PowerDNS Recursor

PowerDNS Recursor je open source, high-end, bezplatný, přenosný a vysoce výkonný jmenný server pro řešení problémů, což je software příkazového řádku, který poskytuje administrátorům systém bohatou a komplexní sadu technologie spojené s pojmenováním e-mailů a Internetu. Je součástí dobře známého softwaru PowerDNS.

PowerDNS je otevřený zdroj démonový název serverový software napsaný od nuly, který poskytuje vysoce výkonný, moderní a pokročilý jmenný server s autoritou. Rozhraní s téměř libovolnou databází a odpovídá všem příslušným standardům DNS (Domain Name System).

Klíčové funkce zahrnují kompletní podporu všech oblíbených standardů, podporu DNS64, schopnost rekonfigurace bez přestávek, podpora bezpečnostních opatření a seznamů bloků, vzdálený a lokální přístup, účinná opatření proti kopírování, odpověď na obnovu, zachycení otázek, NXDOMAIN přesměrování, prosté soubory zóny BIND, rozhraní API pro přímou kontrolu a vestavěnou generovanou odpověď na základě Lua.

Navíc obsahuje špičkové funkce, které jsou společné všem produktům PowerDNS, včetně podpory protokolu IPv4 (UDP a TCP), protokolu IPv6 (UDP a TCP), vysokého výkonu, protokolu SNMP (Simple Network Management Protocol) statistiku bridge, stejně jako grafy v reálném čase pomocí vzdálených polí.

PowerDNS Recursor je velmi výkonný software, který dokáže zpracovat stovky miliónů řešení DNS, podporovaných více procesory a stejnou špičkovou funkci skriptování, která se používá v produktech PowerDNS Authoritative Server. Jedná se o velmi flexibilní a výkonný program pro rozlišení DNS napsaný zejména pro systémy GNU / Linux.

PowerDNS je k dispozici ve všech hlavních distribucích systému Linux a používá flexibilní architekturu backend, která je navržena tak, aby umožňovala přístup k informacím DNS z jakéhokoli zdroje dat. Software je napsán výhradně v programovacím jazyce C ++ a je dostupný ke stažení jako nativní instalátory pro operační systémy Ubuntu / Debian a Red Hat / Fedora, stejně jako zdrojový archiv. Byl úspěšně testován na 32bitových i 64bitových hardwarových platformách.

Co je nové v této verzi:

• Vylepšení:
• # 6550, # 6562: Přidejte volbu podstromu do koncového bodu vyrovnávací paměti mezipaměti API.
• # 6566: Chcete-li distribuovat dotazy, použijte samostatné neblokující potrubí.
• # 6567: Přesuňte zpracování uhlíku / webového serveru / řízení / statistiky na samostatný podproces.
• # 6583: Přidejte verze _raw pro adresy QName / ComboAddresses do API FFI.
• # 6611, # 6130: Aktualizace autorských práv do roku 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: Upravit upozornění na botan> 2.5.0.
• Opravy chyb:
• # 6313: Spočítejte vyhledávání do interní zóny auth jako cache miss
• # 6467: Nezvyšujte čítače ověření DNSSEC při spuštění s procesem bez ověření.
• # 6469: Respektujte časový limit AXFR při připojení k serveru RPZ.
• # 6418, # 6179: Zvyšte stahování MTasker, abyste se vyhnuli havárii (Chris Hofstaedtler).
• # 6419, # 6086: Při kontrole platnosti vyrovnávací paměti (Chris Hofstaedtler) použijte čas SyncRes v našich testovacích jednotkách.
• # 6514, # 6630: Přidejte -ddynamic do C {, XX} FLAGS při sestavování s LuaJIT.
• # 6588, # 6237: Zpoždění načítání zón RPZ až do dokončení analýzy, kterým se stanoví podmínky závodu.
• # 6595, # 6542, # 6516, # 6358, # 6517: Změna uspořádání zahrnuje vyloučení konfliktu L.

Co je nového ve verzi:

• Opravy chyb:
• # 5930: Nepředpokládejme, že záznam TXT je prvním záznamem pro secpoll
• # 6082: Do mezipaměti
nepřidávejte záznamy, které nejsou IN

Co je nového ve verzi 4.0.6:

• Opravy chyb:
• Použijte příchozí ECS pro vyhledání mezipaměti, pokud je nastaveno použití-incoming-edns-subnet
• při vytváření síťové masky z adresy comboaddress jsme zanedbali nulový port. To by mohlo vést k šíření netmask.
• Pokud je EDNS vypnuto
, nepoužívejte původní zdroj ECS pro jeden rozsah
• také nastavíte d_requestor bez Lua: logika ECS to potřebuje
• Fix IXFR přeskočí část dodatků poslední sekvence
• Ošetřete velikost užitného objemu žadatele nižší než 512 a rovná se 512
• Zadejte celé číslo URI 16 bitů, opraví lístek # 5443
• zrušte citování; opraví lístek # 5401
• Vylepšení:
• s tím bude klientská podsíť EDNS kompatibilní s vyrovnávací pamětí paketů pomocí stávajícího zařízení proměnné odpovědi.
• Odstraňte z mezipaměti jen několik položek, nikoli více než dotaz
• Přesuňte položky expedované mezipaměti na přední stranu tak, aby byly vyloučeny
• změnil adr IPv6 z b.root-servers.net
• e.root-servers.net má nyní protokol IPv6
• Hello Decaf signers (ED25519 a ED448) Testovací algoritmus 15: "Decaf ED25519" -> "Decaf ED25519" -> 'Decaf ED25519' Podpis a ověření ok, podpis 68usec, ověření 93usec Testovací algoritmus 16: 'Decaf ED448' -> 'Decaf ED448' -> 'Decaf ED448' Podpis & ověřte ok, podpis 163usec, ověřte 252usec
• Nepoužívejte podpisovač libdecaf ed25519, když je povoleno libsodium
• Neodstraňujte zprávu v signatáři ed25519
• Ve výchozím nastavení zakázat použití-příchozí-edns-subnet

Co je nového ve verzi 4.0.4:

• Opravy chyb:
• pověřit 658d9e4: Kontrola podpisu TSIG na IXFR (Security Advisory 2016-04)
• Závazek 91acd82: Při dotazech nerozpoznávejte nepravdivé RR v dotazech, když je nepotřebujeme (Security Advisory 2016-02)
• Odpovědět 400e28d: Opravit nesprávnou délku kontroly DNSName při extrakci qtype nebo qclass
• potvrdíte 2168188: rec: Počkejte, dokud se po vyvolání RPZ a protobuf vlákna
• přiřadit 3beb3b2: Zapnutí (re-) priming, načtení základních NS záznamů
• Odpovědět cfeb109: rec: Oprava inovace src / dest ve zprávě protobuf pro dotazy TCP
• Odpovědět 46a6666: NSEC3 optout a Bogus nestabilní dopředu opravy
• povolit bb437d4: Na RPZ customPolicy, postupujte podle výsledného CNAME
• Odpovědět 6b5a8f3: DNSSEC: nezůstane falešný na nulových nakonfigurovaných DS
• Spustit 1fa6e1b: Nezdržujte prázdný dotazový kroužek
• Spusťte bfb7e5d: Nastavte výsledek na hodnotu NoError před voláním preresolve
• Přírůstky a vylepšení:
• potvrďte 7c3398a: Přidejte maximální hloubku rekurze, abyste omezili počet interních rekurzí
• Odpovědět 3d59c6f: Oprava budovy s podporou ECDSA je zakázána v libcrypto
• zavést 0170a3b: Přidat soubor requestorId a některé komentáře k definicnímu souboru protobuf
• Spusťte d8cd67b: Uvědomte si, že zóny přeposlání negcache jsou
• pověřit 46ccbd6: Cache záznamy pro zóny, které byly delegovány z předávané zóny
• potvrdíme 5aa64e6, potvrdíme 5f4242e a potvrdíme 0f707cd: DNSSEC: Provedeme hledání na základě zónových řezů
• potvrďte ddf6fa5: rec: Přidejte podporu pro boost :: context & gt; = 1.61
• Spusťte bb6bd6e: Přidejte do Luy getRecursorThreadId (), identifikujte aktuální vlákno
• Spusťte d8baf17: Zacházejte s CNAME na vrcholu zabezpečených zón do jiných zabezpečených zón

Co je nového ve verzi 4.0.0:

