PowerDNS Recursor

PowerDNS Recursor adalah server nama penyelesaian open source, high-end, free, portable, dan berkinerja tinggi, perangkat lunak baris perintah yang menyediakan administrator sistem dengan rangkaian fitur-kaya dan komprehensif teknologi yang terkait dengan email dan Penamaan Internet. Ini adalah bagian dari perangkat lunak PowerDNS yang terkenal.

PowerDNS adalah perangkat lunak server nama open source daemon yang ditulis dari awal yang menyediakan nameserver yang berkinerja tinggi, modern, dan canggih. Ini berhubungan dengan hampir semua database, dan sesuai dengan semua dokumen standar DNS (Domain Name System) yang relevan.

Fitur utama termasuk dukungan lengkap untuk semua standar populer, dukungan DNS64, kemampuan untuk mengkonfigurasikannya tanpa downtime, dukungan untuk tindakan keamanan dan daftar blokir, akses jarak jauh dan lokal, tindakan anti-spoofing yang kuat, menjawab rekondisi, intersepsi pertanyaan, NXDOMAIN pengarahan ulang, file BIND zona polos, API kontrol langsung, dan generasi jawaban yang ditulis skrip berdasarkan Lua.

Selain itu, ini termasuk fitur top-notch yang umum untuk semua produk PowerDNS, termasuk dukungan untuk IPv4 (UDP dan TCP), IPv6 (UDP dan TCP), performa tinggi, SNMP read-only (Simple Network Management Protocol) jembatan statistik, serta grafik real-time melalui statistik yang dapat disurvei dari jarak jauh.

PowerDNS Recursor adalah perangkat lunak yang sangat kuat yang dapat menangani ratusan juta resolusi DNS, yang didukung oleh beberapa prosesor dan fungsi scripting state-of-the-art yang sama yang digunakan pada produk PowerDNS Authoritative Server. Ini adalah program resolusi DNS yang sangat fleksibel dan performant yang ditulis khusus untuk sistem GNU / Linux.

PowerDNS tersedia di semua distro Linux utama dan menggunakan arsitektur backend yang fleksibel, yang dirancang khusus untuk mengaktifkan akses ke informasi DNS dari sumber data apa pun. Perangkat lunak ini seluruhnya ditulis dalam bahasa pemrograman C ++ dan tersedia untuk diunduh sebagai installer asli untuk sistem operasi Ubuntu / Debian dan Red Hat / Fedora, serta arsip sumber. Ini telah berhasil diuji pada platform perangkat keras 32-bit dan 64-bit.

Apa yang baru dalam rilis ini:

• Peningkatan:
• # 6550, # 6562: Tambahkan pilihan subtree ke titik akhir API cache flush.
• # 6566: Gunakan pipa terpisah yang tidak memblokir untuk mendistribusikan kueri.
• # 6567: Pindahkan penanganan karbon / webserver / kontrol / statistik ke utas yang terpisah.
• # 6583: Tambahkan versi raw untuk QName / ComboAddresses ke API FFI.
• # 6611, # 6130: Perbarui tahun hak cipta hingga 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: Perbaiki peringatan di botan & gt; = 2.5.0.
• Perbaikan Bug:
• # 6313: Hitung pencarian ke zona auth internal sebagai cache miss.
• # 6467: Jangan meningkatkan penghitungan validasi DNSSEC saat berjalan dengan proses-tidak-validasi.
• # 6469: Hormati batas waktu AXFR saat terhubung ke server RPZ.
• # 6418, # 6179: Tingkatkan MTasker stacksize untuk menghindari crash dalam exception unwinding (Chris Hofstaedtler).
• # 6419, # 6086: Gunakan waktu SyncRes dalam pengujian unit kami saat memeriksa validitas cache (Chris Hofstaedtler).
• # 6514, # 6630: Tambahkan -rdynamic ke C {, XX} BENDERA saat kami membangun dengan LuaJIT.
• # 6588, # 6237: Menunda pemuatan zona RPZ hingga parsing selesai, memperbaiki kondisi balapan.
• # 6595, # 6542, # 6516, # 6358, # 6517: Susun ulang mencakup untuk menghindari konflik L meningkatkan.

