdns (πλήρης κατάργηση αναζήτησης ερωτήματος αν χτυπήσουμε περισσότερα από 50 outeries)
• δεσμεύστε 42025be: Το PowerDNS εξετάζει τώρα την κατάσταση ασφαλείας μιας έκδοσης κατά την εκκίνηση και περιοδικά. Για περισσότερες λεπτομέρειες σχετικά με αυτήν τη λειτουργία και για το πώς μπορείτε να την απενεργοποιήσετε, μπορείτε να την βρείτε στην Ενότητα 2, "Ερωτήσεις ασφαλείας".
• δεσμεύστε 5027429: Δεν διαβιβάσαμε τη σωστή διεύθυνση 'τοπικής' υποδοχής στο Lua για ερωτήματα TCP / IP στο recursor. Επιπλέον, θα προσπαθούσαμε να αναζητήσουμε ένα filedescriptor που δεν υπήρχε σε έναν ξεκλείδωτο χάρτη ο οποίος θα μπορούσε ενδεχομένως να οδηγήσει σε συντριβές. Κλείνει το εισιτήριο 1828, χάρη στον Winfried για την αναφορά
• δέσμευση 752756c: Συγχρονισμός ενσωματωμένου αντιγράφου yahttp. API: Αντικατάσταση βασικού auth με HTTP με στατικό κλειδί σε προσαρμοσμένη κεφαλίδα
• δεσμεύστε 6fdd40d: προσθέστε missing #include στο rec-channel.hh (αυτό διορθώνει το κτίριο στο OS X).

Τι νέο υπάρχει στην έκδοση 3.5.3:

• 3.5 Αντικαταστήσαμε το ANY ερώτημα με A + AAAA για χρήστες με ενεργοποιημένο το IPv6. Οι εκτεταμένες μετρήσεις από τον Darren Gamble έδειξαν ότι η αλλαγή αυτή είχε μη τετριμμένη επίδραση επίδοσης. Τώρα κάνουμε το ANY ερώτημα όπως στο παρελθόν, αλλά επιστρέφουμε στα επιμέρους ερωτήματα A + AAAA, όταν είναι απαραίτητο. Αλλαγή στη δέσμευση 1147a8b.
• Η διεύθυνση IPv6 για το d.root-servers.net προστέθηκε στο άρθρο 66cf384, χάρη στον Ralf van der Enden.
• Παλιά πακετάμε πακέτα με μη-μηδενικό opcode (δηλαδή ειδικά πακέτα όπως DNS UPDATE) νωρίτερα. Εάν είναι ενεργοποιημένη η πειραματική σημαία pdns-distributes-queries, αυτή η επιδιόρθωση αποφεύγει μια συντριβή. Οι κανονικές ρυθμίσεις δεν ήταν ποτέ επιρρεπείς σε αυτή τη συντριβή. Κωδικοποιούν στο commit 35bc40d, κλείνει το εισιτήριο 945.
• Ο χειρισμός του TXT ήταν κάπως βελτιωμένος στη δέσμευση 4b57460, κλείνοντας το εισιτήριο 795.

Τι είναι καινούργιο στην έκδοση 3.3: Αυτή η έκδοση διορθώνει μια σειρά από μικρά αλλά επίμονα ζητήματα, απενεργοποιώντας την υποστήριξη IPv6 και προσθέτει ένα σημαντικό χαρακτηριστικό για πολλούς χρήστες των σεναρίων Lua.

Επιπλέον, βελτιώθηκε η δυνατότητα κλιμάκωσης στο Solaris 10

Αυτή η έκδοση είναι ίδια με την RC3.

Τι νέο υπάρχει στην έκδοση 3.3 RC3:

• Αυτή η έκδοση επιδιορθώνει μια σειρά από μικρά αλλά επίμονα ζητήματα, στρογγυλοποιεί την υποστήριξη IPv6 και προσθέτει ένα σημαντικό χαρακτηριστικό για πολλούς χρήστες των σεναρίων Lua.
• Επιπλέον, βελτιώθηκε η δυνατότητα κλιμάκωσης στο Solaris 10
• Από το RC2, έχει αφαιρεθεί ένα αβλαβές αλλά τρομακτικό μήνυμα σχετικά με μια λανθάνουσα ρίζα

Τι είναι καινούργιο στην έκδοση 3.3 RC2:

στρογγυλοποιεί την υποστήριξη IPv6 και προσθέτει ένα σημαντικό χαρακτηριστικό για πολλούς χρήστες των σεναρίων Lua.

Επιπλέον, βελτιώθηκε η δυνατότητα κλιμάκωσης στο Solaris 10

Δεδομένου ότι το RC1 έχει επιδιορθωθεί η συμπίεση στο RHEL5