W zeszłym roku rozmawialiśmy tutaj na blogu o PowerDNS, który jest serwerem DNS typu open source i który jest doskonałą opcją do wzięcia pod uwagę, ponieważ w zasadzie to to serwer DNS z bazą danych (w ramach których obsługuje szeroką gamę baz danych, w tym MySQL, PostgreSQL, SQLite3, Oracle i Microsoft SQL Server, a także w LDAP) i zwykłe pliki tekstowe w formacie BIND, jako zaplecze ułatwiając zarządzanie dużą liczbą wpisów DNS.
Teraz tym razem mamy zamiar podzielić się wiadomością o projekcie rozwijanym z tej samej bazy, który niedawno otrzymał nową wersję, czyli „PowerDNS Recursor”.
O programie PowerDNS Recursor
Odpowiada za rekurencyjne tłumaczenie nazw y opiera się na tej samej podstawie zakoduj ten serwer PowerDNS, ale z tą różnicą, że są one opracowywane w ramach różnych cykli rozwojowych i wydawane jako oddzielne produkty.
PowerDNS Recursor (pdns_recursor) to resolver DNS, który działa jako oddzielny proces.
Ta część PowerDNS jest jednowątkowa, ale jest napisane jako wielowątkowe, przy użyciu Boost i biblioteki MTasker, która jest prostą współpracującą biblioteką wielozadaniową. Jest również dostępny jako samodzielny pakiet.
Serwer udostępnia narzędzia do zdalnego zbierania statystyk, Obsługuje natychmiastowy restart, ma wbudowany silnik do łączenia sterowników języka Lua, w pełni obsługuje DNSSEC, DNS64, RPZ (Response Policy Zones), umożliwia podłączenie czarnych list.
poza tym umożliwia zapis wyników rozdzielczości w postaci plików stref BIND. Aby zapewnić wysoką wydajność, w FreeBSD, Linux i Solaris stosowane są nowoczesne mechanizmy multipleksowania połączeń (kqueue, epoll, / dev / poll), a także wydajny parser pakietów DNS, który może obsłużyć dziesiątki tysięcy równoległych żądań.
Jeśli chcesz dowiedzieć się o nim więcej, możesz sprawdzić jego charakterystykę w tym linku.
Co nowego w PowerDNS Recursor 4.3
W tej nowej wersji programiści pracowali nad zapobieganiem wyciekom informacji o żądanej domenie i zwiększyć prywatność, mechanizm minimalizacji QNAMES (RFC-7816), który działa w «zrelaksowany«, Domyślnie włączone.
Esencja mechanizmu polega na tym, że solver nie podaje pełnej nazwy hosta w zapytaniach nadrzędnego serwera nazw.
Z drugiej strony wdrożono możliwość logowania żądań wychodzących na autoryzowanym serwerze a odpowiedzi na nie w formacie dnstap (Do użycia wymagany jest zespół z opcją –enable-dnstap.
Zapewnione jest jednoczesne przetwarzanie wielu żądań przychodzących przesyłanych przez połączenie TCP, a wyniki są zwracane, gdy tylko są gotowe, a nie w kolejności żądań w kolejce. Limit jednoczesnych żądań jest określony przez «max-współbieżne-żądanie-na-połączenie-tcp".
Zaimplementowano ostatnio zaobserwowaną technikę śledzenia domen (NOD) to może służyć do identyfikacji podejrzanych domen lub domeny związane ze złośliwymi działaniami, takimi jak rozprzestrzenianie złośliwego oprogramowania, udział w wyłudzaniu informacji i wykorzystywanie do zarządzania botnetami.
Metoda opiera się na identyfikacji domen do których wcześniej nie uzyskano dostępu i przeanalizuj te nowe domeny. Zamiast indeksować nowe domeny w całej bazie danych wszystkich przeglądanych domen, co wymaga znacznych zasobów, NOD wykorzystuje probabilistyczną strukturę SBF (Stabilny filtr Blooma) aby zminimalizować zużycie pamięci i procesora. Aby ją włączyć, musisz określić «new-domain-tracking = yes»W ustawieniach.
poza tym po uruchomieniu w systemd, proces Rekursor z PowerDNS teraz działa jako nieuprzywilejowany użytkownik pdns-rekursor zamiast roota. W przypadku systemów bez systemd i bez chroot, domyślny katalog / var / run / pdns-recursor teraz używany do przechowywania gniazda sterującego i pliku pid.
Wreszcie, ci, którzy są zainteresowani jej wypróbowaniem, mogą zapoznać się ze szczegółami instalacji w ten link