Сравнение программного обеспечения DNS-сервера

В этой статье представлено сравнение функций, поддержки платформы и упаковки многих независимых реализаций доменного имени . Система (DNS) сервер имен программное обеспечение.

• 1 Сравнение серверов
  • 1.1 BIG-IP DNS
  • 1.2 BIND
  • 1.3 Сетевой регистратор Cisco
  • 1.4 CoreDNS
  • 1.5 Dnsmasq
  • 1.6 djbdns
  • 1,7 Узел DNS
  • 1.8 Узел Resolver
  • 1.9 MaraDNS
  • 1.10 Microsoft DNS
  • 1.11 NSD
  • 1.12 pdnsd
  • 1.13 Posadis
  • 1.14 PowerDNS
  • 1.15 Secure64 DNS
  • 1.16 Простой DNS Плюс
  • 1.17 Несвязанный
  • 1.18 YADIFA
• 2 Функции
  • 2.1 Описание функций
  • 2.2 Матрица функций
• 3 Платформы
• 4 Упаковка
• 5 См. Также
• 6 Ссылки
• 7 Внешние ссылки

Каждый из этих DNS серверов представляет собой независимую реализацию протоколов DNS, способную разрешать DNS-имена для других компьютеров, публикуя DNS-имена компьютеров или и того, и другого. Из рассмотрения исключены однофункциональные инструменты DNS (такие как прокси, фильтры и брандмауэры) и перераспределение серверов, перечисленных здесь (многие продукты переупаковывают BIND, например, с собственными пользовательскими интерфейсами).

DNS-серверы сгруппированы по нескольким категориям специализации обслуживания запросов системы доменных имен. Две основные роли, которые могут быть реализованы либо уникально, либо объединены в данном продукте:

• Полномочный сервер : Полномочные серверы имен публикуют сопоставления DNS для доменов, находящихся под их авторитетным контролем. Как правило, компания (например, «Примеры виджетов Acme») предоставляет свои собственные авторитетные службы для ответа на запросы адреса или другой информации DNS для www.example.int. Эти серверы перечислены в верхней части цепочки полномочий для своих соответствующих доменов и способны дать окончательный ответ. Авторитетные серверы имен могут быть первичными серверами имен, также известными как главные серверы, то есть они содержат исходный набор данных, или они могут быть вторичными или подчиненными серверами имен, содержащими копии данных, обычно получаемые в результате синхронизации непосредственно с первичным сервером, либо через Механизм DNS или другие механизмы синхронизации хранилища данных.
• Рекурсивный сервер : рекурсивные серверы (иногда называемые «кешами DNS», «серверами имен только для кеширования») обеспечивают разрешение имен DNS для приложений, путем ретрансляции запросов клиентского приложения в цепочку авторитетных серверов имен для полного разрешения сетевого имени. Они также (обычно) кэшируют результат для ответа на потенциальные будущие запросы в течение определенного срока (время жизни ). Большинство интернет-пользователей обращаются к рекурсивному серверу, предоставленному их интернет-провайдером, чтобы определить местонахождение хостов, таких как www.example.com.

BIG-IP DNS

F5 Networks DNS как авторитетный сервер, рекурсивный и добавляет дополнительные меры безопасности. Ключевым преимуществом является использование одного и того же контроллера доставки приложений для поддержки DNS и ускорения приложений.

BIND

BIND - это стандартный де-факто DNS-сервер. Это бесплатное программное обеспечение, которое распространяется с большинством платформ Unix и Linux, где его чаще всего называют именованным (name daemon). Это наиболее широко распространенный DNS-сервер. Исторически BIND подвергался трем основным изменениям, каждая из которых имела существенно отличающуюся архитектуру: BIND4, BIND8 и BIND9. BIND4 и BIND8 теперь технически устарели и не рассматриваются в этой статье. BIND9 - это переработанная версия BIND с полной поддержкой DNSSEC в дополнение к другим функциям и улучшениям.

