PowerDNS-recursor is een opensource, high-end, gratis, draagbare en krachtige afwikkelende naamserver, een opdrachtregelsoftware die systeembeheerders een uitgebreide en uitgebreide reeks van functies biedt technologieën met betrekking tot e-mail en internetnamen. Het maakt deel uit van de bekende PowerDNS-softwaresuite.
PowerDNS is open source daemon naamserver-software die vanaf nul wordt geschreven en die een krachtige, moderne en geavanceerde, gezaghebbende-alleen nameserver levert. Het is verbonden met vrijwel elke database en voldoet aan alle relevante DNS (Domain Name System) standaarddocumenten.
Functies in één oogopslag
Belangrijkste functies zijn onder meer volledige ondersteuning voor alle gangbare standaarden, DNS64-ondersteuning, de mogelijkheid om deze opnieuw te configureren zonder downtime, ondersteuning voor beveiligingsmaatregelen en blokkeerlijsten, externe en lokale toegang, krachtige maatregelen tegen spoofing, beantwoorden van reconditionering, onderscheppen van vragen, NXDOMAIN redirection, plain BIND-zonebestanden, direct-control API en ingebouwde gescripte antwoordgeneratie op basis van Lua.
Bovendien bevat het eersteklas functies die alle PowerDNS-producten gemeenschappelijk hebben, inclusief ondersteuning voor IPv4 (UDP en TCP), IPv6 (UDP en TCP), hoge prestaties, alleen-lezen SNMP (Simple Network Management Protocol) statistiekenbrug, evenals real-time grafische weergave door op afstand opvraagbare statistieken.
PowerDNS Recursor is een zeer krachtige software die honderden miljoenen DNS-resoluties aankan, ondersteund door meerdere processors en dezelfde ultramoderne scriptingfunctionaliteit die wordt gebruikt op het PowerDNS Authoritative Server-product. Het is een zeer flexibel en performant DNS-resolutieprogramma dat speciaal is geschreven voor GNU / Linux-systemen.
Onder de motorkap en beschikbaarheid
PowerDNS is beschikbaar op alle belangrijke Linux-distributies en maakt gebruik van een flexibele backend-architectuur, speciaal ontworpen om toegang te krijgen tot DNS-informatie uit elke gegevensbron. De software is volledig geschreven in de programmeertaal C ++ en kan als native installatieprogramma voor Ubuntu / Debian en Red Hat / Fedora-besturingssystemen worden gedownload, evenals een bronarchief. Het is met succes getest op zowel 32-bits als 64-bits hardwareplatforms.
Wat is nieuw in deze release:
- Verbeteringen:
- # 6550, # 6562: voeg een substructuuroptie toe aan het API-cache-flushe eindpunt.
- # 6566: gebruik een afzonderlijke, niet-blokkerende pipe om query's te verdelen.
- # 6567: verplaats de besturing van carbon / webserver / controle / statistieken naar een afzonderlijke thread.
- # 6583: voeg _raw-versies toe voor QName / ComboAddresses aan de FFI API.
- # 6611, # 6130: copyrightjaren bijwerken tot 2018 (Matt Nordhoff).
- # 6474, # 6596, # 6478: bevestig een waarschuwing voor botan & gt; = 2.5.0.
- Bugfixes:
- # 6313: Tel een zoekopdracht naar een interne auth-zone als een cachemissel.
- # 6467: Verhoog de DNSSEC-validatie-tellers niet bij het uitvoeren met proces-no-validate.
- # 6469: Respecteer de AXFR-time-out tijdens het verbinden met de RPZ-server.
- # 6418, # 6179: MTasker-stacksize verhogen om crash in exception unwinding (Chris Hofstaedtler) te voorkomen.
- # 6419, # 6086: gebruik de SyncRes-tijd in onze unit tests bij het controleren van de cachegeldigheid (Chris Hofstaedtler).
- # 6514, # 6630: voeg -rdynamic to C {, XX} FLAGS toe wanneer we met LuaJIT bouwen.
