PowerDNS Recursor

Рекуртор PowerDNS - це відкрите джерело, високопродуктивний, безкоштовний, портативний та високоефективний сервер імен для вирішення проблем, програмне забезпечення командного рядка, яке надає системним адміністраторам повнофункціональний та повний набір технології, пов'язані з електронним та Інтернет-іменуванням. Це частина відомих програмних пакетів PowerDNS.

PowerDNS - це програмне забезпечення сервера імен з відкритим вихідним кодом, написане з нуля, яке забезпечує високопродуктивний, сучасний та розширений авторитетний сервер назв. Він взаємодіє з практично будь-якою базою даних та відповідає всім відповідним документам стандартів DNS (Domain Name System).

Основні функції включають в себе повну підтримку всіх популярних стандартів, підтримку DNS64, можливість переналаштування її без простоїв, підтримку заходів безпеки та списків блоків, віддалений та локальний доступ, потужні засоби боротьби з шахрайством, відновлення відповідей, перехоплення запитань, NXDOMAIN перенаправлення, прості файли зон BIND, API прямого управління та вбудована генерація скриптованої відповіді на основі Lua.

Крім того, вона включає в себе найвищі функції, поширені для всіх продуктів PowerDNS, включаючи підтримку протоколів IPv4 (UDP та TCP), IPv6 (UDP і TCP), високопродуктивних, простого для читання протоколу SNMP (Simple Network Management Protocol) статистичний міст, а також графіку в режимі реального часу за допомогою віддалено заглушливої ​​статистики.

PowerDNS-рекурктор - це дуже потужне програмне забезпечення, яке може обробляти сотні мільйонів дозволів DNS, підтримується декількома процесорами та однаковим функціоналом сценаріїв, який використовується на продукті PowerDNS Authoritative Server. Це дуже гнучка та ефективна програма для вирішення DNS, написана спеціально для систем GNU / Linux.

PowerDNS доступний у всіх основних дистрибутивах Linux і використовує гнучку архітектуру бекенда, спеціально розроблену для забезпечення доступу до DNS інформації з будь-якого джерела даних. Програмне забезпечення повністю написано на мові програмування C ++, і він доступний для завантаження як рідний інсталятор для операційних систем Ubuntu / Debian та Red Hat / Fedora, а також вихідний архів. Він успішно протестований на 32-розрядних та 64-розрядних апаратних платформах.

Що нового в цьому випуску:

• Поліпшення:
• # 6550, # 6562: Додайте параметр піддереву до кінцевої точки очищення кешу API.
• № 6566: використовуйте окрему, не блокуючу трубу для розповсюдження запитів.
• # 6567: перемістіть керування вуглецем / веб-сервером / керування / обробку статтей окремому потоку
• # 6583: додайте версії _raw для QName / ComboAddresses до API FFI.
• # 6611, # 6130: оновіть термін дії авторських прав до 2018 року (Matt Nordhoff).
• # 6474, # 6596, # 6478: виправте попередження на botan> = 2.5.0.
• Виправлено помилки:
• # 6313: Перерахуйте пошук у внутрішню зону автозапуску як недоступне кеш
• # 6467: Не збільшувати лічильники валідації DNSSEC під час запуску без перевірки процесу.
• # 6469: поважайте тайм-аут AXFR при підключенні до сервера RPZ.
• # 6418, # 6179: Збільште масштабування MTasker, щоб уникнути аварії при відключенні виключення (Chris Hofstaedtler).
• # 6419, # 6086: Використовуйте час синхронізації в наших тестових модулях під час перевірки дійсності кешу (Chris Hofstaedtler).
• # 6514, # 6630: додайте -dynamic до C {, XX} FLAGS, коли ми будуємо LuaJIT.
• # 6588, # 6237: Затримка завантаження зон RPZ до завершення аналізу, закріплення стану перегонів
• # 6595, # 6542, # 6516, # 6358, # 6517: повторне впорядкування полягає в тому, щоб уникнути посилення конфлікту L.

Що нового в версії:

• Виправлення помилок:
• # 5930: не вважайте, що запис TXT - це перша запис для secpoll
• # 6082: Не додавайте в кеш не-IN-записи

Що нового у версії 4.0.6:

