PowerDNS Recursor

A PowerDNS Recursor egy nyílt forráskódú, csúcsminőségű, ingyenes, hordozható és nagy teljesítményű megoldás névszerver, egy parancssori szoftver, amely rendszergazdák számára egy olyan funkciókban gazdag és átfogó e-mail és internetes elnevezésekkel kapcsolatos technológiák. Ez része a jól ismert PowerDNS szoftvercsomagnak.

A PowerDNS a nyílt forráskódú démon névkiszolgáló szoftvere, amely a nagyarányú, korszerű és fejlett, csak hiteles névjegyzék-kiszolgálót nyújtja. Szinte minden adatbázishoz kapcsolódik, és megfelel az összes vonatkozó DNS (Domain Name System) szabványdokumentumnak.

A legfontosabb funkciók közé tartozik az összes népszerű szabvány, a DNS64 támogatás támogatása, leállás nélküli átkonfigurálási képesség, biztonsági intézkedések és blokklisták támogatása, távoli és helyi hozzáférés, erős anti-spoofing intézkedések, válaszfelújítás, kérdőíves lekérdezés, NXDOMAIN átirányítás, egyszerű BIND zónafájlok, közvetlen vezérlő API és a beépített szkriptes válasz generálása a Lua-n alapulva.

Ezen kívül olyan csúcsminőségű funkciókat is tartalmaz, amelyek minden PowerDNS termékben megtalálhatók, beleértve az IPv4 (UDP és TCP), IPv6 (UDP és TCP), nagy teljesítményű, csak olvasható SNMP (Simple Network Management Protocol) statisztikai híd, valamint valós idejű ábrázolás a távoli lebegő statisztikákon keresztül.

A PowerDNS Recursor egy nagyon erőteljes szoftver, amely több százmillió DNS-felbontást képes kezelni, több processzorral és ugyanolyan csúcstechnológiájú szkriptfunkcióval, amelyet a PowerDNS Authoritative Server terméken használnak. Ez egy nagyon rugalmas és kiváló DNS-felbontású program, amelyet kifejezetten a GNU / Linux rendszerek számára írtunk.

A PowerDNS minden nagyobb Linux disztribúcióban elérhető, és rugalmas háttértár architektúrát használ, amelyet kifejezetten arra a célra terveztek, hogy hozzáférhessen a DNS-adatokhoz bármely adatforrásból. A szoftver teljes egészében a C ++ programozási nyelvben készült, és az Ubuntu / Debian és Red Hat / Fedora operációs rendszerekhez natív telepítőként letölthető, valamint egy forrásarchívum. Mind a 32 bites, mind pedig a 64 bites hardveres platformokon sikeresen tesztelt.

Újdonság ebben a kiadásban:

• javításai:
• # 6550, # 6562: Adjon hozzá egy subtree lehetőséget az API cache-flush végpontjához.
• # 6566: Használjon külön, nem blokkoló csövet a lekérdezések terjesztéséhez.
• # 6567: Mozgassa a szén / webszerver / vezérlés / statisztika kezelését egy külön szálon.
• # 6583: A QName / ComboAddresses _raw változatainak hozzáadása az FFI API-hoz.
• # 6611, # 6130: A szerzői jogok évről 2018-ra történő frissítése (Matt Nordhoff).
• # 6474, # 6596, # 6478: Fix a botan & gt; = 2.5.0 figyelmeztetés.
• Hibajavítások:
• # 6313: Keresse meg a belső hitelesítési zónát, mint gyorsítótár-hiány.
• # 6467: Ne növelje a DNSSEC érvényesítési számlálókat a folyamat nélküli érvényesítéssel.
• # 6469: Tartsa be az AXFR időtúllépését az RPZ szerverhez való csatlakozáskor
• # 6418, # 6179: Növelje az MTasker stacksize-et, hogy elkerülje a kivétel lebonyolításának ütközését (Chris Hofstaedtler).
• # 6419, # 6086: Használja a SyncRes időt egység tesztjeinkben a cache érvényességének ellenőrzése során (Chris Hofstaedtler).
• # 6514, # 6630: Add -dynamicam C {, XX} FLAGS-hoz, ha LuaJIT-lel építjük.
• # 6588, # 6237: Az RPZ zónák betöltésének késleltetése, amíg az elemzés meg nem történik, a verseny feltételeinek rögzítése.
• # 6595, # 6542, # 6516, # 6358, # 6517: Az újrarendezés tartalmazza az L ütközés elkerülését.