- # 6588, # 6237: Vertraag het laden van RPZ-zones totdat de paring is voltooid, en een raceconditie wordt hersteld.
- # 6595, # 6542, # 6516, # 6358, # 6517: nabestelling omvat om L-conflicten te voorkomen.
Wat is nieuw in versie:
- Bugfixes:
- # 5930: Veronderstel niet dat de TXT-record de eerste record is voor secpoll
- # 6082: voeg geen niet-IN-records toe aan de cache
Wat is nieuw in versie 4.0.6:
- Bugfixes:
- Gebruik de binnenkomende ECS voor cache-lookup als gebruik-incoming-edns-subnet is ingesteld
- bij het maken van een netmasker uit een combo-adres hebben we de poort niet op nul gezet. Dit kan leiden tot een toename van netmaskers.
- Neem niet de oorspronkelijke ECS-bron voor scope één als EDNS is uitgeschakeld
- stel ook d_requestor in zonder Lua: de ECS-logica heeft dit nodig
- Fix IXFR overslaand het toevoegingendeel van de laatste reeks
- Behandel de payload van de aanvrager lager dan 512 als gelijk aan 512
- maak URI-getallen 16 bits, corrigeer ticket # 5443
- Uitspreken van uitbraken; corrigeert kaartje # 5401
- Verbeteringen:
- hiermee wordt EDNS Client Subnet compatibel met de pakketcache, met behulp van de bestaande variabele antwoordfaciliteit.
- Verwijder net voldoende vermeldingen uit de cache, niet meer dan gevraagd
- Verlopen cache-items naar voren verplaatsen zodat ze worden verwijderd
- IPv6-adres van b.root-servers.net gewijzigd
- e.root-servers.net heeft nu IPv6
- hello-decaf-ondertekenaars (ED25519 en ED448) Testalgoritme 15: 'Decaf ED25519' - & gt; 'Decaf ED25519' - & gt; 'Decaf ED25519' Handtekening & goedkeuren ok, handtekening 68usec, verifiëren 93usec Testalgoritme 16: 'Decaf ED448' - & gt; 'Decaf ED448' - & gt; 'Decaf ED448' Handtekening & verifieer ok, handtekening 163usec, controleer 252usec
- gebruik de ondertekenaar van libdecaf ed25519 niet wanneer libsodium is ingeschakeld
- hash het bericht niet in de ed25519 ondertekenaar
- Schakel gebruik-incoming-edns-subnet standaard uit
Wat is nieuw in versie 4.0.4:
- Bugfixes:
- commit 658d9e4: Controleer TSIG-handtekening op IXFR (Security Advisory 2016-04)
- commit 91acd82: valse RR's niet weg in query's wanneer we ze niet nodig hebben (Security Advisory 2016-02)
- commit 400e28d: corrigeer onjuiste lengtecontrole in DNSName bij het extraheren van qtype of qclass
- commit 2168188: rec: wacht tot na het demoniseren om de RPZ en protobuf threads te starten
- commit 3beb3b2: on (her) priming, haal de root NS records op
- commit cfeb109: rec: Fix src / dest inversion in het protobuf-bericht voor TCP-query's
- commit 46a6666: NSEC3 optout en Bogus onveilige forward fixes
- commit bb437d4: volg RPZ customPolicy, volg de resulterende CNAME
- commit 6b5a8f3: DNSSEC: ga niet nep op nul geconfigureerde DS's
- commit 1fa6e1b: crash niet op een lege queryring
- commit bfb7e5d: stel het resultaat in op NoError voordat preresolve wordt aangeroepen
- Toevoegingen en toebehoren:
- commit 7c3398a: voeg max-recursiediepte toe om het aantal interne recursies te beperken
- commit 3d59c6f: Fix building met ECDSA-ondersteuning uitgeschakeld in libcrypto
- commit 0170a3b: voeg requestorId en enkele opmerkingen toe aan het protobuf definitiebestand
- commit d8cd67b: maak de negcache doorgestuurde zones bewust
- commit 46ccbd6: cacherecords voor zones waaraan is gedelegeerd vanuit een doorgestuurde zone
- commit 5aa64e6, commit 5f4242e en commit 0f707cd: DNSSEC: implementeer keysearch op basis van zone-cuts
- commit ddf6fa5: rec: voeg ondersteuning toe voor boost :: context & gt; = 1.61
- commit bb6bd6e: voeg getRecursorThreadId () toe aan Lua en identificeer de huidige thread
- commit d8baf17: behandel CNAME's aan het toppunt van beveiligde zones naar andere beveiligde zones
Wat is nieuw in versie 4.0.0:
- We hebben intern veel dingen veranderd in de nameserver:
- Verplaatst naar C ++ 2011, een schonere, krachtigere versie van C ++ waarmee we de kwaliteit van de implementatie op veel plaatsen konden verbeteren.c
- Geïmplementeerde speciale infrastructuur voor het omgaan met DNS-namen die volledig & quot; DNS Native & quot; en heeft minder behoefte aan ontsnapping en ontkieming.