Apa yang baru dalam versi:

• Perbaikan bug:
• # 5930: Jangan menganggap data TXT adalah catatan pertama untuk secpoll
• # 6082: Jangan menambahkan catatan non-IN ke cache

Apa yang baru di versi 4.0.6:

• Perbaikan bug:
• Gunakan ECS yang masuk untuk pencarian cache jika penggunaan-masuk-edns-subnet disetel
• saat membuat netmask dari comboaddress, kami mengabaikan port nol. Ini dapat menyebabkan proliferasi netmask.
• Jangan mengambil sumber ECS awal untuk cakupan satu jika EDNS mati
• juga mengatur d_requestor tanpa Lua: logika ECS membutuhkannya
• Perbaiki IXFR melewatkan bagian tambahan dari urutan terakhir
• Perlakukan ukuran muatan pemohon lebih rendah dari 512 sama dengan 512
• membuat bilangan bulat URI 16 bit, memperbaiki tiket # 5443
• kutipan tanpa tanda; perbaikan tiket # 5401
• Peningkatan:
• dengan ini, Subnet Pelanggan EDNS menjadi kompatibel dengan cache paket, menggunakan fasilitas jawaban variabel yang ada.
• Hapus entri yang cukup dari cache, tidak lebih dari yang diminta
• Pindahkan entri cache kedaluwarsa ke depan sehingga dihapus
• mengubah addr IPv6 b.root-servers.net
• e.root-servers.net memiliki IPv6 sekarang
• hello decaf signers (ED25519 dan ED448) Algoritma pengujian 15: ‘Decaf ED25519 '- & gt;' Decaf ED25519 '- & gt; ‘Decaf ED25519’ Tanda Tangan & verifikasi ok, tanda tangan 68usec, verifikasi 93usec Pengujian algoritma 16: ‘Decaf ED448 '- & gt;' Decaf ED448 '- & gt; ‘Decaf ED448’ Tanda Tangan & verifikasi ok, tanda tangan 163usec, verifikasi 252usec
• jangan menggunakan libdecaf ed25519 signer ketika libsodium diaktifkan
• jangan hash pesan di penanda ed25519
• Nonaktifkan penggunaan-masuk-edns-subnet secara default

Apa yang baru di versi 4.0.4:

• Perbaikan bug:
• komit 658d9e4: Periksa tanda tangan TSIG di IXFR (Penasihat Keamanan 2016-04)
• commit 91acd82: Jangan menguraikan RR palsu dalam pertanyaan ketika kita tidak membutuhkannya (Security Advisory 2016-02)
• commit 400e28d: Perbaiki pemeriksaan keliru dalam DNSName saat mengekstrak qtype atau qclass
• commit 2168188: rec: Tunggu hingga setelah memulai untuk memulai RPZ dan utas protobuf
• commit 3beb3b2: On (re-) priming, ambil NS record root
• commit cfeb109: rec: Perbaiki src / dest inversion dalam pesan protobuf untuk query TCP
• aktifkan 46a6666: Optout NSEC3 dan Bogus tidak aman untuk perbaikan ke depan
• commit bb437d4: Pada RPZ customPolicy, ikuti CNAME yang dihasilkan
• commit 6b5a8f3: DNSSEC: jangan bohong di nol dikonfigurasi DSs
• commit 1fa6e1b: Jangan mogok pada sebuah cincin permintaan kosong
• commit bfb7e5d: Atur hasilnya ke NoError sebelum memanggil preresolve
• Tambahan dan Penyempurnaan:
• commit 7c3398a: Tambahkan kedalaman rekursi maksimum untuk membatasi jumlah rekursi internal
• commit 3d59c6f: Perbaiki bangunan dengan dukungan ECDSA dinonaktifkan dalam libcrypto
• commit 0170a3b: Tambahkan requestorId dan beberapa komentar ke file definisi protobuf
• commit d8cd67b: Jadikan negcache meneruskan zona sadar
• melakukan 46ccbd6: Catatan cache untuk zona yang didelegasikan dari zona diteruskan
• aktifkan 5aa64e6, komit 5f4242e dan komit 0f707cd: DNSSEC: Menerapkan pencarian kunci berdasarkan pemangkasan zona
• commit ddf6fa5: rec: Tambahkan dukungan untuk boost :: context & gt; = 1.61
• commit bb6bd6e: Tambahkan getRecursorThreadId () ke Lua, identifikasi utas saat ini
• commit d8baf17: Pegang CNAME di puncak zona aman ke zona aman lainnya

