PowerDNS Recursor

Recursor de PowerDNS es un servidor de nombres de resolución abierto, de alta gama, gratuito, portátil y de alto rendimiento, un software de línea de comandos que proporciona a los administradores del sistema un conjunto de funciones completo y rico en funciones tecnologías relacionadas con el correo electrónico y la denominación de Internet. Es parte del conocido paquete de software PowerDNS.

PowerDNS es un software de servidor de nombres de daemon de código abierto escrito desde cero que proporciona un servidor de nombres de alto rendimiento, moderno y avanzado con autorización. Interactúa con casi cualquier base de datos y cumple con todos los documentos de estándares de DNS (Sistema de nombres de dominio) relevantes.

Las características clave incluyen soporte completo para todos los estándares populares, soporte DNS64, la capacidad de reconfigurarlo sin tiempo de inactividad, soporte para medidas de seguridad y listas de bloqueo, acceso remoto y local, poderosas medidas antisuposión, reacondicionamiento de respuestas, intercepción de preguntas, NXDOMAIN redirección, archivos de zona BIND simples, API de control directo y generación de respuestas con script incorporada basada en Lua.

Además, incluye características de primer nivel que son comunes a todos los productos PowerDNS, incluyendo soporte para IPv4 (UDP y TCP), IPv6 (UDP y TCP), alto rendimiento, SNMP de solo lectura (Protocolo simple de administración de red) puente de estadísticas, así como gráficos en tiempo real a través de estadísticas remotamente comparables.

PowerDNS Recursor es un software muy poderoso que puede manejar cientos de millones de resoluciones DNS, respaldado por múltiples procesadores y la misma funcionalidad de scripting de última generación que se utiliza en el producto PowerDNS Authoritative Server. Es un programa de resolución de DNS muy flexible y de alto rendimiento escrito especialmente para sistemas GNU / Linux.

PowerDNS está disponible en todas las principales distribuciones de Linux y utiliza una arquitectura de back-end flexible, diseñada específicamente para permitir el acceso a la información de DNS desde cualquier fuente de datos. El software está escrito en su totalidad en el lenguaje de programación C ++ y está disponible para su descarga como instaladores nativos para los sistemas operativos Ubuntu / Debian y Red Hat / Fedora, así como también como un archivo fuente. Se ha probado con éxito en plataformas de hardware de 32 bits y de 64 bits.

Qué hay de nuevo en esta versión:

• Mejoras:
• # 6550, # 6562: agregue una opción de subárbol al punto final de la memoria caché de la API.
• # 6566: utilice un conducto separado sin bloqueo para distribuir consultas.
• # 6567: Mueva el control de carbon / webserver / control / stats a un hilo separado.
• # 6583: Agregue las versiones de _raw para QName / ComboAddresses a la API de FFI.
• # 6611, # 6130: Actualice los años de copyright hasta 2018 (Matt Nordhoff).
• # 6474, # 6596, # 6478: corregir una advertencia en botan & gt; = 2.5.0.
• Corrección de errores:
• # 6313: cuente una búsqueda en una zona de autenticación interna como falta de memoria caché.
• # 6467: no aumente los contadores de validaciones DNSSEC cuando se ejecuta con process-no-validate.
• # 6469: respete el tiempo de espera de AXFR mientras se conecta al servidor RPZ.
• # 6418, # 6179: aumente el tamaño de pila de MTasker para evitar el bloqueo en el desenrollado de excepciones (Chris Hofstaedtler).
• # 6419, # 6086: use el tiempo SyncRes en nuestras pruebas unitarias cuando verifique la validez de la caché (Chris Hofstaedtler).
• # 6514, # 6630: Agrega -dinámica a C {, XX} BANDERAS cuando construimos con LuaJIT.
• # 6588, # 6237: demora la carga de zonas RPZ hasta que finalice el análisis, lo que establece una condición de carrera.
• # 6595, # 6542, # 6516, # 6358, # 6517: Reordenar para evitar aumentar el conflicto de L.

Qué hay de nuevo en la versión:

• Corrección de errores:
• # 5930: no asuma que el registro TXT es el primer registro de secpoll
• # 6082: No agregue registros que no sean IN al caché

Qué hay de nuevo en la versión 4.0.6:

