PowerDNS Recursor

PowerDNS Recursor ist ein Open-Source-, High-End-, kostenloser, tragbarer und hochleistungsfähiger auflösender Nameserver, eine Befehlszeilensoftware, die Systemadministratoren eine Vielzahl von Funktionen und umfassenden Funktionen bietet Technologien im Zusammenhang mit E-Mail und Internet-Naming. Es ist Teil der bekannten PowerDNS-Software-Suite.

PowerDNS ist eine Open-Source-Daemon-Nameserver-Software, die von Grund auf neu geschrieben wurde und einen hochperformanten, modernen und hochentwickelten autorisierten Nameserver bietet. Es ist mit fast jeder Datenbank kompatibel und entspricht allen relevanten DNS (Domain Name System) -Standarddokumenten.

Zu den Hauptfunktionen gehören die vollständige Unterstützung aller gängigen Standards, DNS64-Unterstützung, Rekonfigurierbarkeit ohne Ausfallzeiten, Unterstützung für Sicherheitsmaßnahmen und Sperrlisten, Remote- und lokaler Zugriff, leistungsstarke Anti-Spoofing-Maßnahmen, Antwortüberholung, Abfrageabfrage, NXDOMAIN Umleitung, einfache BIND-Zonendateien, direkte Steuer-API und integrierte Skript-Antwortgenerierung basierend auf Lua.

Außerdem enthält es erstklassige Funktionen, die allen PowerDNS-Produkten gemeinsam sind, einschließlich Unterstützung für IPv4 (UDP und TCP), IPv6 (UDP und TCP), Hochleistung, schreibgeschütztes SNMP (Simple Network Management Protocol) Statistik-Brücke, sowie Echtzeit-Graphik durch Fernabfrage Statistiken.

PowerDNS Recursor ist eine sehr leistungsfähige Software, die Hunderte von Millionen von DNS-Auflösungen verarbeiten kann, die von mehreren Prozessoren und derselben hochmodernen Skriptfunktionalität unterstützt werden, die für das Produkt PowerDNS Authoritative Server verwendet wird. Es ist ein sehr flexibles und performantes DNS-Lösungsprogramm, das speziell für GNU / Linux-Systeme geschrieben wurde.

PowerDNS ist in allen gängigen Linux-Distributionen verfügbar und verwendet eine flexible Backend-Architektur, die speziell für den Zugriff auf DNS-Informationen aus jeder Datenquelle entwickelt wurde. Die Software ist vollständig in der Programmiersprache C ++ geschrieben und steht als natives Installationsprogramm für Ubuntu / Debian- und Red Hat / Fedora-Betriebssysteme sowie als Quellarchiv zum Download bereit. Es wurde erfolgreich auf 32-Bit- und 64-Bit-Hardwareplattformen getestet.

Was ist neu in dieser Version:

• Verbesserungen:
• # 6550, # 6562: Fügen Sie dem API-Cache-Flush-Endpunkt eine Teilbaumoption hinzu.
• # 6566: Verwenden Sie eine separate, nicht blockierende Pipe, um Abfragen zu verteilen.
• # 6567: Verschiebe carbon / webserver / control / stats handling in einen separaten Thread.
• # 6583: Fügen Sie der FFI-API _raw-Versionen für QName / ComboAddresses hinzu.
• # 6611, # 6130: Aktualisieren Sie die Copyright-Jahre auf 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: Behebt eine Warnung auf botan & gt; = 2.5.0.
• Fehlerbehebungen:
• # 6313: Zählen Sie eine Suche in eine interne Auth-Zone als Cache-Miss.
• # 6467: Erhöhen Sie die DNSSEC-Validierungszähler nicht, wenn Sie mit validate-validate ausgeführt werden.
• # 6469: Respektieren Sie das AXFR-Timeout beim Verbinden mit dem RPZ-Server.
• # 6418, # 6179: Erhöhen Sie MTasker stacksize, um einen Absturz beim Auslösen der Ausnahme zu vermeiden (Chris Hofstaedtler).
• # 6419, # 6086: Verwenden Sie die SyncRes-Zeit in unseren Komponententests, wenn Sie die Cache-Gültigkeit prüfen (Chris Hofstaedtler).
• # 6514, # 6630: Addiere -dynamic zu C {, XX} FLAGS, wenn wir mit LuaJIT bauen.
• # 6588, # 6237: Verzögern Sie das Laden von RPZ-Zonen, bis die Analyse durchgeführt wurde, und beheben Sie eine Race-Bedingung.
• # 6595, # 6542, # 6516, # 6358, # 6517: Neuordnung beinhaltet, um den Boost-L-Konflikt zu vermeiden.

