PowerDNS Recursor

Recursorul PowerDNS este un server de nume open source, high-end, gratuit, portabil și de înaltă performanță, un software de linie de comandă care oferă administratorilor de sistem un set bogat și bogat tehnologii legate de e-mail și Internet Naming. Face parte din binecunoscuta suită de software PowerDNS.

PowerDNS este un software open source pentru serverele de nume de daemon scris de la zero care oferă un server de nume de înaltă performanță, modern și avansat. Acesta interfețează cu aproape orice bază de date și se conformează tuturor documentelor de standard DNS (Domain Name System) relevante.

Caracteristicile cheie includ suportul complet pentru toate standardele populare, suportul DNS64, capacitatea de reconfigurare a acesteia fără întreruperi, suport pentru măsuri de securitate și liste de blocuri, acces la distanță și local, măsuri puternice anti-spoofing, replică răspuns, interceptare întrebare, NXDOMAIN redirecționarea, fișierele cu zone BIND simple, API-ul de control direct și generarea de răspunsuri scripted built-in bazate pe Lua.

În plus, include funcții de vârf comune pentru toate produsele PowerDNS, inclusiv suport pentru IPv4 (UDP și TCP), IPv6 (UDP și TCP), de înaltă performanță, SNMP (Simple Network Management Protocol) statistici, precum și grafice în timp real prin statistici poluabile de la distanță.

PowerDNS Recursor este un software foarte puternic care poate gestiona sute de milioane de rezoluții DNS, susținut de mai multe procesoare și aceeași funcționalitate de scripting de ultimă oră care este utilizată în produsul PowerDNS Authoritative Server. Este un program de rezoluție DNS foarte flexibil și performant, scris special pentru sistemele GNU / Linux.

PowerDNS este disponibil pe toate distribuțiile majore ale Linux și utilizează o arhitectură flexibilă de backend, proiectată special pentru a permite accesul la informațiile DNS din orice sursă de date. Software-ul este scris în întregime în limbajul de programare C ++ și este disponibil pentru descărcare ca instalatori nativi pentru sistemele de operare Ubuntu / Debian și Red Hat / Fedora, precum și o arhivă sursă. Acesta a fost testat cu succes pe platformele hardware pe 32 de biți și pe 64 de biți.

Ce este nou în această ediție:

• Îmbunătățiri:
• # 6550, # 6562: Adăugați o opțiune subtree la punctul final pentru limita cache-ului API.
• # 6566: Utilizați o conductă separată, fără blocare pentru a distribui interogări.
• # 6567: mutați un server separat de carbon / webserver / control / stats.
• # 6583: Adăugați versiunile _raw pentru QName / ComboAddresses la API-ul FFI.
• # 6611, # 6130: Actualizați anii drepturilor de autor până în 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: Remediați un avertisment pe botan> = 2.5.0.
• Remedieri de erori:
• # 6313: Contorizați o căutare într-o zonă internă de autor ca o pierdere de memorie cache
• # 6467: Nu creșteți contoarele de validare DNSSEC atunci când rulează cu proces-no-validate.
• # 6469: Respectați timpul de expirare AXFR în timp ce vă conectați la serverul RPZ.
• # 6418, # 6179: Creșteți stack-urile MTasker pentru a evita un accident în caz de răsturnare excepțională (Chris Hofstaedtler).
• # 6419, # 6086: Utilizați timpul SyncRes în testele unității noastre atunci când verificăm valabilitatea cache-ului (Chris Hofstaedtler).
• # 6514, # 6630: Adăugați -ddynamic la C {, XX} FLAGS atunci când construim cu LuaJIT.
• # 6588, # 6237: Întârziați încărcarea zonelor RPZ până când parsarea se termină, fixând o condiție de cursă.

<6595, # 6542, # 6516, # 6358, # 6517: Reordonați includeți pentru a evita conflictul L.

Ce este nou în versiune:

• Remedieri de erori:
• # 5930: Nu presupune că înregistrarea TXT este prima înregistrare pentru secpoll
• # 6082: Nu adăugați înregistrări non-IN în memoria cache

Ce este nou în versiunea 4.0.6:

• Remedieri de erori:
• Utilizați ECS-ul de intrare pentru căutare cache dacă set-use-edns-subnet este setat
• când facem o mască de rețea dintr-o comboaddress, am neglijat zero la port. Aceasta ar putea duce la proliferarea maselor de rețea.
• Nu luați sursa inițială ECS pentru un scop în cazul în care EDNS este oprit
• și setați d_requestor fără Lua: logica ECS are nevoie de ea
• Fixați IXFR săriți partea adăugată a ultimei secvențe
• Reduceți încărcătura utilă a solicitantului sub 512 ca fiind egală cu 512
• a face numerele URI 16 biți, fixează biletul # 5443
• citează; stabilește biletul # 5401
• Îmbunătățiri:
• cu aceasta, EDNS Client Subnet devine compatibil cu cache-ul de pachete, folosind facilitatea de răspuns variabilă existentă.
• Eliminați doar intrări suficiente din memoria cache, nu una mai mult decât cea cerută
• Mutați intrările expirate ale cache-ului în față pentru a fi eliminate
• schimbat adresa IPv6 a b.root-servers.net
• e.root-servers.net are acum IPv6
• semnatarii de salut de salut (ED25519 și ED448) Algoritmul de testare 15: "Decaf ED25519" -> "Decaf ED25519" -> 'Decaf ED25519' Semnătura și verificarea ok, semnătura 68usec, verificați 93usec Algoritmul de testare 16: 'Decaf ED448' -> 'Decaf ED448' -> 'Decaf ED448' Semnare & verificare ok, semnătura 163usec, verificați 252usec
• nu utilizați semnătura libdecaf ed25519 când este activat libsodium
• nu dezbate mesajul în semnatorul ed25519
• Dezactivați în mod implicit utilizarea-incoming-edns-subnet