• Виправлені помилки:
• Використовуйте вхідні ECS для пошуку кешів, якщо встановлено підменю use-incoming-edns
• при створенні мережевої маски з comboaddress ми нехтували нулем порту. Це може призвести до поширення мережевих масок.
• Не приймайте початкове джерело ECS для сфери, якщо EDNS вимкнено
• також встановіть d_requestor без Lua: потрібна логіка ECS
• Виправте IXFR, пропустіть додавання частини останньої послідовності
• Обробити завантажувальний завантажувач запитувача нижчим за 512, рівним 512
• Зробити цілі значення URI 16 біт, виправлення квитка # 5443
• не скасовувати цитування; виправляє квиток № 5401
• Покращення:
• За допомогою цього підмережі Клієнтський підрозділ EDNS стає сумісним з кешем пакетів, використовуючи існуючу установку для відповіді на зміну. ​​
• Видаліть лише достатньо записів з кеша, а не більше, ніж попросили
• Перемістіть записи з вичерпаним терміналом у фронт, щоб вони були вилучені
• змінений адвр IPv6 b.root-servers.net
• e.root-servers.net має зараз IPv6
• прихильники підписів про декоф (ED25519 та ED448) Алгоритм тестування 15: "Декаф ED25519" -> "Декаф ED25519" - & gt; 'Decaf ED25519' Підпис і перевірка нормально, підпис 68usec, перевірка 93usec Алгоритм тестування 16: 'Decaf ED448' -> 'Decaf ED448' - & gt; "Декаф ED448" Підпис і перевірка нормально, підпис 163usec, перевірити 252usec
• не використовуйте підписувач libdecaf ed25519, коли увімкнено libsodium
• не хешите повідомлення в підписувачі ed25519
• Вимкнути підменю use-incoming-edns за умовчанням

Що нового у версії 4.0.4:

• Виправлені помилки:
• commit 658d9e4: перевірити підпис TSIG на IXFR (Консультація з безпеки 2016-04)
• commit 91acd82: не аналізуйте помилкові RR в запитах, коли нам це не потрібні (Security Advisory 2016-02)
• commit 400e28d: Виправте неправильну перевірку довжини в DNSName при вилученні qtype або qclass
• commit 2168188: rec: Зачекайте, доки після демонування не запускайте потоки RPZ та протобуфа
• здійснити 3beb3b2: увімкнути (повторно) запрацювання, завантажувати записи кореневої NS
• commit cfeb109: rec: Fix src / dest інверсія в повідомленні protobuf для запитів TCP
• здійснити 46a6666: опції NSEC3 і виправлення безпомилкових недофінансування
• здійснити bb437d4: у користувальницькій політиці RPZ, слідкуйте за отриманим CNAME
• здійснити 6b5a8f3: DNSSEC: не піддавайте фальшивим налаштуванням нульових DS-адрес
• здійснити 1fa6e1b: не вдарити в порожній запит
• commit bfb7e5d: встановіть результат на NoError перед натисканням preresolve
• Доповнення та вдосконалення:
• commit 7c3398a: додайте макс-рекурсійну глибину, щоб обмежити кількість внутрішньої рекурсії
• commit 3d59c6f: виправлена ​​установка з підтримкою ECDSA вимкнена в libcrypto
• commit 0170a3b: додайте requestorId та деякі коментарі до файлу визначення protobuf
• commit d8cd67b: Зробити повідомлення про переадресацію negcache
• commit 46ccbd6: записи кеша для зон, які делеговані з переадресованої зони
• виконайте 5aa64e6, виконайте 5f4242e і виконайте 0f707cd: DNSSEC: виконайте пошук ключів на основі скорочення зон
• commit ddf6fa5: rec: Додати підтримку для boost :: context> = 1.61
• commit bb6bd6e: додайте getRecursorThreadId () до Lua, ідентифікуючи поточну нитку
• commit d8baf17: обробка CNAME на вершині захищених зон в інші безпечні зони

Що нового у версії 4.0.0:

• Ми внесли багато змін всередині сервера імен:
• Перемістився на C ++ 2011, чистий більш потужну версію C ++, що дозволило нам покращити якість виконання у багатьох місцях.
• Впроваджена спеціальна інфраструктура для обробки імен DNS, які повністю "DNS Native" & quot; і потребує менше втечі та неспадання.
• Переключено на подвійне зберігання записів DNS у всіх місцях.
• Переміщено ACL до спеціального дерева маски Netmask.
• Виконано версію RCU для зміни конфігурації
• Інструмент нашого використання розподілювача пам'яті суттєво зменшив кількість викликів malloc.
• Інфраструктура гака Lua була перероблена за допомогою LuaWrapper; старі скрипти більше не працюватимуть, але нові сценарії легше писати під новим інтерфейсом.
• Через ці зміни PowerDNS Recursor 4.0.0 майже на порядок швидше, ніж у галузі 3.7.
• Обробка DNSSEC: якщо ви запитаєте записи DNSSEC, ви отримаєте їх.
• Довірчі дані DNSSEC: якщо це налаштовано, PowerDNS виконує перевірку DNSSEC ваших відповідей.
• Повністю оновлений API скриптів Lua, який є & quot; DNSName & quot; нативний і, як наслідок, набагато менший, помилковий, і, швидше за все, швидше для найбільш часто використовуваних сценаріїв. Завантажує та індексує 1 мільйон доменних переліків спеціальних правил через кілька секунд.
• Новий асинхронний для кожного домену, за IP-адреса, двигун запиту. Це дозволяє PowerDNS проконсультуватися з зовнішньою службою в режимі реального часу, щоб визначити статус клієнта або домену. Це може, наприклад, означати пошук фактичної ідентичності клієнтів з DHCP-сервера на основі IP-адреси (наприклад, варіант 82).
• Підтримка RPZ (з файлу, за AXFR або IXFR). Це завантажує найбільшу зону Spamhaus за 5 секунд на нашому апаратному забезпеченні, що містить приблизно 2 мільйони інструкцій.
• Тепер усі кеші можуть бути стерті суфіксами через канонічне замовлення.
• Багато, набагато більш релевантні показники ефективності, включаючи перевірки автентичності продуктивності ("чи це я чи мережа, яка працює повільно").
• Підтримка EDNS Client Subnet, включаючи усвідомлення кеш-пам'яті про варіанти відповіді підмереж.
• DNSSEC:
• Як зазначено в розділі функцій вище, у PowerDNS-рекурсора тепер є обробка DNSSEC та експериментальна підтримка перевірки DNSSEC. Обробка DNSSEC означає, що сервер імен буде повертати записи RRSIG, коли це буде запропоновано клієнтом (через DO-біт), і завжди буде отримувати RRSIG, навіть якщо клієнт не запитує. Він буде виконувати перевірку та встановити AD-біт у відповіді, якщо клієнт запитує перевірку. У режимі повної розбивки DNSSEC-ретранслятор PowerDNS перевіряє відповіді та встановлює AD-біт у перевірених відповідях, якщо клієнт запитує його, і SERVFAIL буде подавати підробні відповіді всім клієнтам.
• Підтримка DNSSEC позначена як експериментальна, але функціональна на даний момент, оскільки вона має дві обмеження:
• Негативні відповіді перевірено, але докази NSEC не повністю перевірені.
• Зони, які мають CNAME у вершині (які в будь-якому випадку "неправильні"), перевіряються як богус.
• Якщо ви запускаєте DNSSEC і виявляєте зламані домени, зробіть проблему.

Що нового у версії 3.7.2:

• Найважливіша частина цього оновлення - для CVE-2015-1868.

Що нового у версії 3.6.2:

• виконувати ab14b4f: прискорити генерацію серффейсу для збоїв, що спричинені ezdns (повне скасування запиту, якщо ми потрапили більш ніж на 50 запитів)
• commit 42025be: PowerDNS тепер перевіряє стан безпеки випуску під час запуску та періодично. Більш детальну інформацію про цю функцію та способи її вимкнення можна знайти в розділі 2 "Опитування в галузі безпеки" & quot ;,
• commit 5027429: ми не передали правильну локальну адресу сокету Lua для запитів TCP / IP у рекурсорі. Крім того, ми спробуємо знайти файловий описовий файл, який там не знаходився на розблокованій карті, що може призвести до аварій. Закриває квиток 1828 року, дякую Вінфірду за звітність
• commit 752756c: синхронізована вбудована yahttp копія. API: Замініть HTTP Basic auth за допомогою статичного ключа в спеціальному заголовку
• commit 6fdd40d: додати відсутній #include для rec-channel.hh (це виправлення, побудоване на ОС X).

Що нового у версії 3.5.3:

• 3.5 замість нашого будь-якого запиту з A + AAAA для користувачів, які ввімкнули IPv6. Великі виміри, проведені Дарреном Гемблем, показали, що ця зміна мала нетривіальний вплив на ефективність. Тепер ми виконуємо будь-який запит, як і раніше, але при необхідності повертаємося до окремих запитів A + AAAA. Зміни в фіксації 1147а8b.
• Адреса IPv6 для d.root-servers.net була додана в commit66cf384 завдяки Ralf van der Enden.
• Тепер ми скидаємо пакети з ненульовим кодом операцій (тобто спеціальними пакетами, такими як DNS UPDATE) раніше. Якщо експериментальний прапорець pdns-distributes-queries увімкнено, цей виправлення запобігає аварійному завершенню. Нормальні налаштування ніколи не були сприйнятливі до цієї аварії. Код в commit 35bc40d, закриває квиток 945.
• Управління TXT було дещо покращено в commit 4b57460, закриваючи квиток 795.

Що нового у версії 3.3:

• Цей випуск виправляє ряд невеликих, відключити підтримку IPv6 та додасть важливу функцію для багатьох користувачів скриптів Lua.
• Крім того, масштабованість на Solaris 10 була покращена.
• Цей випуск ідентичний RC3.

Що нового у версії 3.3 RC3:

• Ця версія виправляє ряд невеликих, але постійних проблем, обходить підтримку IPv6 та додає важливу функцію для багатьох користувачів сценаріїв Lua.
• Крім того, масштабованість на Solaris 10 була покращена.
• З RC2 видалено нешкідне, але страшне повідомлення про кореневий термін, що минув.

Що нового у версії 3.3 RC2:

• Цей випуск виправляє ряд невеликих, обходить підтримку IPv6 і додає важливу функцію для багатьох користувачів скриптів Lua.
• Крім того, масштабованість на Solaris 10 була покращена.
• З RC1, компіляція на RHEL5 була виправлена ​​