Минулого року ми говорили тут у своєму блозі про PowerDNS, який є DNS-сервером з відкритим кодом і який є чудовим варіантом для врахування, оскільки в основному це є DNS-сервером з базою даних (в межах якої він підтримує широкий спектр баз даних, включаючи MySQL, PostgreSQL, SQLite3, Oracle та Microsoft SQL Server, а також LDAP) та текстові файли у форматі BIND, як бекенд полегшує управління великою кількістю записів DNS.
Зараз цього разу ми збираємось поділитися новинами проекту, розробленого з тієї ж бази, який нещодавно отримав нову версію, що називається "PowerDNS Recursor".
Про PowerDNS-рекурсор
Це відповідає за рекурсивний переклад імен y базується на тій же основі код цього сервера PowerDNS, але з тією різницею, що вони розробляються як частина різних циклів розробки та випускаються як окремі продукти.
Рекурсор PowerDNS (pdns_recursor) - це вирішувач DNS, який працює як окремий процес.
Ця частина PowerDNS є однопоточною, але пишеться, що має кілька потоків, за допомогою Boost та бібліотеки MTasker, яка є простою багатозадачною кооперативною бібліотекою. Він також доступний як окремий пакет.
Сервер надає інструменти для віддаленого збору статистики, підтримує миттєву перезавантаження, має вбудований движок для підключення драйверів мови Lua, повністю підтримує DNSSEC, DNS64, RPZ (Response Policy Zones), дозволяє підключати чорні списки.
Крім того дозволяє записувати результати роздільної здатності у вигляді файлів зони BIND. Для забезпечення високої продуктивності у FreeBSD, Linux та Solaris використовуються сучасні механізми мультиплексування з'єднань (kqueue, epoll, / dev / poll), а також високопродуктивний аналізатор для DNS-пакетів, який може обробляти десятки тисяч паралельних запитів.
Якщо ви хочете дізнатись більше про це, ви можете перевірити його характеристики за цим посиланням.
Що нового в PowerDNS Recursor 4.3
У цій новій версії розробники працювали над тим, щоб запобігти витоку інформації про запитуваний домен та підвищити конфіденційність, механізм мінімізації QNAMES (RFC-7816), який працює в «розслабленою«, Увімкнено за замовчуванням.
Суть механізму полягає в тому, що вирішувач не згадує повне ім’я хосту у ваших запитах до сервера імен вище.
З іншого боку була реалізована можливість реєстрації вихідних запитів на авторизованому сервері та відповіді на них у форматі dnstap (Для використання потрібна збірка з параметром –enable-dnstap.
Забезпечується одночасна обробка декількох вхідних запитів, переданих через TCP-з'єднання, і результати повертаються, як тільки вони готові, а не в порядку запитів у черзі. Ліміт одночасних запитів визначається «max-concurrent-request-per-tcp-connection".
Впроваджено нещодавно спостерігану техніку відстеження доменів (NOD) це може використовуватися для ідентифікації підозрілих доменів або домени, пов’язані зі шкідливою діяльністю, такою як поширення шкідливого програмного забезпечення, участь у фішингу та використання для управління бот-мережами.
Метод заснований на ідентифікації доменів які раніше не отримували доступу та проаналізувати ці нові домени. Замість сканування нових доменів по всій базі даних усіх переглянутих доменів, що вимагає значних ресурсів, NOD використовує імовірнісну структуру SBF (Фільтр стабільного цвітіння) щоб мінімізувати споживання пам'яті та центрального процесора. Щоб його увімкнути, потрібно вказати «new-domain-tracking = так»У налаштуваннях.
Крім того при запуску в systemd, процес Рекурсор від PowerDNS зараз працює як непривілейований користувач pdns-рекурсор замість кореня. Для систем без systemd та без chroot каталог за замовчуванням / var / run / pdns-рекурсор тепер використовується для зберігання керуючого сокета та файлу pid.
Нарешті, для тих, хто зацікавлений у його випробуванні, вони можуть ознайомитися з деталями його встановлення в це посилання.