Ce este nou în versiunea 4.0.4:

• Remedieri de erori:
• comite 658d9e4: verificați semnătura TSIG pe IXFR (Security Advisory 2016-04)
• comiteți 91acd82: Nu analizați paragrafele false în interogări atunci când nu le avem nevoie (Security Advisory 2016-02)
• comite 400e28d: verificați verificarea incorectă a lungimii în DNSName când extrageți qtype sau qclass
• comite 2168188: rec: Așteptați până când daemonizați pentru a porni firele RPZ și protobuf
• comite 3beb3b2: În (re-) priming, preluați înregistrările rădăcină NS
• comite cfeb109: rec: Fixarea inversiunii src / dest în mesajul protobuf pentru interogările TCP
• se angajează 46a6666: opțiunea de excludere NSEC3 și remedierile nesigure din partea Bogus
• comiteți bb437d4: pe RPZ customPolicy, urmați CNAME rezultatul
• comiteți 6b5a8f3: DNSSEC: nu mergeți fals pe DS fără configurare
• comite 1fa6e1b: nu crash pe un inel de interogare gol
• comite bfb7e5d: Setați rezultatul la NoError înainte de a apela preresolve
• Adăugări și îmbunătățiri:
• comite 7c3398a: Adăugați adâncimea de recurs maxim pentru a limita numărul de recursiuni interne
• angajați 3d59c6f: Fixați o clădire cu suport ECDSA dezactivată în libcrypto
• comiteți 0170a3b: adăugați requestorId și câteva comentarii la fișierul de definire protobuf
• comiteți d8cd67b: Faceți conștientizarea zonelor negacate transmise
• comite 46ccbd6: Înregistrările cache pentru zonele care au fost delegate dintr-o zonă redirecționată
• a comanda 5aa64e6, a comite 5f4242e și a comanda 0f707cd: DNSSEC: Implementarea selecției de chei pe baza reducerilor de zone
• comiteți ddf6fa5: rec: Adăugați suport pentru boost :: context & gt; = 1.61
• comite bb6bd6e: Adăugați getRecursorThreadId () la Lua, identificând firul curent
• comiteți d8baf17: Manipulați CNAME-urile la apexul zonelor securizate către alte zone securizate

Ce este nou în versiunea 4.0.0:

• Am schimbat numeroase lucruri pe serverul de nume:
• Mutarea la C ++ 2011, o versiune C ++ mai puternică și mai curată, care ne-a permis să îmbunătățim calitatea implementării în multe locuri.c
• Implementată infrastructură dedicată pentru tratarea denumirilor DNS care este pe deplin "DNS Nativ" și are nevoie de mai puține scăpări și neascultări.
• Comută la stocarea binară a înregistrărilor DNS în toate locurile.
• ACL-urile au fost mutate într-un arbore Netmask dedicat.
• A implementat o versiune a RCU pentru modificările de configurare
• Instrumentarea utilizării alocatorului de memorie, numărul redus de apeluri malloc în mod substanțial.
• Infrastructura cârligului Lua a fost reînnoită utilizând LuaWrapper; vechile script-uri nu vor mai funcționa, dar noile scripturi sunt mai ușor de scris în noua interfață.
• Datorită acestor modificări, PowerDNS Recursor 4.0.0 este aproape un ordin de mărime mai rapid decât ramura 3.7.
• procesare DNSSEC: dacă cereți înregistrări DNSSEC, le veți obține.
• Validarea DNSSEC: dacă este configurat astfel, PowerDNS va efectua validarea DNSSEC a răspunsurilor dvs.
• Complet redimensionat API-ul de scripting Lua, care este "DNSName" nativ și, prin urmare, mult mai puțin predispusă la erori și probabil mai rapidă pentru scenariile utilizate cel mai frecvent. Încarcă și indexează o listă de politică personalizată de 1 milion de domenii în câteva secunde.
• Nou asincron pe domeniu, pe adresa IP, motor de interogare. Acest lucru permite PowerDNS să consulte un serviciu extern în timp real pentru a determina starea clientului sau a domeniului. Aceasta ar putea însemna, de exemplu, căutarea unei identități reale a clientului de la un server DHCP bazat pe adresa IP (de exemplu, opțiunea 82).
• RPZ (din fișier, peste AXFR sau IXFR) suport. Acest lucru încarcă cea mai mare zonă Spamhaus în 5 secunde pe hardware-ul nostru, conținând aproximativ 2 milioane de instrucțiuni.
• Toate cache-urile pot fi șterse acum pe sufixe, din cauza ordinii canonice.
• Multe metrici de performanță mult mai relevante, inclusiv măsurători de performanță autoritare în amonte ("sunt eu sau rețeaua care este lentă").
• Suport pentru subnetul EDNS pentru clienți, incluzând cunoașterea cache a răspunsurilor care variază de subnet.
• DNSSEC:
• După cum se menționează în secțiunea de caracteristici de mai sus, PowerDNS Recursor are acum suport DNSSEC de procesare și validare experimentală DNSSEC. Procesarea DNSSEC înseamnă că serverul de nume va returna înregistrările RRSIG atunci când clientul solicită acest lucru (cu ajutorul unui bit DO) și va prelua întotdeauna RRSIG chiar dacă clientul nu cere. Acesta va efectua validarea și va seta bitul AD în răspuns dacă clientul va solicita validarea. În modul full-blown DNSSEC, PowerDNS Recursor va valida răspunsurile și va seta bitul AD în răspunsuri validate dacă clientul o va cere și SERVFAIL va răspunde fals tuturor clienților.
• Suportul DNSSEC este marcat experimental, dar funcțional în prezent, deoarece are 2 limitări:
• Răspunsurile negative au fost validate, dar dovada NSEC nu este complet verificată.
• Zonele care au CNAME la apex (care este oricum "greșit") validează ca Bogus.
• Dacă rulați cu DNSSEC activat și anunțați domenii rupte, faceți o problemă.

