PowerDNS Recursor

O PowerDNS Recursor é um servidor de nomes de resolução de software livre, portátil, de alta qualidade e de alto desempenho, um software de linha de comando que fornece aos administradores de sistema um conjunto abrangente e rico em recursos. tecnologias relacionadas a email e nomeação na Internet. Faz parte do conhecido pacote de software PowerDNS.

O PowerDNS é um software de servidor de nome daemon de software livre, escrito do zero, que fornece um servidor de nomes de alta performance, moderno e avançado com autoridade apenas. Ele faz interface com quase todos os bancos de dados e está em conformidade com todos os documentos padrões de DNS (Sistema de Nomes de Domínio) relevantes.

Os principais recursos incluem suporte completo a todos os padrões populares, suporte a DNS64, capacidade de reconfigurá-lo sem tempo de inatividade, suporte a medidas de segurança e listas de bloqueio, acesso remoto e local, medidas antifalsificação potentes, recondicionamento de resposta, interceptação de pergunta, NXDOMAIN redirecionamento, arquivos de zona BIND simples, API de controle direto e geração de respostas com script baseada em Lua.

Além disso, inclui recursos de alto nível que são comuns a todos os produtos PowerDNS, incluindo suporte a IPv4 (UDP e TCP), IPv6 (UDP e TCP), alto desempenho, somente leitura SNMP (Simple Network Management Protocol) ponte de estatísticas, bem como gráficos em tempo real por meio de estatísticas remotamente pesquisáveis.

O PowerDNS Recursor é um software muito poderoso que pode lidar com centenas de milhões de resoluções DNS, apoiadas por vários processadores e a mesma funcionalidade de script avançada usada no produto PowerDNS Authoritative Server. É um programa de resolução de DNS muito flexível e eficaz, escrito especialmente para sistemas GNU / Linux.

O PowerDNS está disponível em todas as principais distribuições Linux e usa uma arquitetura de back-end flexível, projetada especificamente para permitir o acesso a informações de DNS de qualquer fonte de dados. O software é escrito inteiramente na linguagem de programação C ++ e está disponível para download como instaladores nativos para sistemas operacionais Ubuntu / Debian e Red Hat / Fedora, bem como um arquivo fonte. Ele foi testado com sucesso em plataformas de hardware de 32 e 64 bits.

O que há de novo nesta versão:

• Melhorias:
• # 6550, # 6562: adicione uma opção de subárvore ao ponto de extremidade de liberação do cache da API.
• # 6566: use um canal separado e sem bloqueio para distribuir consultas.
• # 6567: Mover o tratamento de carbono / servidor da web / controle / estatísticas para um segmento separado.
• # 6583: adicione versões _raw para QName / ComboAddresses à API FFI.
• # 6611, # 6130: Atualize os anos de copyright para 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: corrija um aviso no botan & gt; = 2.5.0.
• Correções de bugs:
• # 6313: Conte uma pesquisa em uma zona de autenticação interna como uma falha de cache.
• # 6467: Não aumente os contadores de validações do DNSSEC ao executar com o processo sem validação.
• # 6469: Respeite o tempo limite do AXFR ao conectar-se ao servidor RPZ.
• # 6418, # 6179: Aumente o tamanho do MTasker para evitar falhas no desenrolar das exceções (Chris Hofstaedtler).
• # 6419, # 6086: Use o tempo SyncRes em nossos testes de unidade ao verificar a validade do cache (Chris Hofstaedtler).
• # 6514, # 6630: Adicione -rdynamic a C {, XX} FLAGS quando construirmos com o LuaJIT.
• # 6588, # 6237: Atrase o carregamento de zonas RPZ até que a análise esteja concluída, corrigindo uma condição de corrida.
• # 6595, # 6542, # 6516, # 6358, # 6517: Reordenar inclui para evitar conflito L de aumento.

O que há de novo na versão:

• Correções de bugs:
• # 5930: Não assuma que o registro TXT é o primeiro registro para o segredo
• # 6082: não adicione registros não IN ao cache

O que há de novo na versão 4.0.6:

• Correções de bugs:
• Use o ECS de entrada para pesquisa de cache se usar-incoming-edns-subnet estiver definido
• ao fazer uma máscara de rede a partir de um comboaddress, negligenciamos a zerar a porta. Isso pode levar a uma proliferação de netmasks.
• Não tome a fonte inicial do ECS para um escopo se o EDNS estiver desativado
• também defina d_requestor sem Lua: a lógica do ECS precisa dele
• Fix IXFR ignorando a parte de adições da última sequência
• Tratar o tamanho da carga útil do solicitante menor que 512 como igual a 512
• faz inteiros de URI 16 bits, corrige ticket # 5443
• cancelar a citação; corrige ticket # 5401
• Melhorias:
• com isso, a sub-rede do cliente EDNS torna-se compatível com o cache de pacotes, usando o recurso de resposta a variáveis ​​existente.
• Remover apenas entradas suficientes do cache, não mais do que solicitado
• Mover as entradas de cache expiradas para a frente para que elas sejam eliminadas
• alterou o endereço IPv6 do b.root-servers.net
• e.root-servers.net tem IPv6 agora
• sinalizadores de descafeinado (ED25519 e ED448) Algoritmo de teste 15: 'Decaf ED25519' - & gt; 'Descafeinado ED25519' - & gt; 'Decaf ED25519' Assinatura & verificação ok, assinatura 68usec, verificação 93usec Algoritmo de teste 16: 'Decaf ED448' - & gt; 'Decaf ED448' - & gt; "Decaf ED448" Assinatura e verificação ok, assinatura 163usec, verifique 252usec
• não use o assinante libdecaf ed25519 quando libsodium estiver ativado
• não hash a mensagem no assinante ed25519
• Desativar use-incoming-edns-subnet por padrão

O que há de novo na versão 4.0.4:

• Correções de bugs:
• commit 658d9e4: Verifique a assinatura do TSIG no IXFR (Security Advisory 2016-04)
• commit 91acd82: Não analise RRs espúrios em consultas quando não precisarmos deles (Security Advisory 2016-02)
• commit 400e28d: Corrigir a verificação de tamanho incorreto no DNSName ao extrair qtype ou qclass
• commit 2168188: rec: Aguarde até depois da daemonizing para iniciar o RPZ e os threads de protobuf
• commit 3beb3b2: Em (re) priming, busque os registros NS raiz
• commit cfeb109: rec: corrija a inversão src / dest na mensagem protobuf para consultas TCP
• commit 46a6666: optec NSEC3 e correções precárias de Bogus inseguras
• commit bb437d4: Na customPolicy do RPZ, siga o CNAME
resultante
• commit 6b5a8f3: DNSSEC: não seja falso em zero DSs configurados
• commit 1fa6e1b: Não trave em um anel de consulta vazio
• commit bfb7e5d: Defina o resultado como NoError antes de chamar preresolve
• Adições e aprimoramentos:
• commit 7c3398a: Adiciona profundidade máxima de recursão para limitar o número de recursões internas
• commit 3d59c6f: Corrigir construção com suporte a ECDSA desativado no libcrypto
• commit 0170a3b: Adicione requestorId e alguns comentários ao arquivo de definição do protobuf
• commit d8cd67b: Torne as zonas encaminhadas do negcache informadas
• commit 46ccbd6: Registros de cache para zonas às quais foram delegadas de uma zona encaminhada
• commit 5aa64e6, commit 5f4242e e commit 0f707cd: DNSSEC: Implementa a pesquisa de chaves com base em cortes de zona
• commit ddf6fa5: rec: Adicione suporte para boost :: context & gt; = 1.61
• commit bb6bd6e: Inclua getRecursorThreadId () em Lua, identificando o encadeamento atual
• commit d8baf17: Lidar com CNAMEs no ápice de zonas seguras para outras zonas seguras

O que há de novo na versão 4.0.0:

• Alteramos muitas coisas internamente para o servidor de nomes:
• Movido para o C ++ 2011, uma versão mais limpa e mais potente do C ++ que nos permitiu melhorar a qualidade da implementação em muitos lugares.c
• Implementou uma infra-estrutura dedicada para lidar com nomes de DNS que é totalmente & quot; DNS Nativo & quot; e precisa de menos fugir e sem fugir.
• Comutada para armazenamento binário de registros DNS em todos os lugares.
• Movido ACLs para uma árvore de máscara de rede dedicada.
• Implementou uma versão do RCU para alterações de configuração
• Instrumentado nosso uso do alocador de memória, número reduzido de chamadas de malloc substancialmente.
• A infra-estrutura do gancho Lua foi refeita usando o LuaWrapper; scripts antigos não funcionarão mais, mas novos scripts são mais fáceis de escrever sob a nova interface.
• Devido a essas mudanças, o PowerDNS Recursor 4.0.0 é quase uma ordem de magnitude mais rápida que o ramo 3.7.
• Processamento de DNSSEC: se você solicitar registros de DNSSEC, você os obterá.
• Validação DNSSEC: se configurado, o PowerDNS realiza a validação DNSSEC de suas respostas.
• API de script Lua completamente reformulada que é & quot; DNSName & quot; nativo e, portanto, muito menos propenso a erros e, provavelmente, mais rápido para os cenários mais usados. Carrega e indexa uma lista de critérios personalizados de 1 milhão de domínios em poucos segundos.
• Novo endereço assíncrono por domínio, por endereço IP, mecanismo de consulta. Isso permite que o PowerDNS consulte um serviço externo em tempo real para determinar o status do cliente ou do domínio. Isso pode significar, por exemplo, procurar a identidade real do cliente de um servidor DHCP com base no endereço IP (opção 82, por exemplo).
• Suporte a RPZ (de arquivo, sobre AXFR ou IXFR). Isso carrega a maior área de Spamhaus em 5 segundos em nosso hardware, contendo cerca de 2 milhões de instruções.
• Todos os caches agora podem ser apagados em sufixos, por causa da ordenação canônica.
• Múltiplas métricas de desempenho mais relevantes, incluindo medidas autoritativas de desempenho upstream ("sou eu ou a rede que está lenta").
• Suporte à sub-rede do cliente EDNS, incluindo reconhecimento de cache de respostas que variam de sub-rede.
• DNSSEC:
• Conforme declarado na seção de recursos acima, o PowerDNS Recursor agora tem suporte de validação DNSSEC e processamento DNSSEC experimental. O processamento DNSSEC significa que o servidor de nomes retornará os registros RRSIG quando solicitado pelo cliente (por meio do DO-bit) e sempre recuperará os RRSIGs mesmo que o cliente não solicite. Ele executará a validação e configurará o bit do AD na resposta se o cliente solicitar validação. No modo DNSSEC completo, o PowerDNS Recursor validará as respostas e definirá o AD-bit em respostas validadas se o cliente o solicitar e o SERVFAIL responderá de forma falsa a todos os clientes.
• O suporte a DNSSEC é marcado como experimental, mas funcional no momento, pois tem duas limitações:
• Respostas negativas validadas, mas a prova de NSEC não está totalmente verificada.
• As zonas que têm um CNAME no ápice (que é "errado" de qualquer maneira) são validadas como Bogus.
• Se você for executado com o DNSSEC ativado e perceber os domínios corrompidos, registre um problema.