- Overgestapt naar binaire opslag van DNS-records op alle plaatsen.
- ACL's naar een speciale Netmask-structuur verplaatst.
- Implementeerde een versie van RCU voor configuratiewijzigingen
- Heeft ons gebruik van de geheugentoewijzer, verminderd aantal malloc-oproepen aanzienlijk verwerkt.
- De Lua hook-infrastructuur werd opnieuw gebruikt met LuaWrapper; oude scripts zullen niet langer werken, maar nieuwe scripts zijn gemakkelijker te schrijven onder de nieuwe interface.
- Vanwege deze wijzigingen is PowerDNS Recursor 4.0.0 bijna een orde van grootte sneller dan de 3.7-tak.
- DNSSEC-verwerking: als u DNSSEC-records vraagt, krijgt u deze.
- DNSSEC-validatie: indien zo geconfigureerd, voert PowerDNS DNSSEC-validatie uit van uw antwoorden.
- Volledig vernieuwde Lua scripting API die & quot; DNSName & quot; is native en dus veel minder foutgevoelig en waarschijnlijk sneller voor de meest gebruikte scenario's. Laadt en indexeert een beleidslijst van een domein van 1 miljoen domeinen in enkele seconden.
- Nieuw asynchroon per domein, per-ip-adres, query-engine. Hierdoor kan PowerDNS in realtime een externe service raadplegen om de client- of domeinstatus te bepalen. Dit kan bijvoorbeeld betekenen: het opzoeken van de werkelijke klantidentiteit van een DHCP-server op basis van het IP-adres (bijvoorbeeld optie 82).
- RPZ-ondersteuning (uit bestand, via AXFR of IXFR). Dit laadt de grootste Spamhaus-zone in 5 seconden op onze hardware, die ongeveer 2 miljoen instructies bevat.
- Alle caches kunnen nu worden gewist op achtervoegsels vanwege canonieke ordening.
- Veel, veel meer relevante prestatiestatistieken, inclusief stroomopwaartse toonaangevende prestatiemetingen ('is het mij of het netwerk dat traag is').
- EDNS Client Subnet-ondersteuning, inclusief cachebewustzijn van subnet-variërende antwoorden.
- DNSSEC:
- Zoals vermeld in het gedeelte over functies hierboven, heeft de PowerDNS Recursor nu DNSSEC-verwerking en experimentele DNSSEC-validatieondersteuning. DNSSEC-verwerking betekent dat de naamserver RRSIG-records retourneert wanneer hiertoe door de client wordt gevraagd (door middel van de DO-bit) en de RRSIG's altijd ophaalt, zelfs als de client hier niet om vraagt. Het zal validatie uitvoeren en de AD-bit in het antwoord instellen als de client validatie aanvraagt. In de fullblown DNSSEC-modus valideert de PowerDNS Recursor de antwoorden en stelt de AD-bit in gevalideerde antwoorden in als de client hierom vraagt en zal SERVFAIL op foute antwoorden aan alle clients werken.