Ce este nou în versiunea 3.7.2:

• pentru CVE-2015-1868.

Ce este nou în versiunea 3.6.2:

• angajați ab14b4f: generați generarea servfail pentru eșecuri asemănătoare cu ezdns (întrerupeți complet rezolvarea interogărilor dacă am lovit mai mult de 50 de obiecții)
• comite 42025be: PowerDNS analizează acum starea de securitate a unei versiuni la pornire și periodic. Mai multe detalii despre această caracteristică și modul de dezactivare a acesteia pot fi găsite în Secțiunea 2, "Interogarea de securitate".
• comiteți 5027429: Nu am transmis adresa de acces locală locală la Lua pentru interogări TCP / IP în recursor. În plus, am încerca să căutăm un descriptor de fișiere care nu era acolo într-o hartă deblocată, care ar putea duce, probabil, la accidente. Închide biletul 1828, mulțumită Winfried pentru raportare
• comiteți 752756c: sincronizați copia încorporată yahttp. API: Înlocuiți auth de bază HTTP cu cheia statică în antetul personalizat
• comite 6fdd40d: adăugați lipsă #include la rec-channel.hh (acest lucru se corectează pe baza sistemului OS X).

Ce este nou în versiunea 3.5.3:

• 3.5 a înlocuit interogarea noastră ANY cu A + AAAA pentru utilizatorii cu IPv6 activat. Masuratorile extinse efectuate de Darren Gamble au aratat ca aceasta schimbare a avut un impact non-trivial al performantei. Acum facem ANY interogare ca înainte, dar revenim la întrebările individuale A + AAAA atunci când este necesar. Modificați comanda 1147a8b.
• Adresa IPv6 pentru d.root-servers.net a fost adăugată în comanda 66cf384, mulțumită lui Ralf van der Enden.
• Acum abandonăm pachetele cu un opcode non-zero (adică pachete speciale cum ar fi DNS UPDATE). Dacă pavilionul experimental pdns-distribuie-interogări este activat, această remediere evită un accident. Setările normale nu au fost niciodată susceptibile la acest accident. Codul în comanda 35bc40d, închide biletul 945.
• Manipularea TXT a fost oarecum îmbunătățită în comitetul 4b57460, închiderea biletului 795.

Ce este nou în versiunea 3.3:

• Această versiune stabilește o serie de probleme mici, de pe suportul IPv6 și adaugă o caracteristică importantă pentru mulți utilizatori ai scripturilor Lua.
• În plus, scalabilitatea pe Solaris 10 a fost îmbunătățită.
• Această versiune este identică cu RC3.

Ce este nou în versiunea 3.3 RC3:

• Această versiune rezolvă o serie de probleme mici, dar persistente, rotunjește suportul IPv6 și adaugă o caracteristică importantă pentru mulți utilizatori ai scripturilor Lua.
• În plus, scalabilitatea pe Solaris 10 a fost îmbunătățită.
• De la RC2, a fost eliminat un mesaj inofensiv, dar înspăimântător, despre o rădăcină expirată.



Ce este nou în versiunea 3.3 RC2:

• Această versiune stabilește o serie de probleme mici, rotunjește suportul IPv6 și adaugă o caracteristică importantă pentru mulți utilizatori ai scripturilor Lua.
• În plus, scalabilitatea pe Solaris 10 a fost îmbunătățită.
• De la RC1, compilarea pe RHEL5 a fost rezolvată.
22 Jun 18 în Software-ul de rețea, Serverele DNS