V loňském roce jsme zde na blogu hovořili o PowerDNS, který je serverem DNS s otevřeným zdrojovým kódem a který je vynikající možností vzít v úvahu, protože v zásadě je server DNS s databází (v rámci kterého podporuje širokou škálu databází, včetně MySQL, PostgreSQL, SQLite3, Oracle a Microsoft SQL Server, stejně jako v LDAP) a soubory prostého textu ve formátu BIND jako backend což usnadňuje správu velkého počtu záznamů DNS.
Tentokrát budeme sdílet novinky o projektu vyvinutém ze stejné základny, který nedávno obdržel novou verzi, která je „PowerDNS Recursor“.
O programu PowerDNS Recursor
To je zodpovědné za rekurzivní překlad jmen y je založen na stejném základě kód tohoto serveru PowerDNS, ale s tím rozdílem, že jsou vyvíjeny jako součást různých vývojových cyklů a vydávány jako samostatné produkty.
PowerDNS Recursor (pdns_recursor) je překladač DNS, který běží jako samostatný proces.
Tato část PowerDNS je s jedním vláknem, ale je napsáno, že má více vláken, pomocí Boost a knihovny MTasker, což je jednoduchá kooperativní knihovna multitaskingu. Je k dispozici také jako samostatný balíček.
Server poskytuje nástroje pro vzdálený sběr statistik, podporuje okamžitý restart, má vestavěný modul pro připojení jazykových ovladačů Lua, plně podporuje DNSSEC, DNS64, RPZ (zóny zásad odezvy), umožňuje připojení černých seznamů.
kromě toho umožňuje zaznamenat výsledky rozlišení ve formě souborů zóny BIND. K zajištění vysokého výkonu se ve FreeBSD, Linuxu a Solarisu používají moderní multiplexní mechanismy připojení (kqueue, epoll, / dev / poll) a také vysoce výkonný analyzátor pro pakety DNS, který dokáže zpracovat desítky tisíc paralelních požadavků.
Pokud se o něm chcete dozvědět více, můžete zkontrolovat jeho vlastnosti v tomto odkazu.
Co je nového v PowerDNS Recursor 4.3
V této nové verzi vývojáři pracovali na zabránění úniku informací o požadované doméně a zvýšit soukromí, mechanismus minimalizace QNAMES (RFC-7816), který pracuje v «uvolněně«, Ve výchozím nastavení je povoleno.
Vůně mechanismu je, že řešitel nezmiňuje celé jméno hostitele ve vašich upstream dotazech na jmenný server.
Na druhou stranu byla implementována schopnost protokolovat odchozí požadavky na autorizovaném serveru a odpovědi na ně ve formátu dnstap (Pro použití je vyžadována sestava s volbou –enable-dnstap.
Je poskytováno současné zpracování více příchozích požadavků přenášených přes připojení TCP a výsledky jsou vráceny, jakmile jsou připraveny, a nikoli v pořadí požadavků ve frontě. Limit souběžných požadavků určuje «max-souběžný požadavek-na-TCP spojení".
Byla implementována nedávno pozorovaná technika sledování domény (NOD) to lze použít k identifikaci podezřelých domén nebo domény související se škodlivými činnostmi, jako je šíření malwaru, účast na phishingu a používání ke správě botnetů.
Metoda je založena na identifikaci domén které nebyly dříve zpřístupněny a analyzovat tyto nové domény. Místo procházení nových domén proti celé databázi všech zobrazených domén, což vyžaduje značné prostředky, NOD používá pravděpodobnostní strukturu SBF (Stabilní Bloomův filtr) minimalizovat spotřebu paměti a CPU. Chcete-li to povolit, musíte zadat «new-domain-tracking = yes»V nastavení.
kromě toho při spuštění v systemd, proces Rekurzor nyní od PowerDNS běží jako neprivilegovaný uživatel pdns-rekurzor místo root. Pro systémy bez systemd a bez chroot, výchozí adresář / var / run / pdns-recursor nyní slouží k ukládání řídicího soketu a souboru pid.
A konečně, pro ty, kteří mají zájem o vyzkoušení, se mohou podívat na podrobnosti jeho instalace v tento odkaz