• Do jména serveru jsme interně změnili mnoho věcí:
• Přesunutý do C ++ 2011, čistší výkonnější verze C ++, která nám umožnila zlepšit kvalitu implementace na mnoha místech.
• Implementovaná vyhrazená infrastruktura pro řešení DNS názvů, která je plně "DNS Native" a potřebuje méně uniknout a uniknout.
• Přepnuto na binární ukládání záznamů DNS na všech místech.
• Přesunuli ACL do vyhrazeného stromu masky sítě
• Implementoval verzi RCU pro konfigurační změny
• Využili jsme přidání paměťového alokátoru, snížil se počet hovorů malloc.
• Infrastruktura Lua hook byla znovu použita pomocí LuaWrapper; staré skripty již nebudou fungovat, ale nové skripty se dají snadno zapisovat pod nové rozhraní.
• Vzhledem k těmto změnám je PowerDNS Recursor 4.0.0 téměř o řádu rychlejší než větve 3,7.
• Zpracování DNSSEC: pokud požadujete záznamy DNSSEC, získáte je.
• Validace DNSSEC: pokud je to tak nakonfigurováno, PowerDNS provede ověření DNSSEC vašich odpovědí.
• Kompletně upravený Lua skriptovací API, který je "DNSName" přirozená a tedy daleko méně náchylná k chybám a pravděpodobně rychlejší u nejčastěji používaných scénářů. Načte a indexuje 1 milion vlastních seznamů domén v několika sekundách.
• Nová asynchronní adresa domény, per-ip adresa, dotazovací stroj. To umožňuje službě PowerDNS konzultovat externí službu v reálném čase s cílem určit stav klienta nebo domény. To může znamenat například vyhledávání aktuální identity zákazníka ze serveru DHCP založeného na adrese IP (například možnost 82).
• RPZ (ze souboru, přes AXFR nebo IXFR). To načte největší zónu Spamhaus za 5 sekund na našem hardwaru a obsahuje asi 2 miliony instrukcí.
• Všechny mezipaměti mohou být nyní z důvodu kanonického uspořádání potlačeny příponami.
• Mnoho, mnohem více důležitých ukazatelů výkonnosti, včetně upřednostňovaných měřic výkonu ("je to mě nebo síť, která je pomalá").
• Podpora EDNS Client Subnet, včetně uvědomování o odpovědi pro změnu podsítě v mezipaměti
• DNSSEC:
• Jak je uvedeno v části o vlastnostech výše, PowerDNS Recursor nyní má podporu DNSSEC pro zpracování a experimentální validaci DNSSEC. Zpracování DNSSEC znamená, že jmenovkový server vrátí záznamy RRSIG, pokud o to klient požádá (pomocí DO-bitu) a bude vždy vyhledávat RRSIG i v případě, že klient o to nepožádá. Bude provádět ověření a nastaví AD bit v odpovědi, pokud klient požaduje ověření. V plnohodnotném režimu DNSSEC vrátí PowerDNS Recursor odpovědi a nastaví AD-bit v ověřených odpovědích, pokud o to klient požádá, a bude SERVFAIL na falešné odpovědi na všechny klienty.
• Podpora DNSSEC je označena jako experimentální, ale funkční v současné době, protože má dvě omezení:
• Negativní odpovědi byly ověřeny, ale důkaz NSEC není úplně zkontrolován.
• Zóny, které mají CNAME na špičce (což je stejně "špatné"), potvrďte jako Bogus.
• Pokud běžíte s aktivovaným protokolem DNSSEC a upozorníte na poškozené domény, podejte problém.

Co je nového ve verzi 3.7.2:

• pro CVE-2015-1868.

Co je nového ve verzi 3.6.2:

• zavést ab14b4f: urychlit generování servfailů pro selhání typu ezdns (úplné zrušení dotazu při překonání více než 50 výpadků)
• zavést 42025be: PowerDNS nyní zkontroluje stav zabezpečení uvolnění při spuštění a pravidelně. Podrobnější informace o této funkci a o tom, jak ji vypnout, naleznete v sekci 2 "Bezpečnostní dotazování".
• Odpovědět 5027429: Neposlali jsme správnou "lokální" adresu soketu Lua pro dotazy TCP / IP v rekurentu. Navíc bychom se pokoušeli vyhledat souborový popisovač, který tam nebyl v odemčené mapě, která by mohla způsobit zhroucení. Zavře vstupenku 1828, díky Winfriedovi za oznámení
• potvrzení 752756c: Synchronizace vložené kopie yahttp. API: Nahradit HTTP Basic auth statickým klíčem do vlastního záhlaví
• zavést 6fdd40d: přidat chybějící #include k rec-channel.hh (toto opravuje stavbu na OS X).

Co je nového ve verzi 3.5.3:

• 3.5 nahradil náš dotaz ANY s A + AAAA pro uživatele s povoleným protokolem IPv6. Rozsáhlá měření od Darren Gamble ukázala, že tato změna měla netriviální dopad na výkonnost. Nyní provádíme ANY dotaz jako předtím, ale v případě potřeby se vrátíme zpět na jednotlivé dotazy A + AAAA. Změna v příkazu commit 1147a8b.
• Adresu IPv6 pro d.root-servers.net byla přidána v commit 66cf384, díky Ralfovi van der Endenovi.
• Dále pak předtím balíme pakety s nenulovým opcode (tj. speciální pakety jako DNS UPDATE). Pokud je povoleno experimentální příznak pdns-distribuuje-dotazy, tato oprava zabraňuje zhroucení. Normální nastavení nebyla nikdy náchylná k této havárii. Kód v příkazu 35bc40d zavře lístek 945.
• Zpracování TXT bylo poněkud vylepšeno v potvrzení 4b57460, uzavření lístku 795.

Co je nového ve verzi 3.3:

• Toto vydání opravuje řadu malých, vypnout podporu protokolu IPv6 a přidá důležitou funkci pro mnoho uživatelů skriptů Lua.
• Navíc byla vylepšena škálovatelnost systému Solaris 10.
• Toto vydání je totožné s RC3.

Co je nového ve verzi 3.3 RC3:

• Tato verze opravuje řadu malých, ale přetrvávajících problémů, uzavírá podporu IPv6 a přidává důležitou funkci pro mnoho uživatelů skriptů Lua.
• Navíc byla vylepšena škálovatelnost systému Solaris 10.
• Protože RC2 byla odstraněna neškodná, ale strašidelná zpráva o kořenu, který vypršel,

Co je nového ve verzi 3.3 RC2:

• zaokrouhluje podporu protokolu IPv6 a přidává důležitou funkci pro mnoho uživatelů skriptů Lua.
• Navíc byla vylepšena škálovatelnost systému Solaris 10.
• Od verze RC1 byla kompilace na RHEL5 opravena.