PowerDNS Recursor

Что нового в версии:

• Исправления ошибок:
• # 5930: Не предполагайте, что запись TXT является первой записью для secpoll
• # 6082: не добавляйте записи, отличные от IN, в кэш

Что нового в версии 4.0.6:

• Исправлены ошибки:
• Используйте входящий ECS для поиска в кеше, если установлен параметр use-incoming-edns-subnet
• при создании сетевой маски из comboaddress мы пренебрегли нулем порта. Это может привести к распространению сетевых масок.
• Не принимайте исходный источник ECS для области видимости, если EDNS выключен.
• также устанавливает d_requestor без Lua: логике ECS это нужно
• Fix IXFR пропускает часть дополнений последней последовательности
• Рассчитать размер полезной нагрузки запрашивающего лица ниже 512, равный 512
• сделать URI-целые числа 16 бит, исправить билет # 5443
• запрет цитирования; исправления билет # 5401
• Улучшения:
• с этим, подсеть клиента EDNS становится совместимой с кэшем пакетов, используя существующую функцию ответа на переменные.
• Удалите из кэша достаточно записей, а не больше, чем запрос
• Переместить истекшие записи кэша вперед, чтобы они были удалены.
• изменен IPv6 addr из b.root-servers.net
• e.root-servers.net теперь имеет IPv6
• hello decaf signers (ED25519 и ED448) Алгоритм тестирования 15: 'Decaf ED25519' - & gt; 'Decaf ED25519' - & gt; «Decaf ED25519» Подпись и проверка ok, подпись 68usec, проверка 93usec Алгоритм тестирования 16: «Decaf ED448» - & gt; «Decaf ED448» - & gt; 'Decaf ED448' Подпись и подтверждение ok, подпись 163usec, проверьте 252usec
• не использовать подписчик libdecaf ed25519, когда включен libsodium
• не выводить сообщение в подписчике ed25519
• Отключить use-incoming-edns-подсеть по умолчанию

Что нового в версии 4.0.4:

• Исправлены ошибки:
• commit 658d9e4: проверить подпись TSIG на IXFR (Security Advisory 2016-04)
• commit 91acd82: не разбирайте ложные RR в запросах, когда они нам не нужны (Security Advisory 2016-02)
• commit 400e28d: исправить неверную проверку длины в DNSName при извлечении qtype или qclass
• commit 2168188: rec: Подождите, пока после демонатизации не начнутся потоки RPZ и protobuf.
• commit 3beb3b2: Вкл. (повторное) праймирование, выборка корневых записей NS
• commit cfeb109: rec: исправить инверсию src / dest в сообщении protobuf для запросов TCP
• совершить 46a6666: отказ от NSEC3 и неподходящие исправления Bogus.
• commit bb437d4: В RPZ customPolicy следуйте за CNAME
• commit 6b5a8f3: DNSSEC: не включайтесь в фид с нулевыми настроенными DS
• commit 1fa6e1b: не сбой на пустое кольцо запросов
• commit bfb7e5d: установите результат в NoError перед вызовом preresolve
• Дополнения и улучшения:
• commit 7c3398a: Добавьте максимальную рекурсию-глубину, чтобы ограничить количество внутренней рекурсии
• commit 3d59c6f: Исправить здание с поддержкой ECDSA в libcrypto
• commit 0170a3b: Добавить requestorId и некоторые комментарии к файлу определения protobuf
• commit d8cd67b: информировать о переадресованных зонах negcache
• commit 46ccbd6: записи кэша для зон, которые были делегированы из переадресованной зоны.
• совершить 5aa64e6, зафиксировать 5f4242e и совершить 0f707cd: DNSSEC: выполнить поиск ключей на основе разрезов зоны
• commit ddf6fa5: rec: добавить поддержку boost :: context & gt; = 1.61
• commit bb6bd6e: Добавить getRecursorThreadId () в Lua, идентифицируя текущий поток
• commit d8baf17: обрабатывать CNAME на вершине защищенных зон в других безопасных зонах.

Что нового в версии 4.0.0:

• Мы многое изменили внутри сервера имен:
• Переместился на C ++ 2011, более чистую более мощную версию C ++, которая позволила нам улучшить качество реализации во многих местах.
• Реализована выделенная инфраструктура для работы с именами DNS, которые полностью «DNS Native» и требует меньше экранирования и отмены.
• Переключение на двоичное хранение записей DNS во всех местах.
• Перемещенные списки управления доступом к выделенному дереву масок сети.
• Реализована версия RCU для изменений конфигурации
• Применили наше использование распределителя памяти, существенно сократили количество вызовов malloc.
• Инфраструктура Lua hook переделана с использованием LuaWrapper; старые скрипты больше не будут работать, но новые скрипты легче писать в новом интерфейсе.
• Из-за этих изменений PowerDNS Recursor 4.0.0 почти на порядок быстрее, чем ветвь 3.7.
• Обработка DNSSEC: если вы запрашиваете записи DNSSEC, вы получите их.
• Проверка DNSSEC: если она настроена, PowerDNS выполняет проверку ваших ответов на DNSSEC.
• Полностью обновленный API сценариев Lua, который является "DNSName" родной и, следовательно, гораздо менее подверженной ошибкам, и, скорее всего, быстрее для наиболее часто используемых сценариев. Загружает и индексирует список пользовательских политик в 1 миллион доменов за несколько секунд.
• Новый асинхронный для каждого домена, для ip-адреса, механизм запросов. Это позволяет PowerDNS проконсультироваться с внешней службой в реальном времени, чтобы определить статус клиента или домена. Это может означать, например, поиск фактической идентификации клиента с DHCP-сервера на основе IP-адреса (например, вариант 82).
• Поддержка RPZ (из файла, через AXFR или IXFR). Это загружает самую большую зону Spamhaus за 5 секунд на нашем оборудовании, содержащую около 2 миллионов инструкций.
• Теперь все кеши могут быть стерты на суффиксах из-за канонического упорядочения.
• Многие и многие другие релевантные показатели производительности, включая высокопроизводительные измерения производительности («это я или сеть медленнее»).
• Поддержка подсети клиента EDNS, включая понимание кэша ответов, зависящих от подсети.
• DNSSEC:
• Как указано в разделе функций выше, PowerDNS Recursor теперь имеет обработку DNSSEC и экспериментальную поддержку проверки DNSSEC. Обработка DNSSEC означает, что сервер имен будет возвращать RRSIG-записи при запросе клиентом (посредством DO-бит) и всегда будет получать RRSIG, даже если клиент не запрашивает. Он будет выполнять проверку и установить AD-бит в ответе, если клиент запрашивает проверку. В полномасштабном режиме DNSSEC, PowerDNS Recursor будет проверять ответы и устанавливать AD-бит в проверенных ответах, если клиент запрашивает его, и будет SERVFAIL на фиктивные ответы всем клиентам.
• Поддержка DNSSEC отмечена экспериментальной, но функциональной на данный момент, поскольку она имеет 2 ограничения:
• Отрицательные ответы подтверждены, но доказательство NSEC не полностью проверено.
• Зоны с CNAME на вершине (что в любом случае «неправильно») подтверждают как Bogus.
• Если вы запустили DNSSEC и заметили неработающие домены, выполните файл.

Что нового в версии 3.7.2:

• Наиболее важной частью этого обновления является исправление для CVE-2015-1868.

Что нового в версии 3.6.2:

• commit ab14b4f: ускорить создание сервлетов для ezdns-подобных сбоев (полностью прервать разрешение запроса, если мы нажмем более 50 выходов)
• commit 42025be: PowerDNS теперь проверяет статус безопасности выпуска при запуске и периодически. Более подробно об этой функции и о том, как ее отключить, можно найти в разделе 2 «Опрос безопасности».
• commit 5027429: Мы не передали правильный локальный адрес сокета в Lua для запросов TCP / IP в recursor. Кроме того, мы попытаемся найти файл filedescriptor, которого не было в разблокированной карте, которая могла бы привести к сбоям. Закрывает билет 1828, спасибо Винфрид за сообщение
• commit 752756c: синхронизация встроенной копии yahttp. API: Заменить HTTP Basic auth статическим ключом в пользовательском заголовке
• commit 6fdd40d: добавить отсутствующий #include в rec-channel.hh (это исправляет создание на OS X).

Что нового в версии 3.5.3:

• 3.5 заменил наш ANY-запрос на A + AAAA для пользователей с включенным IPv6. Обширные измерения Даррена Гэмбла показали, что это изменение имеет нетривиальное влияние на производительность. Теперь мы делаем ЛЮБОЙ запрос, как раньше, но при необходимости возвращаемся к индивидуальным запросам A + AAAA. Изменить фиксацию 1147a8b.
• Адрес IPv6 для d.root-servers.net был добавлен в commit 66cf384, благодаря Ральфу ван дер Эндену.
• Теперь мы отбрасываем пакеты с ненулевым кодом операции (т. е. специальные пакеты, такие как DNS UPDATE). Если включен экспериментальный флаг pdns-distributes-queries, это исправление позволяет избежать сбоя. Обычные настройки никогда не были восприимчивы к этой аварии. Код в commit 35bc40d, закрывает билет 945.
• Обработка TXT была несколько улучшена в фиксации 4b57460, закрывая билет 795.

Что нового в версии 3.3:

• В этом выпуске исправлено несколько небольших, но постоянных проблем, раундов от поддержки IPv6 и добавляет важную функцию для многих пользователей сценариев Lua.
• Кроме того, улучшена масштабируемость на Solaris 10.
• Этот выпуск идентичен RC3.

Что нового в версии 3.3 RC3:

• Эта версия исправляет ряд небольших, но постоянных проблем, завершает поддержку IPv6 и добавляет важную функцию для многих пользователей сценариев Lua.
• Кроме того, улучшена масштабируемость на Solaris 10.
• Начиная с RC2, было удалено безобидное, но страшное сообщение об истекшем корне.

Что нового в версии 3.3 RC2:

• В этом выпуске исправлено несколько небольших, но постоянных проблем, завершает поддержку IPv6 и добавляет важную функцию для многих пользователей сценариев Lua.
• Кроме того, улучшена масштабируемость на Solaris 10.
• Поскольку RC1, компиляция на RHEL5 исправлена.