Újdonság a verzióban:

• Hibajavítások:
• # 5930: Ne feltételezzük, hogy a TXT rekord az első rekord a secpoll
• # 6082: Ne adjon hozzá nem IN bejegyzéseket a gyorsítótárhoz

Az újdonság a 4.0.6-es verzióban:

• Hibajavítások:
• Használja a bejövő ECS-t gyorsítótár-kereséshez, ha a felhasználónév-beérkező-edns-alhálózat be van állítva
• a netmaszk létrehozásakor egy kombinált címről, elhanyagoltuk a port kikapcsolását. Ez a netmasks elterjedéséhez vezethet.
• Ne vegye figyelembe az első ECS forrást, ha az EDNS ki van kapcsolva
• a d_requestort is beállítja Lua nélkül: az ECS logikának szüksége van
• Erősítse meg az IXFR-t, amely kihagyja az utolsó sor kiegészülési részét
• A kérvényező 512-nél kisebb összeget érje el, mint 512
• 16 bites URI-értéket készít, fixen rögzíti a jegyet # 5443
• kitörés idézve; javítja a jegyet # 5401
• Fejlesztések:
• Ezzel az EDNS ügyfél alhálózat kompatibilis lesz a csomagkapcsolt cache-vel, a meglévő változó válasz eszköz használatával.
• Távolítson el elég előjegyezéseket a gyorsítótárból, és ne csak kérdezze meg
• A lejárt gyorsítótárbeli bejegyzéseket az elülső oldalra helyezze el, így azok ki vannak törölve
• megváltoztatta a b.root-servers.net IPv6 címét
• Az e.root-servers.net IPv6 most már
• hello decaf alírók (ED25519 és ED448) 15. tesztelési algoritmus: 'Decaf ED25519' -> 'Decaf ED25519' -> 'Decaf ED25519' Aláírás és igazolás ok, aláírás 68usec, ellenőrizze a 93usec tesztelési algoritmust 16: 'Decaf ED448' - & gt; 'Decaf ED448' - & gt; 'Decaf ED448' Aláírás és igazolás ok, aláírás 163usec, igazolás 252usec
• ne használja a libdecaf ed25519 aláírót, ha a libsodium engedélyezve van
• nem törli az üzenetet az ed25519-es aláíróban
• A bejövő-edns-alnet letiltása alapértelmezés szerint

Az újdonság a 4.0.4-es verzióban:

• Hibajavítások:
• commit 658d9e4: Ellenőrizze a TSIG aláírást az IXFR (Security Advisory 2016-04)
• commit 91acd82: Ne elemezze a hamis RR-ket a lekérdezésekben, amikor nincs szükségünk rájuk (Security Advisory 2016-02)
• commit 400e28d: A hibás hosszúságú csekk ellenőrzése DNSName-ben a qtype vagy qclass kivonatakor
• commit 2168188: rec: Várjon, amíg a démonizálás elindítja az RPZ és a protobuf szálakat
• commit 3beb3b2: Be (újra) begépelés, gyõzõ NS-rekordok lekérése
• commit cfeb109: rec: Fix src / dest inverzió a TCP lekérdezések protobuf üzenetében
• commit 46a6666: NSEC3 opció és Bogus nem biztonságos előremenő javítások
• commit bb437d4: Az RPZ customPolicy programban kövesse a kapott CNAME
kifejezést
• commit 6b5a8f3: DNSSEC: ne zavarja a zéró konfigurált DS-ket
• commit 1fa6e1b: Ne üsse össze az üres lekérdező gyűrűt
• commit bfb7e5d: Állítsa be az eredményt NoError-nak, mielőtt hívna preresolve
• Kiegészítések és fejlesztések:
• commit 7c3398a: Adja meg a maximális rekurzív mélységet a belső rekurzió számának korlátozásához
• commit 3d59c6f: Az épület javítása ECDSA támogatással letiltva a libcrypto
-ben
• commit 0170a3b: Add requestorId és néhány megjegyzést a protobuf definíciós fájlhoz
• commit d8cd67b: Tegye észre a negcache továbbított zónák
• commit 46ccbd6: Cache rekordok az átirányított zónához delegált zónákra
• commit 5aa64e6, commit 5f4242e és commit 0f707cd: DNSSEC: Implement keysearch a zóna-kivágások alapján
• commit ddf6fa5: rec: Segítség hozzáadása boost :: context & gt; = 1.61
számára
• commit bb6bd6e: Add getRecursorThreadId () Lua-hoz, azonosítva az aktuális szálat
• commit d8baf17: Kezelje a CNAME-eket a biztonságos zónák csúcsán más biztonságos zónákra