Was ist neu in der Version:

• Fehlerkorrekturen:
• # 5930: Gehen Sie nicht davon aus, dass der TXT-Datensatz der erste Datensatz für secpoll ist
• # 6082: Fügen Sie keine Nicht-IN-Datensätze zum Cache hinzu

Was ist neu in Version 4.0.6:

• Fehlerkorrekturen:
• Verwenden Sie das eingehende ECS für die Cache-Suche, wenn use-incoming-edns-subnet festgelegt ist
• Beim Erstellen einer Netzmaske aus einer Comboadresse haben wir es versäumt, den Port auf Null zu setzen. Dies könnte zu einer Verbreitung von Netzmasken führen.
• Nimm die ursprüngliche ECS-Quelle nicht für einen Bereich eins, wenn EDNS ausgeschaltet ist
• setzt auch d_requestor ohne Lua: die ECS-Logik benötigt es
• Fix IXFR überspringt den Teil der letzten Sequenz
• Behandeln Sie die Nutzdatengröße des Anforderers niedriger als 512 als gleich 512
• make URI-Ganzzahlen 16 Bits, behebt Ticket # 5443
• Unbreak-Zitat; behebt Ticket # 5401
• Verbesserungen:

Damit wird das EDNS-Client-Subnetz unter Verwendung der vorhandenen variablen Antworteinrichtung mit dem Paket-Cache kompatibel.
• Entfernen Sie nur genügend Einträge aus dem Cache, nicht mehr als gefragt
• Verschieben Sie abgelaufene Cache-Einträge nach vorne, damit sie gelöscht werden
• hat die IPv6-Adresse von b.root-servers.net geändert
• e.root-servers.net hat jetzt IPv6
• hallo entkoffeinierte Unterzeichner (ED25519 und ED448) Testalgorithmus 15: 'Decaf ED25519' - & gt; 'Decaf ED25519' - & gt; 'Decaf ED25519' Signatur und Verifizierung ok, Signatur 68usec, verifizieren 93usec Testalgorithmus 16: 'Decaf ED448' - & gt; 'Decaf ED448' - & gt; 'Decaf ED448' Unterschrift und verifizieren ok, Unterschrift 163usec, verifizieren 252usec
• Verwenden Sie den libdecaf ed25519-Unterzeichner nicht, wenn libsodium aktiviert ist
• Hash nicht die Nachricht in der ed25519 Unterzeichner
• Deaktiviere standardmäßig "use-income-edns-subnet"

Was ist neu in Version 4.0.4:

• Fehlerkorrekturen:
• commit 658d9e4: Überprüfen Sie die TSIG-Signatur auf IXFR (Security Advisory 2016-04)
• commit 91acd82: Parsen Sie keine falschen RRs in Abfragen, wenn wir sie nicht brauchen (Security Advisory 2016-02)
• commit 400e28d: Korrigiere inkorrekte Längenprüfung in DNSName beim Extrahieren von qtype oder qclass
• commit 2168188: rec: Warten Sie nach der Dämonisierung, um die RPZ- und Protobuf-Threads zu starten
• commit 3beb3b2: Beim (Neu-) Priming holen Sie die Root-NS-Datensätze
• commit cfeb109: rec: Repariere src / dest inversion in der protobuf-Nachricht für TCP-Abfragen
• commit 46a6666: NSEC3 Optout und Bogus unsichere Forward Fixes
• commit bb437d4: Folgen Sie in RPZ customPolicy dem resultierenden CNAME
• commit 6b5a8f3: DNSSEC: Gehen Sie nicht auf null konfigurierten DS
• commit 1fa6e1b: Absturz nicht auf einem leeren Abfrage-Ring
• commit bfb7e5d: Setzen Sie das Ergebnis auf NoError, bevor Sie preresolve aufrufen
• Ergänzungen und Verbesserungen:
• commit 7c3398a: Fügen Sie die maximale Rekursionstiefe hinzu, um die Anzahl der internen Rekursionen zu begrenzen
• commit 3d59c6f: Behebung des Problems mit ECDSA-Unterstützung in libcrypto deaktiviert
• commit 0170a3b: Fügen Sie requestorId und einige Kommentare zur protobuf-Definitionsdatei
hinzu
• commit d8cd67b: Machen Sie die Negcache weitergeleitet Zonen bewusst
• commit 46ccbd6: Cache-Datensätze für Zonen, an die von einer weitergeleiteten Zone delegiert wurde
• commit 5aa64e6, commit 5f4242e und commit 0f707cd: DNSSEC: Implementieren Sie keysearch basierend auf zone-cuts
• commit ddf6fa5: rec: Fügen Sie Unterstützung für boost :: context & gt; = 1.61
hinzu
• commit bb6bd6e: Fügen Sie getRecursorThreadId () zu Lua hinzu und identifizieren Sie den aktuellen Thread
• commit d8baf17: Handle CNAMEs am Scheitelpunkt sicherer Zonen zu anderen sicheren Zonen