• Corrección de errores:
• Utilice el ECS entrante para la búsqueda de caché si se establece use-incoming-edns-subnet
• al crear una máscara de red de una comboaddress, no hicimos ningún cambio en el puerto. Esto podría llevar a una proliferación de máscaras de red.
• No tome la fuente de ECS inicial para un alcance uno si EDNS está desactivado
• también establece d_requestor sin Lua: la lógica de ECS lo necesita
• Repara IXFR omitiendo las adiciones de la última secuencia
• Trate el tamaño de la carga útil del solicitante inferior a 512 como igual a 512
• crea enteros URI de 16 bits, corrige el ticket # 5443
• unbreak citando; arregla el ticket # 5401
• Mejoras:
• con esto, EDNS Client Subnet se vuelve compatible con el caché de paquetes, utilizando la función de respuesta variable existente.
• Elimina solo las entradas suficientes del caché, no una más de lo que se pidió
• Mueva las entradas caché caducadas al frente para que se eliminen
• cambió el addr de IPv6 de b.root-servers.net
• e.root-servers.net tiene IPv6 ahora
• hello decaf firmantes (ED25519 y ED448) Algoritmo de prueba 15: 'Decaf ED25519' - & gt; 'Decaf ED25519' - & gt; 'Decaf ED25519' Firma y verificación correcta, firma 68usec, verificar 93usec Algoritmo de prueba 16: 'Decaf ED448' - & gt; 'Decaf ED448' - & gt; 'Decaf ED448' Firma y verificar bien, firma 163usec, verificar 252usec
• no use el firmante de libdecaf ed25519 cuando libsodium está habilitado
• no hash el mensaje en el firmador ed25519
• Inhabilita use-incoming-edns-subnet de forma predeterminada

Qué hay de nuevo en la versión 4.0.4:

• Corrección de errores:
• commit 658d9e4: Comprobar la firma de TSIG en IXFR (Security Advisory 2016-04)
• commit 91acd82: no analiza los RR falsos en consultas cuando no los necesitamos (Security Advisory 2016-02)
• commit 400e28d: corrige la comprobación de longitud incorrecta en DNSName al extraer qtype o qclass
• commit 2168188: rec: espera hasta después de la daemonización para iniciar el RPZ y los hilos de protobuf
• commit 3beb3b2: En (re) cebado, busque los registros NS de la raíz
• commit cfeb109: rec: arregla la inversión src / dest en el mensaje protobuf para consultas TCP
• commit 46a6666: opt-out NSEC3 y correcciones falsas inseguras falsas
• commit bb437d4: en RPZ customPolicy, siga el CNAME resultante
• commit 6b5a8f3: DNSSEC: no falsifique en los DS configurados cero
• commit 1fa6e1b: No bloquearse en un anillo de consulta vacío
• commit bfb7e5d: establezca el resultado en NoError antes de llamar a preresolve
• Adiciones y mejoras:
• commit 7c3398a: Agregue max-recursión-profundidad para limitar el número de recursiones internas
• commit 3d59c6f: reparación del edificio con soporte ECDSA deshabilitado en libcrypto
• commit 0170a3b: agrega requestorId y algunos comentarios al archivo de definición de protobuf
• cometer d8cd67b: hacer que las zonas reenviadas de Necache estén al tanto
• commit 46ccbd6: registros de caché para zonas a las que se delegó desde una zona reenviada
• commit 5aa64e6, commit 5f4242e y commit 0f707cd: DNSSEC: Implementa keysearch basado en cortes de zona
• commit ddf6fa5: rec: agrega soporte para boost :: context & gt; = 1.61
• commit bb6bd6e: agregue getRecursorThreadId () a Lua, identificando el hilo actual
• commit d8baf17: maneje CNAME en la cima de las zonas seguras a otras zonas seguras

Qué hay de nuevo en la versión 4.0.0:

• Cambiamos muchas cosas internamente en el servidor de nombres:
• Movido a C ++ 2011, una versión más limpia de C ++ que nos ha permitido mejorar la calidad de la implementación en muchos lugares. c
• Se implementó una infraestructura dedicada para tratar con los nombres DNS que son completamente & quot; DNS Native & quot; y necesita menos escapatoria y escapatoria.
• Cambió al almacenamiento binario de registros DNS en todos los lugares.
• movió ACL a un árbol de máscara de red dedicado.
• Implementado una versión de RCU para cambios de configuración
• Instrumentamos nuestro uso del asignador de memoria, una cantidad reducida de llamadas malloc sustancialmente.
• La infraestructura del enlace de Lua se renovó utilizando LuaWrapper; los scripts antiguos ya no funcionarán, pero los nuevos scripts son más fáciles de escribir en la nueva interfaz.
• Debido a estos cambios, PowerDNS Recursor 4.0.0 es casi un orden de magnitud más rápido que la rama 3.7.
• Procesamiento de DNSSEC: si solicita registros de DNSSEC, los obtendrá.
• Validación de DNSSEC: si así se configura, PowerDNS realizará la validación de DNSSEC de sus respuestas.
• API de scripts de Lua completamente renovada que es & quot; Nombre DNS & quot; nativo y, por lo tanto, mucho menos propenso a errores, y probablemente más rápido para los escenarios más comúnmente utilizados. Carga e indexa una lista de políticas personalizadas de 1 millón de dominios en pocos segundos.
• Nuevo motor asíncrono por dominio, dirección IP y consulta. Esto permite a PowerDNS consultar un servicio externo en tiempo real para determinar el estado del cliente o dominio. Esto podría significar, por ejemplo, buscar la identidad real del cliente desde un servidor DHCP basado en la dirección IP (opción 82, por ejemplo).
• Soporte de RPZ (desde archivo, sobre AXFR o IXFR). Esto carga la zona más grande de Spamhaus en 5 segundos en nuestro hardware, que contiene alrededor de 2 millones de instrucciones.
• Ahora se pueden borrar todos los cachés con sufijos, debido a los pedidos canónicos.
• Muchas, muchas métricas de rendimiento más relevantes, incluidas mediciones de rendimiento autoritativas en sentido ascendente ("¿Soy yo o la red es lenta?)
• Soporte de subred de cliente EDNS, incluida la concientización de caché de respuestas que varían en subredes.
• DNSSEC:
• Como se indica en la sección de funciones anterior, el Recursor de PowerDNS ahora tiene procesamiento de DNSSEC y soporte de validación de DNSSEC experimental. El procesamiento de DNSSEC significa que el servidor de nombres devolverá los registros de RRSIG cuando así lo solicite el cliente (mediante el bit DO) y siempre recuperará los RRSIG, incluso si el cliente no lo solicita. Realizará la validación y establecerá el bit AD en la respuesta si el cliente solicita la validación. En modo DNSSEC completamente desarrollado, el Recursor PowerDNS validará las respuestas y configurará el bit AD en respuestas validadas si el cliente lo solicita y SERVFAIL en respuestas falsas a todos los clientes.
• El soporte de DNSSEC se marca como experimental, pero funcional en este momento, ya que tiene 2 limitaciones:
• Respuestas negativas validadas pero la prueba NSEC no se verifica por completo.
• Las zonas que tienen un CNAME en el ápice (que de todos modos es "incorrecto") lo validan como falso.
• Si ejecuta con DNSSEC habilitado y observa dominios rotos, presente un problema.