Az újdonság a 4.0.0-s verzióban:

• Sok mindent megváltoztattunk a névszerveren:
• Átköltözött a C ++ 2011-re, a C ++ egy tisztább, erősebb verziója, amely lehetővé tette számunkra, hogy sok helyen javítsuk a megvalósítás minőségét.c
• A dedikált infrastruktúrát olyan DNS-nevek kezelésére hajtotta végre, amelyek teljes mértékben "DNS-eredetű" és kevésbé kell menekülni és elkerülhetetlen.
• A DNS rekordok bináris tárolására váltott mindenhol.
• Áthelyezte az ACL-eket egy dedikált Netmask Tree-re.
• Végrehajtotta az RCU változatát a konfigurációs változásokhoz
• A memóriaelosztó használatát eszközölte, lényegesen csökkentette a malloc hívások számát.
• A Lua hook-infrastruktúrát a LuaWrapper használatával újították fel; a régi szkriptek nem fognak működni, de az új kezelőfelület alatt az új szkriptek könnyebben írhatók.
• A változások miatt a PowerDNS Recursor 4.0.0 majdnem nagyságrenddel gyorsabb, mint a 3.7 ág.
• DNSSEC feldolgozás: ha DNSSEC rekordokat kér, akkor hozzájut.
• DNSSEC érvényesítés: ha ilyen konfigurálva van, a PowerDNS elvégzi a válaszok DNSSEC érvényesítését.
• Teljesen felújított Lua scripting API, amely "DNSName" natív és ezért sokkal kevesebb hiba hajlamos, és valószínűleg gyorsabb a leggyakrabban használt forgatókönyvek esetében. Néhány másodpercen belül betölti és indexeli az 1 millió tartományi szokásos irányelvlistát.
• Új aszinkron per-domain, per-ip cím, lekérdezőmotor. Ez lehetővé teszi a PowerDNS számára, hogy valós időben konzultáljon egy külső szolgáltatással az ügyféllel vagy a domain státuszával. Ez például azt jelenti, hogy a DHCP-kiszolgálót az IP-cím alapján (például a 82-es opció alapján) fel kell keresni.
• RPZ (fájlból, AXFR vagy IXFR) támogatás. Ezzel a hardverünkön 5 másodperc alatt töltjük be a legnagyobb Spamhaus zónát, amely kb. 2 millió utasítást tartalmaz.
• Az összes gyorsítótár most törölhető az utótagokra, mert a kanonikus rendelés miatt.
• Sok, sokkal relevánsabb teljesítménymutató, köztük a felfelé irányuló hiteles teljesítménymérések ("én vagy a lassú hálózat").
• EDNS ügyfél alhálózati támogatás, beleértve az alhálózat-változó válaszok gyorsítótár-figyelését.
• DNSSEC:
• A fenti funkciók szerint a PowerDNS Recursor most már DNSSEC feldolgozási és kísérleti DNSSEC érvényesítési támogatással rendelkezik. A DNSSEC feldolgozás azt jelenti, hogy a névkiszolgáló visszaküldi az RRSIG rekordokat, ha ezt az ügyfél kéri (a DO-bit segítségével), és mindig lekéri a RRSIG-et, még akkor is, ha az ügyfél nem kéri. Végrehajtja az érvényesítést, és beállítja az AD-bitet a válaszban, ha az ügyfél kéri az érvényesítést. Teljesen lefutott DNSSEC módban a PowerDNS Recursor érvényesítheti a válaszokat, és érvényesítheti az AD-bitet hitelesített válaszokban, ha az ügyfél kéri, és a SERVFAIL hamis válaszokat kap minden ügyfél számára.
• A DNSSEC támogatás jelenleg kísérleti, de funkcionális, mivel 2 korlátja van:
• Ellenőrzött negatív válaszok, de az NSEC bizonyíték nincs teljesen ellenőrizve.
• Olyan zónák, amelyeknek a CNAME a csúcsán van (ami egyébként "rossz"), hitelesíti a Bogusot.
• Ha a DNSSEC engedélyezve van, és hibás domaineket észlel, tegyen fel fájlt.