Apa yang baru di versi 4.0.0:

• Kami mengubah banyak hal secara internal ke nameserver:
• Dipindahkan ke C ++ 2011, versi C ++ yang lebih bersih dan lebih canggih yang memungkinkan kami meningkatkan kualitas penerapan di banyak tempat.c
• Menerapkan infrastruktur khusus untuk menangani nama DNS yang sepenuhnya & quot; DNS Native & quot; dan membutuhkan lebih sedikit pelarian dan pelepasan kembali.
• Beralih ke penyimpanan biner catatan DNS di semua tempat.
• Pindah ACL ke Pohon Netmask yang berdedikasi.
• Menerapkan versi RCU untuk perubahan konfigurasi
• Mendokumentasikan penggunaan kami atas pengalokasi memori, mengurangi jumlah panggilan malloc secara substansial.
• Infrastruktur kait Lua diulangi menggunakan LuaWrapper; skrip lama tidak akan berfungsi lagi, tetapi skrip baru lebih mudah ditulis di bawah antarmuka baru.
• Karena perubahan ini, PowerDNS Recursor 4.0.0 hampir urutan besarnya lebih cepat dari cabang 3.7.
• pemrosesan DNSSEC: jika Anda meminta data DNSSEC, Anda akan mendapatkannya.
• Validasi DNSSEC: jika sudah dikonfigurasi, PowerDNS melakukan validasi DNSSEC atas jawaban Anda.
• Lua scripting API yang diubah sepenuhnya adalah & quot; DNSName & quot; native dan karena itu jauh lebih sedikit kesalahan rawan, dan kemungkinan lebih cepat untuk skenario yang paling umum digunakan. Memuat dan mengindeks daftar kebijakan kustom domain 1 juta dalam beberapa detik.
• Asinkron baru per-domain, alamat per-ip, mesin kueri. Ini memungkinkan PowerDNS untuk berkonsultasi dengan layanan eksternal secara realtime untuk menentukan klien atau status domain. Ini bisa misalnya berarti mencari identitas pelanggan yang sebenarnya dari server DHCP berdasarkan alamat IP (opsi 82 ​​misalnya).
• Dukungan RPZ (dari file, melalui AXFR atau IXFR). Ini memuat zona Spamhaus terbesar dalam 5 detik di perangkat keras kami, yang berisi sekitar 2 juta instruksi.
• Semua cache sekarang dapat dihapus pada sufiks, karena pemesanan kanonik.
• Banyak, banyak metrik kinerja yang lebih relevan, termasuk pengukuran kinerja otoritatif hulu (‘apakah saya atau jaringan yang lambat ').
• Dukungan Subnet Pelanggan EDNS, termasuk kesadaran cache dari jawaban subnet yang bervariasi.
• DNSSEC:
• Sebagaimana dinyatakan dalam bagian fitur di atas, PowerDNS Recursor sekarang memiliki pemrosesan DNSSEC dan dukungan validasi DNSSEC eksperimental. Pemrosesan DNSSEC berarti nameserver akan mengembalikan catatan RRSIG ketika diminta untuk melakukannya oleh klien (melalui DO-bit) dan akan selalu mengambil RRSIGs bahkan jika klien tidak meminta. Ini akan melakukan validasi dan mengatur bit AD dalam respon jika klien meminta validasi. Dalam mode DNSSEC fullblown, PowerDNS Recursor akan memvalidasi jawaban dan mengatur bit AD dalam jawaban yang divalidasi jika klien memintanya dan akan SERVFAIL pada jawaban palsu untuk semua klien.
• Dukungan DNSSEC ditandai eksperimental, tetapi berfungsi saat ini, karena memiliki 2 batasan:
• Jawaban negatif divalidasi tetapi bukti NSEC tidak sepenuhnya diperiksa.
• Zona yang memiliki CNAME di puncak (yang "salah") memvalidasi sebagai Bogus.
• Jika Anda menjalankan dengan DNSSEC diaktifkan dan melihat domain yang rusak, lakukan file masalah.