Was ist neu in Version 4.0.0:

• Wir haben viele Dinge intern auf den Nameserver geändert:
• In C ++ 2011 verschoben, eine sauberere, leistungsfähigere Version von C ++, die es uns ermöglicht hat, die Qualität der Implementierung an vielen Stellen zu verbessern.c
• Implementierte dedizierte Infrastruktur für den Umgang mit DNS-Namen, die vollständig & quot; DNS Native & quot; und benötigt weniger Flucht und Unescaping.
• An allen Orten auf binären Speicher von DNS-Einträgen umgeschaltet.
• Die ACLs wurden in einen dedizierten Netzmaskenbaum verschoben.
• Implementiert eine Version der RCU für Konfigurationsänderungen
• Instrumentiert unsere Verwendung der Speicherzuordner, reduzierte Anzahl von malloc Anrufe wesentlich.
• Die Lua-Hook-Infrastruktur wurde mithilfe von LuaWrapper wiederhergestellt. alte Skripte funktionieren nicht mehr, aber neue Skripte sind einfacher unter der neuen Schnittstelle zu schreiben.
• Aufgrund dieser Änderungen ist PowerDNS Recursor 4.0.0 fast eine Größenordnung schneller als der Zweig 3.7.
• DNSSEC-Verarbeitung: Wenn Sie nach DNSSEC-Datensätzen fragen, erhalten Sie diese.
• DNSSEC-Validierung: Wenn dies konfiguriert ist, führt PowerDNS eine DNSSEC-Validierung Ihrer Antworten durch.
• Komplett überarbeitete Lua Scripting API, die & quot; DNSName & quot; nativ und daher weit weniger fehleranfällig und wahrscheinlich schneller für die am häufigsten verwendeten Szenarien. Lädt und indiziert eine benutzerdefinierte Richtlinienliste mit einer Million Domains in wenigen Sekunden.
• Neue asynchrone Per-Domain-Abfrage-Engine pro IP-Adresse Dadurch kann PowerDNS in Echtzeit einen externen Dienst konsultieren, um den Client- oder Domänenstatus zu ermitteln. Dies könnte beispielsweise bedeuten, dass die tatsächliche Kundenidentität von einem DHCP-Server basierend auf der IP-Adresse (z. B. Option 82) gesucht wird.
• RPZ (von Datei, über AXFR oder IXFR) Unterstützung. Dies lädt die größte Spamhaus-Zone in 5 Sekunden auf unserer Hardware, die etwa 2 Millionen Anweisungen enthält.
• Alle Caches können nun aufgrund der kanonischen Reihenfolge nach Suffixen gelöscht werden.
• Viele, viele relevantere Leistungsmetriken, einschließlich autoritativer Upstream-Leistungsmessungen ("bin ich oder das Netzwerk, das langsam ist").
• EDNS-Client-Subnetz-Unterstützung, einschließlich Cache-Kenntnis über subnetzvariierende Antworten.
• DNSSEC:
• Wie bereits im Abschnitt zu den Funktionen erwähnt, verfügt der PowerDNS-Recursor jetzt über DNSSEC-Verarbeitung und experimentelle DNSSEC-Validierungsunterstützung. Die DNSSEC-Verarbeitung bedeutet, dass der Nameserver RRSIG-Datensätze zurückgibt, wenn dies vom Client angefordert wird (mittels des DO-Bits) und die RRSIGs immer abgerufen werden, auch wenn der Client nicht danach fragt. Es führt eine Validierung durch und setzt das AD-Bit in der Antwort, wenn der Client eine Validierung anfordert. Im Fullblased DNSSEC-Modus validiert der PowerDNS Recursor die Antworten und setzt das AD-Bit in validierten Antworten, wenn der Client dies anfordert und SERVFAIL bei falschen Antworten an alle Clients.
• Die DNSSEC-Unterstützung ist experimentell, aber im Moment funktional, da sie zwei Einschränkungen hat:
• Negative Antworten validiert, aber der NSEC-Nachweis wird nicht vollständig überprüft.
• Zonen, die an der Spitze einen CNAME haben (was sowieso "falsch" ist), werden als Bogus validiert.
• Wenn Sie mit DNSSEC arbeiten und defekte Domains bemerken, sollten Sie ein Problem melden.