Újdonság a 3.7.2-es verzióban:

• A frissítés legfontosabb része egy fix a CVE-2015-1868-ra.

Az újdonság a 3.6.2-es verzióban:

• commit ab14b4f: expedite servfail generálása ezdns-szerű hibákhoz (teljes lekérdezés esetén a lekérdezés feloldása, ha több mint 50 felderítést érünk el)
• commit 42025be: A PowerDNS elindul és időnként lekérdezi a kiadás biztonsági állapotát. A funkció részletesebb leírása és kikapcsolása megtalálható a 2. pontban, "Biztonsági lekérdezések".
• commit 5027429: Nem adtuk meg a megfelelő helyi helyfoglalási címet a Lua számára a rekurzus TCP / IP lekérdezéseihez. Ezenkívül megpróbálnánk egy filedescriptort keresni, amely nem volt olyan nyitott térképen, amely elképzelhetően összeomláshoz vezetne. Zárja be az 1828-as jegyet, köszönetet mond Winfriednek a jelentéshez
• commit 752756c: Szinkronizálja a beágyazott yahttp másolatot. API: Cserélje le a HTTP Basic auth statikus kulcsot az egyedi fejlécben
• commit 6fdd40d: Add missing #include a rec-channel.hh-hoz (ez a javítás OS X-re épül).

Az újdonság a 3.5.3-as verzióban:

• 3.5 az ANY típusú lekérdezést az A + AAAA-val váltotta fel az IPv6-felhasználók számára engedélyezett felhasználók számára. A Darren Gamble kiterjedt mérései azt mutatták, hogy ez a változás nem triviális teljesítményhatást eredményezett. Most csináljuk az ANY lekérdezést, mint korábban, de szükség esetén az egyes A + AAAA lekérdezésekre térünk vissza. Változás a 1147a8b parancsban.
• A d.root-servers.net IPv6-címét a 66cf384 parancsban adták hozzá, köszönet Ralf van der Enden.
• Most már nem zéró opkóddal (pl. speciális csomagokkal, mint a DNS UPDATE) csomagokat dobunk korábban. Ha a kísérleti pdns-distributes-queries zászló engedélyezve van, akkor ez a javítás elkerüli a balesetet. A normál beállítások soha nem voltak hajlamosak ennek a balesetnek. Kód a 35bc40d-ben, bezárja a 945-es jegyet.
• A TXT kezelése némileg javult a 4b57460-as, 795-ös zárjegyen.

Az újdonság a 3.3-as verzióban:

• Ez a kiadás számos kicsi, kapcsolja ki az IPv6-támogatást, és fontos szerepet játszik a Lua-parancsfájlok sok felhasználójánál.
• Ezenkívül javult a méretezhetőség a Solaris 10 rendszeren.
• Ez a kiadás megegyezik az RC3-val.

Az újdonság a 3.3 RC3 verzióban:

• Ez a verzió számos kicsi, de tartós problémát javít, kijavítja az IPv6 támogatását, és fontos szerepet játszik a Lua szkriptek sok felhasználójának.
• Ezenkívül javult a méretezhetőség a Solaris 10 rendszeren.
• Az RC2 óta eltávolítottuk az ártalmatlan, de ijesztő üzenetet egy lejárt gyökérről.

Az újdonság a 3.3 RC2 verzióban:

• Ez a kiadás számos kicsi, lekerekíti az IPv6-támogatást, és fontos szerepet játszik a Lua-parancsfájlok sok felhasználójának.
• Ezenkívül javult a méretezhetőség a Solaris 10 rendszeren.
• Az RC1 óta az RHEL5 összeállítása rögzített.