O que há de novo na versão 3.7.2:

• A parte mais importante desta atualização é uma correção para CVE-2015-1868.

O que há de novo na versão 3.6.2:

• commit ab14b4f: apressa geração de servfail para falhas semelhantes a ezdns (aborta totalmente a resolução de consultas se atingirmos mais de 50 consultas)
• commit 42025be: O PowerDNS agora pesquisa o status de segurança de um lançamento na inicialização e periodicamente. Mais detalhes sobre esse recurso e como desativá-lo podem ser encontrados na Seção 2, "Pesquisa de segurança".
• commit 5027429: Não transmitimos o endereço de soquete 'local' correto para Lua para consultas TCP / IP no recursor. Além disso, tentaríamos procurar um filedcriptor que não estivesse lá em um mapa desbloqueado, o que poderia levar a falhas. Fecha o ticket 1828, obrigado Winfried por reportar
• commit 752756c: Sincronize a cópia yahttp incorporada. API: substitua a autenticação básica HTTP pela chave estática no cabeçalho personalizado
• commit 6fdd40d: adicione #include em falta ao rec-channel.hh (isto corrige a construção no OS X).

O que há de novo na versão 3.5.3:

• 3.5 substituiu nossa consulta ANY por A + AAAA para usuários com IPv6 ativado. Medições extensivas feitas por Darren Gamble mostraram que essa mudança teve um impacto não trivial no desempenho. Agora, fazemos a consulta ANY como antes, mas voltamos às consultas individuais A + AAAA quando necessário. Alterar no commit 1147a8b.
• O endereço IPv6 para d.root-servers.net foi adicionado no commit 66cf384, obrigado Ralf van der Enden.
• Agora, descartamos pacotes com um código de operação diferente de zero (por exemplo, pacotes especiais como DNS UPDATE) anteriormente. Se o sinalizador experimental pdns-distributes-queries estiver habilitado, essa correção evita uma falha. Configurações normais nunca foram suscetíveis a esse acidente. Código no commit 35bc40d, fecha ticket 945.

O processamento de
• TXT foi um pouco melhorado no commit 4b57460, fechando o ticket 795.

O que há de novo na versão 3.3:

• Esta versão corrige uma série de pequenos, mas persistentes problemas, rodadas o suporte ao IPv6 e adiciona um recurso importante para muitos usuários dos scripts Lua.
• Além disso, a escalabilidade no Solaris 10 foi aprimorada.
• Esta versão é idêntica à RC3.

O que há de novo na versão 3.3 RC3:

• Esta versão corrige uma série de pequenos, mas persistentes problemas, arredonda o suporte a IPv6 e adiciona um recurso importante para muitos usuários dos scripts Lua.
• Além disso, a escalabilidade no Solaris 10 foi aprimorada.
• Desde o RC2, uma mensagem inofensiva, mas assustadora, sobre uma raiz expirada foi removida.

O que há de novo na versão 3.3 RC2:

• Esta versão corrige uma série de pequenos, mas persistentes problemas, completa o suporte ao IPv6 e adiciona um recurso importante para muitos usuários dos scripts Lua.
• Além disso, a escalabilidade no Solaris 10 foi aprimorada.
• Desde RC1, a compilação no RHEL5 foi corrigida.