Was ist neu in Version 3.7.2:

• Der wichtigste Teil dieses Updates ist ein Fix für CVE-2015-1868.

Was ist neu in Version 3.6.2:

• commit ab14b4f: Beschleunigen Sie die Generierung von servfail für ezdns-ähnliche Fehler (brechen Sie die Abfrageauflösung ab, wenn wir mehr als 50 outqueries erreichen)
• commit 42025be: PowerDNS fragt jetzt beim Start und in regelmäßigen Abständen den Sicherheitsstatus einer Version ab. Weitere Informationen zu dieser Funktion und zum Ausschalten finden Sie in Abschnitt 2, "Sicherheitsabfrage".
• commit 5027429: Wir haben die richtige "lokale" Socket-Adresse für TCP / IP-Abfragen im Recursor nicht an Lua übertragen. Außerdem würden wir versuchen, einen Dateideskriptor zu suchen, der in einer nicht gesperrten Karte nicht vorhanden war, was möglicherweise zu Abstürzen führen könnte. Schließt Ticket 1828, danke Winfried für die Berichterstattung
• commit 752756c: Synchronisieren Sie die eingebettete Jahttp-Kopie. API: Ersetzen Sie HTTP Basic Auth durch den statischen Schlüssel im benutzerdefinierten Header
• commit 6fdd40d: füge fehlendes #include zu rec-channel.hh hinzu (dies behebt das Erstellen von OS X).

Was ist neu in Version 3.5.3:

• 3.5 ersetzt unsere ANY-Abfrage durch A + AAAA für Benutzer mit IPv6-Aktivierung. Umfangreiche Messungen von Darren Gamble zeigten, dass diese Veränderung nicht unerhebliche Auswirkungen auf die Leistung hatte. Wir machen jetzt die ANY-Abfrage wie zuvor, greifen aber bei Bedarf auf die einzelnen A + AAAA-Abfragen zurück. Ändern Sie das Commit 1147a8b.
• Die IPv6-Adresse für d.root-servers.net wurde im Commit 66cf384 hinzugefügt, danke Ralf van der Enden.
• Wir lassen jetzt Pakete mit einem Nicht-Null-Opcode (d. h. spezielle Pakete wie DNS-UPDATE) früher fallen. Wenn das experimentelle Flag pdns-distributes-queries aktiviert ist, verhindert dieser Fix einen Absturz. Normale Setups waren für diesen Absturz niemals anfällig. Code in Commit 35bc40d, schließt Ticket 945.
• Die TXT-Behandlung wurde in Commit 4b57460, Ticket 795 zu schließen, etwas verbessert.

Was ist neu in Version 3.3:

• Diese Version behebt einige kleine, aber anhaltende Probleme, Runden von der IPv6-Unterstützung und fügt eine wichtige Funktion für viele Benutzer der Lua-Skripte hinzu.
• Außerdem wurde die Skalierbarkeit unter Solaris 10 verbessert.
• Diese Version ist identisch mit RC3.

Was ist neu in Version 3.3 RC3:

• Diese Version behebt einige kleine, aber beharrliche Probleme, rundet die IPv6-Unterstützung ab und fügt eine wichtige Funktion für viele Benutzer der Lua-Skripte hinzu.
• Außerdem wurde die Skalierbarkeit unter Solaris 10 verbessert.
• Seit RC2 wurde eine harmlose aber beängstigende Nachricht über eine abgelaufene Wurzel entfernt.

Was ist neu in Version 3.3 RC2:

• Diese Version behebt einige kleine, aber anhaltende Probleme, rundet die IPv6-Unterstützung ab und fügt ein wichtiges Feature für viele Benutzer der Lua-Skripte hinzu.
• Außerdem wurde die Skalierbarkeit unter Solaris 10 verbessert.
• Seit RC1 wurde die Kompilierung unter RHEL5 korrigiert.