Apa yang baru di versi 3.7.2:

• Bagian terpenting dari pembaruan ini adalah perbaikan untuk CVE-2015-1868.

Apa yang baru di versi 3.6.2:

• melakukan ab14b4f: mempercepat generasi servfail untuk kegagalan seperti ezdns (sepenuhnya membatalkan penyelesaian kueri jika kita menekan lebih dari 50 outqueries)
• commit 42025be: PowerDNS sekarang mengumpulkan status keamanan dari rilis saat startup dan secara berkala. Detail lebih lanjut tentang fitur ini, dan cara mematikannya, dapat ditemukan di Bagian 2, & quot; Jajak pendapat keamanan & quot;.
• komit 5027429: Kami tidak mengirimkan alamat soket 'lokal' yang benar ke Lua untuk permintaan TCP / IP dalam pendaftar ulang. Selain itu, kami akan mencoba mencari-cari pustaka yang tidak ada di peta yang tidak terkunci yang dapat menyebabkan crash. Menutup tiket 1828, terima kasih Winfried untuk melaporkan
• commit 752756c: Sinkronkan salinan yahttp tertanam. API: Ganti autentikasi Dasar HTTP dengan kunci statis di header khusus
• commit 6fdd40d: tambahkan missing #include to rec-channel.hh (ini memperbaiki bangunan di OS X).

Apa yang baru di versi 3.5.3:

• 3,5 menggantikan pertanyaan KAMI dengan A + AAAA untuk pengguna dengan IPv6 yang diaktifkan. Pengukuran ekstensif oleh Darren Gamble menunjukkan bahwa perubahan ini memiliki dampak kinerja yang tidak sepele. Kami sekarang melakukan query SETIAP seperti sebelumnya, tetapi kembali ke pertanyaan A + AAAA individu bila diperlukan. Ubah komit 1147a8b.
• Alamat IPv6 untuk d.root-servers.net ditambahkan dalam commit 66cf384, terima kasih Ralf van der Enden.
• Kami sekarang menjatuhkan paket dengan opcode non-nol (yaitu paket khusus seperti DNS UPDATE) sebelumnya. Jika pdns-mendistribusikan-query bendera eksperimental diaktifkan, perbaikan ini menghindari kecelakaan. Pengaturan normal tidak pernah rentan terhadap kecelakaan ini. Kode dalam komit 35bc40d, menutup tiket 945.
• Penanganan TXT agak ditingkatkan dalam komit 4b57460, menutup tiket 795.

Apa yang baru di versi 3.3:

• Rilis ini memperbaiki sejumlah masalah kecil namun persisten, putaran dari dukungan IPv6, dan menambahkan fitur penting bagi banyak pengguna skrip Lua.
• Selain itu, skalabilitas pada Solaris 10 telah diperbaiki.
• Rilis ini identik dengan RC3.

Apa yang baru di versi 3.3 RC3:

• Versi ini memperbaiki sejumlah masalah kecil namun terus-menerus, membulatkan dukungan IPv6, dan menambahkan fitur penting bagi banyak pengguna skrip Lua.
• Selain itu, skalabilitas pada Solaris 10 telah diperbaiki.
• Sejak RC2, pesan yang tidak berbahaya tetapi menakutkan tentang root yang kadaluwarsa telah dihapus.

Apa yang baru di versi 3.3 RC2:

• Rilis ini memperbaiki sejumlah masalah kecil namun persisten, membulatkan dukungan IPv6, dan menambahkan fitur penting bagi banyak pengguna skrip Lua.
• Selain itu, skalabilitas pada Solaris 10 telah diperbaiki.
• Sejak RC1, kompilasi pada RHEL5 telah diperbaiki.