L'année dernière, nous avons parlé ici sur le blog de PowerDNS qui est un serveur DNS open source et qui est une excellente option à prendre en compte car fondamentalement cela est un serveur DNS avec une base de données (dans lequel il prend en charge une grande variété de bases de données, notamment MySQL, PostgreSQL, SQLite3, Oracle et Microsoft SQL Server, ainsi que LDAP) et fichiers texte brut au format BIND, comme backend facilitant la gestion d'un grand nombre d'entrées DNS.
Maintenant, cette fois, nous allons partager l'actualité d'un projet développé à partir de la même base et qui a récemment reçu une nouvelle version qui est "PowerDNS Recursor".
À propos de PowerDNS Recursor
Celui-ci est responsable de la traduction récursive des noms y est basé sur la même base de coder ce serveur PowerDNS, mais avec la différence qu'ils sont développés dans le cadre de différents cycles de développement et publiés en tant que produits séparés.
PowerDNS Recursor (pdns_recursor) est un résolveur DNS, qui s'exécute comme un processus distinct.
Cette partie de PowerDNS est à thread unique, mais il est écrit comme ayant plusieurs threads, en utilisant Boost et la bibliothèque MTasker, qui est une simple bibliothèque coopérative multitâche. Il est également disponible en tant que package autonome.
Le serveur fournit des outils de collecte de statistiques à distance, prend en charge le redémarrage instantané, dispose d'un moteur intégré pour connecter les pilotes de langue Lua, prend pleinement en charge DNSSEC, DNS64, RPZ (zones de stratégie de réponse), vous permet de connecter des listes noires.
En plus que vous permet d'enregistrer les résultats de résolution sous la forme de fichiers de zone BIND. Pour garantir des performances élevées, des mécanismes de multiplexage de connexion modernes sont utilisés dans FreeBSD, Linux et Solaris (kqueue, epoll, / dev / poll), ainsi qu'un analyseur performant pour les paquets DNS pouvant gérer des dizaines de milliers de requêtes parallèles.
Si vous voulez en savoir plus, vous pouvez vérifier ses caractéristiques dans ce lien
Nouveautés de PowerDNS Recursor 4.3
Dans cette nouvelle version, les développeurs ont travaillé pour empêcher les fuites d'informations à propos du domaine demandé et augmentez la confidentialité, le mécanisme de minimisation de QNAMES (RFC-7816), qui fonctionne dans «détendu«, Est activé par défaut.
L'essence du mécanisme est que le solveur ne mentionne pas le nom d'hôte complet dans vos requêtes de serveur de noms en amont.
Par ailleurs la possibilité de consigner les demandes sortantes a été mise en œuvre sur un serveur autorisé et les réponses au format dnstap (Pour une utilisation, un assembly avec l'option –enable-dnstap est requis.
Le traitement simultané de plusieurs requêtes entrantes transmises via une connexion TCP est assuré et les résultats sont renvoyés dès qu'ils sont prêts et non dans l'ordre des requêtes dans la file d'attente. La limite des demandes simultanées est déterminée par le «max-demande-simultanée-par-connexion-tcp«.
Une technique de suivi de domaine récemment observée a été mise en œuvre (NOD) que peut être utilisé pour identifier les domaines suspects ou des domaines liés à des activités malveillantes, telles que la propagation de logiciels malveillants, la participation au phishing et l'utilisation pour gérer les botnets.
La méthode est basée sur l'identification des domaines qui n'ont pas été consultés auparavant et analyser ces nouveaux domaines. Au lieu d'analyser de nouveaux domaines par rapport à l'ensemble de la base de données de tous les domaines consultés, ce qui nécessite des ressources importantes, NOD utilise une structure SBF probabiliste (Filtre de floraison stable) pour minimiser la consommation de mémoire et de processeur. Pour l'activer, vous devez spécifier «new-domain-tracking = oui»Dans les paramètres.
En plus que lorsqu'il est exécuté dans systemd, le processus Recurseur de PowerDNS maintenant s'exécute en tant qu'utilisateur non privilégié pdns-récurseur au lieu de root. Pour les systèmes sans systemd et sans chroot, le répertoire par défaut / var / run / pdns-recursor maintenant utilisé pour stocker le socket de contrôle et le fichier pid.
Enfin, pour ceux qui sont intéressés à l'essayer, ils peuvent consulter les détails de son installation dans ce lien.