Qué hay de nuevo en la versión 3.7.2:

• La parte más importante de esta actualización es una solución para CVE-2015-1868.

Qué hay de nuevo en la versión 3.6.2:

• commit ab14b4f: agiliza la generación de servfail para fallas similares a ezdns (cancela por completo la resolución de consultas si alcanzamos más de 50 solicitudes)
• commit 42025be: PowerDNS ahora sondea el estado de seguridad de una versión al inicio y periódicamente. Puede encontrar más detalles sobre esta función y cómo desactivarla en la Sección 2, & quot; Encuesta de seguridad & quot;.
• commit 5027429: No transmitimos la dirección de socket "local" correcta a Lua para consultas de TCP / IP en el recursor. Además, intentaríamos buscar un descriptor de archivo que no estaba allí en un mapa desbloqueado que podría conducir a bloqueos. Cierra el ticket 1828, gracias a Winfried por informar
• commit 752756c: Sincronizar copia yahttp incrustada. API: Reemplace la autenticación HTTP básica con la clave estática en el encabezado personalizado
• commit 6fdd40d: agrega el #include faltante a rec-channel.hh (esto corrige la construcción en OS X).

Qué hay de nuevo en la versión 3.5.3:

• 3.5 reemplazó nuestra consulta ANY con A + AAAA para usuarios con IPv6 habilitado. Las medidas exhaustivas de Darren Gamble mostraron que este cambio tuvo un impacto de rendimiento no trivial. Ahora hacemos la consulta CUALQUIERA como antes, pero recurrimos a las consultas individuales de A + AAA cuando es necesario. Cambiar en la confirmación 1147a8b.
• La dirección IPv6 para d.root-servers.net se agregó en la confirmación 66cf384, gracias Ralf van der Enden.
• Ahora lanzamos paquetes con un código de operación distinto de cero (es decir, paquetes especiales como DNS UPDATE) anteriormente. Si el indicador experimental pdns-distributes-queries está habilitado, este arreglo evita un bloqueo. Las configuraciones normales nunca fueron susceptibles a este bloqueo. Código en commit 35bc40d, cierra ticket 945.
• El manejo de TXT se mejoró algo en commit 4b57460, cierre de ticket 795.

Qué hay de nuevo en la versión 3.3:

• Esta versión corrige varios problemas pequeños pero persistentes, rondas fuera del soporte de IPv6, y agrega una característica importante para muchos usuarios de los scripts de Lua.
• Además, la escalabilidad en Solaris 10 se ha mejorado.
• Esta versión es idéntica a RC3.

Qué hay de nuevo en la versión 3.3 RC3:

• Esta versión corrige un número de problemas pequeños pero persistentes, completa el soporte de IPv6 y agrega una característica importante para muchos usuarios de los scripts de Lua.
• Además, la escalabilidad en Solaris 10 se ha mejorado.
• Desde RC2, se eliminó un mensaje inofensivo pero aterrador sobre una raíz caducada.

¿Qué hay de nuevo en la versión 3.3 RC2:

• Esta versión corrige un número de problemas pequeños pero persistentes, complementa la compatibilidad con IPv6 y agrega una función importante para muchos usuarios de los scripts de Lua.
• Además, la escalabilidad en Solaris 10 se ha mejorado.
• Desde RC1, se corrigió la compilación en RHEL5.