- De DNSSEC-ondersteuning is gemarkeerd als experimenteel, maar functioneel op dit moment, omdat deze twee beperkingen heeft:
- Negatieve antwoorden zijn gevalideerd maar het NSEC-bewijs is niet volledig gecontroleerd.
- Zones met een CNAME aan de top (wat toch 'fout' is) valideren als Bogus.
- Als u met DNSSEC werkt en kapotte domeinen opmerkt, dient u een probleem te melden.
Wat is nieuw in versie 3.7.2:
- Het belangrijkste onderdeel van deze update is een oplossing voor CVE-2015-1868.
Wat is nieuw in versie 3.6.2:
- commit ab14b4f: bespoedig het genereren van servfail voor ezdns-achtige fouten (volledig afbreken van het oplossen van query's als we meer dan 50 outqueries raken)
- commit 42025be: PowerDNS controleert nu de beveiligingsstatus van een release bij het opstarten en periodiek. Meer informatie over deze functie en over hoe u deze functie kunt uitschakelen, vindt u in deel 2, & quot; Beveiligingspeiling & quot;.
- commit 5027429: We hebben het juiste 'lokale' socketadres niet naar Lua verzonden voor TCP / IP-query's in de recursor. Daarnaast zouden we proberen een bestandscriptor op te zoeken die er niet was in een ontgrendelde kaart die mogelijk zou kunnen leiden tot crashes. Sluit ticket 1828, bedankt Winfried voor rapportage
- commit 752756c: Sync embedded yahttp copy. API: HTTP-basisverificatie vervangen door statische sleutel in aangepaste koptekst
- commit 6fdd40d: voeg missing #include toe aan rec-channel.hh (dit lost het gebouw op OS X op)
Wat is nieuw in versie 3.5.3:
- 3.5 heeft onze ANY-query vervangen door A + AAAA voor gebruikers met IPv6 ingeschakeld. Uitgebreide metingen door Darren Gamble toonden aan dat deze verandering een niet-triviale prestatie-impact had. We doen nu ELKE query zoals voorheen, maar vallen terug op de individuele A + AAAA-query's indien nodig. Verandering in commit 1147a8b.
- Het IPv6-adres voor d.root-servers.net is toegevoegd in commit 66cf384, bedankt Ralf van der Enden.
- We droppen nu eerder pakketten met een niet-nul-opcode (dat wil zeggen speciale pakketten zoals DNS UPDATE). Als de experimentele vlag pdns-distributes-queries is ingeschakeld, voorkomt deze fix een crash. Normale instellingen waren nooit vatbaar voor deze crash. Code in commit 35bc40d, sluit ticket 945.
- TXT-afhandeling is enigszins verbeterd in commit 4b57460, waarbij ticket 795 is gesloten.
Wat is nieuw in versie 3.3:
- Deze versie lost een aantal kleine maar aanhoudende problemen, rondes op van de IPv6-ondersteuning en voegt een belangrijke functie toe aan veel gebruikers van de Lua-scripts.
- Bovendien is de schaalbaarheid van Solaris 10 verbeterd.
- Deze release is identiek aan RC3.
Wat is nieuw in versie 3.3 RC3:
- Deze versie verhelpt een aantal kleine maar aanhoudende problemen, rondt de IPv6-ondersteuning af en voegt een belangrijke functie toe aan veel gebruikers van de Lua-scripts.
- Bovendien is de schaalbaarheid van Solaris 10 verbeterd.
- Sinds RC2 is een ongevaarlijk maar angstaanjagend bericht over een verlopen root verwijderd.
Wat is nieuw in versie 3.3 RC2:
- Deze versie lost een aantal kleine maar aanhoudende problemen op, rondt de IPv6-ondersteuning af en voegt een belangrijke functie toe aan veel gebruikers van de Lua-scripts.
- Bovendien is de schaalbaarheid van Solaris 10 verbeterd.
- Sinds RC1 is de compilatie op RHEL5 gerepareerd.
Reacties niet gevonden