Ano passado falamos aqui no blog sobre o PowerDNS que é um servidor DNS de código aberto e que é uma excelente opção a se levar em consideração, pois basicamente este é um servidor DNS com um banco de dados (dentro do qual ele suporta uma grande variedade de bancos de dados, incluindo MySQL, PostgreSQL, SQLite3, Oracle e Microsoft SQL Server, bem como em LDAP) e arquivos de texto simples no formato BIND, como backend tornando mais fácil gerenciar um grande número de entradas DNS.
Agora desta vez vamos compartilhar a novidade de um projeto desenvolvido a partir da mesma base e que recentemente recebeu uma nova versão que é o "PowerDNS Recursor".
Sobre o Recursor PowerDNS
Este é responsável pela tradução recursiva de nomes y é baseado na mesma base de codifique aquele servidor PowerDNS, mas com a diferença de que são desenvolvidos como parte de diferentes ciclos de desenvolvimento e lançados como produtos separados.
PowerDNS Recursor (pdns_recursor) é um resolvedor DNS, que é executado como um processo separado.
Esta parte do PowerDNS é de thread único, mas é escrito como tendo vários threads, usando Boost e a biblioteca MTasker, que é uma biblioteca cooperativa multitarefa simples. Ele também está disponível como um pacote independente.
O servidor fornece ferramentas para coleta de estatísticas remotas, Suporta reinicialização instantânea, possui um motor integrado para conectar drivers de linguagem Lua, suporta totalmente DNSSEC, DNS64, RPZ (Response Policy Zones), permite que você conecte listas negras.
Além disso permite gravar os resultados da resolução na forma de arquivos de zona BIND. Para garantir alto desempenho, mecanismos modernos de multiplexação de conexão são usados no FreeBSD, Linux e Solaris (kqueue, epoll, / dev / poll), bem como um analisador de alto desempenho para pacotes DNS que podem lidar com dezenas de milhares de solicitações paralelas .
Se você quiser saber mais sobre ele, pode conferir suas características neste link
O que há de novo no PowerDNS Recursor 4.3
Nesta nova versão, os desenvolvedores trabalharam para evitar vazamentos de informações sobre o domínio solicitado e aumentar a privacidade, o mecanismo de minimização de QNAMES (RFC-7816), que funciona em «relaxado«, Está ativado por padrão.
Essência do mecanismo é que o solucionador não menciona o nome do host completo em suas consultas de servidor de nomes upstream.
Por outro lado a capacidade de registrar solicitações de saída foi implementada em um servidor autorizado e as respostas a eles no formato dnstap (Para uso, é necessária uma montagem com a opção –enable-dnstap.
O processamento simultâneo de várias solicitações recebidas transmitidas por uma conexão TCP é fornecido e os resultados são retornados assim que estiverem prontos e não na ordem das solicitações na fila. O limite de solicitações simultâneas é determinado pelo «máximo de solicitação simultânea por conexão TCP".
Uma técnica de rastreamento de domínio observada recentemente foi implementada (NOD) que pode ser usado para identificar domínios suspeitos ou domínios relacionados a atividades maliciosas, como disseminação de malware, participação em phishing e uso para gerenciar botnets.
O método é baseado na identificação de domínios que não foram acessados antes e analisar esses novos domínios. Em vez de rastrear novos domínios em todo o banco de dados de todos os domínios visualizados, o que requer recursos significativos, NOD usa uma estrutura SBF probabilística (Filtro Estável Bloom) para minimizar o consumo de memória e CPU. Para habilitá-lo, você deve especificar «new-domain-tracking = yes»Nas configurações.
Além disso quando executado no systemd, o processo Recursor do PowerDNS agora é executado como o usuário sem privilégios PDNS-recursor em vez de root. Para sistemas sem systemd e sem chroot, o diretório padrão / var / run / pdns-recursor agora usado para armazenar soquete de controle e arquivo pid.
Por fim, para quem tiver interesse em experimentá-lo, poderá consultar os detalhes de sua instalação em este link.