Praėjusiais metais tinklaraštyje kalbėjome apie „PowerDNS“, kuris yra atviro kodo DNS serveris ir į kurį yra puiki galimybė atsižvelgti, nes iš esmės tai yra DNS serveris su duomenų baze (kuriame palaiko įvairiausias duomenų bazes, įskaitant „MySQL“, „PostgreSQL“, „SQLite3“, „Oracle“ ir „Microsoft SQL Server“, taip pat LDAP) ir paprasto teksto failai BIND formatu kaip užpakalinė dalis todėl lengva valdyti daugybę DNS įrašų.
Dabar šį kartą pasidalinsime naujienomis apie projektą, sukurtą toje pačioje bazėje ir neseniai gavusį naują versiją „PowerDNS Recursor“.
Apie „PowerDNS Recursor“
Tai yra atsakinga už rekursinį vardų vertimą y remiasi tuo pačiu pagrindu koduoti tą serverį „PowerDNS“, tačiau tuo skirtumu, kad jie yra sukurti kaip skirtingų kūrimo ciklų dalis ir išleidžiami kaip atskiri produktai.
„PowerDNS Recursor“ (pdns_recursor) yra DNS sprendiklis, kuris veikia kaip atskiras procesas.
Ši „PowerDNS“ dalis yra viena gija, bet parašyta, kad turi kelias gijas, naudojant „Boost“ ir „MTasker“ biblioteką, kuri yra paprasta daugiafunkcinė kooperatinė biblioteka. Jis taip pat yra atskiras paketas.
Serveris teikia nuotolinės statistikos rinkimo įrankius, palaiko momentinį perkrovimą, turi įmontuotą variklį, skirtą „Lua“ kalbos tvarkyklėms sujungti, visiškai palaiko DNSSEC, DNS64, RPZ (Response Policy Zones), leidžia prisijungti prie juodųjų sąrašų.
neskaitant to leidžia įrašyti skiriamosios gebos rezultatus BIND zonos failų pavidalu. Norint užtikrinti aukštą našumą, „FreeBSD“, „Linux“ ir „Solaris“ sistemose naudojami modernūs ryšių multipleksavimo mechanizmai („kqueue“, „epoll“, „/ dev / poll“), taip pat didelio našumo DNS paketų analizatorius, galintis apdoroti dešimtis tūkstančių lygiagrečių užklausų.
Jei norite sužinoti daugiau apie tai, galite patikrinti jo savybes šioje nuorodoje.
Kas naujo „PowerDNS Recursor 4.3“
Šioje naujojoje versijoje kūrėjai stengėsi išvengti informacijos nutekėjimo apie prašomą domeną ir padidinti privatumą, mažinimo mechanizmas QNAMES (RFC-7816), kuris veikia «atsipalaidavęs«, Įjungta pagal numatytuosius nustatymus.
Esmė mechanizmo yra tai, kad sprendėjas nemini viso kompiuterio vardo vardų serverio užklausose.
Kita vertus buvo įgyvendinta galimybė registruoti išeinančias užklausas autorizuotame serveryje ir atsakymai į juos dnstap formatu (Norint naudoti, reikia surinkimo su galimybe –enable-dnstap.
Teikiamas vienu metu kelių gaunamų užklausų, perduodamų TCP ryšiu, apdorojimas ir rezultatai grąžinami, kai tik jie yra paruošti, o ne eilėje esančių užklausų tvarka. Vienalaikių užklausų ribą nustato «„max-concurrent-request-per-tcp-connection“"
Buvo įdiegta neseniai pastebėta domeno stebėjimo technika (NOD) tai gali būti naudojamas įtartiniems domenams nustatyti arba domenai, susiję su kenkėjiška veikla, pvz., kenkėjiškų programų plitimu, dalyvavimu sukčiavime ir naudojimui valdyti robotų tinklus.
Metodas pagrįstas domenų identifikavimu į kuriuos anksčiau nebuvo patekę ir išanalizuokite šias naujas sritis. Užuot tikrinę naujus domenus visoje visų peržiūrėtų domenų duomenų bazėje, kuriai reikalingi dideli ištekliai, NOD naudoja tikimybinę SBF struktūrą (Stabilus žydėjimo filtras) sumažinti atminties ir procesoriaus suvartojimą. Norėdami jį įgalinti, turite nurodyti «new-domain-tracking = taip»Nustatymuose.
neskaitant to kai veikia sistemoje, procesas Rekursorius iš „PowerDNS“ dabar veikia kaip neprivilegijuotas vartotojas pdns-rekursorius vietoj šaknies. Sistemoms be systemd ir chroot - numatytasis katalogas / var / run / pdns-recursor dabar naudojamas valdymo lizdo ir pid failo saugojimui.
Galiausiai, norintiems išbandyti, jie gali sužinoti išsamią informaciją apie jos įdiegimą šią nuorodą.