Консорциум Интернет-систем начал разработку новой версии BIND 10. Его первый выпуск был в апреле 2010 года, но участие ISC завершилось выпуском BIND 10 версии 1.2 в апреле 2014 года. ISC сослалась на нехватку ресурсов для продолжили разработку BIND 10 и подтвердили свою приверженность BIND9.

Кодовая база BIND 10 продолжается как проект с открытым исходным кодом на http://bundy-dns.de/ (там же.) В настоящее время он не включен в это сравнение.

Сетевой регистратор Cisco

CNR включает коммерческий DNS-сервер от Cisco Systems, обычно используемый вместе с сервером CNR DHCP (Протокол динамической конфигурации хоста ). Он поддерживает высокие скорости динамического обновления.

CoreDNS

CoreDNS - рекомендуемый DNS-сервер для Kubernetes, выпущенный CNCF в 2019 году.

Dnsmasq

Dnsmasq - это легкий, простой в настройке Сервер пересылки DNS, предназначенный для предоставления услуг DNS (и опционально DHCP и TFTP ) в небольшой сети. Он может обслуживать имена локальных машин, не входящих в глобальный DNS.

Dnsmasq принимает запросы DNS и либо отвечает на них из небольшого локального кеша, либо перенаправляет их на реальный рекурсивный сервер DNS. Он загружает содержимое / etc / hosts, так что имена локальных хостов, которые не отображаются в глобальном DNS, могут быть разрешены.

djbdns

Djbdns - это набор приложений DNS, включая tinydns, который был вторым по популярности бесплатным программным обеспечением DNS-сервером в 2004 году. Он был разработан Дэниелом Дж. Бернштейн, автор qmail, с упором на соображения безопасности. В марте 2009 года Бернштейн заплатил 1000 долларов первому человеку, обнаружившему дыру в безопасности djbdns. Исходный код не поддерживается централизованно и был выпущен в общественное достояние в 2007 году. По состоянию на март 2009 года существует три форка и более дюжины патчей чтобы добавить дополнительные функции в djbdns.

Knot DNS

Knot DNS - это бесплатное программное обеспечение авторитетный DNS-сервер от CZ.NIC. Knot DNS стремится быть быстрым и отказоустойчивым DNS-сервером, используемым для инфраструктуры (корневого и TLD) и служб хостинга DNS. Knot DNS поддерживает подписывание DNSSEC и, среди прочего, корневую зону хостов (K и L Root_name_servers ), несколько доменов верхнего уровня.

Knot Resolver - это кэширующий полный преобразователь DNS от CZ.NIC, написанный на C и Lua и доступен как бесплатное программное обеспечение. Knot Resolver - это родственный проект Knot DNS, каждый из которых независим и служит разным целям. Knot Resolver используется Cloudflare для 1.1.1.1, его бесплатной службы DNS.

MaraDNS

MaraDNS - это бесплатное программное обеспечение DNS-сервер от Сэма Тренхолма, который заявляет о хорошей истории безопасности и простоте использования. Чтобы изменить какие-либо записи DNS, необходимо перезапустить MaraDNS. Как и djbdns dnscache, автономный рекурсивный преобразователь MaraDNS 2.0 («Deadwood») не использует потоки.

Microsoft DNS

Компонент Windows DNS Server для Microsoft DNS. Одно и то же программное обеспечение можно настроить для поддержки авторитетного, рекурсивного и гибридного режима. Программное обеспечение интегрировано с Active Directory, что делает его программным обеспечением DNS по умолчанию для многих корпоративных сетей, основанных на Active Directory. Он также позволяет создавать зоны с помощью стандартного файла зоны DNS . Программное обеспечение поставляется в виде роли в Windows Server. Серверное программное обеспечение поставляется с приложением dnscmd командной строки, мастером графического интерфейса управления DNS и пакетом DNS PowerShell. В Windows Server 2012 в Windows DNS добавлена ​​поддержка DNSSEC с полноценной онлайн-подписью, с поддержкой Dynamic DNS и NSEC3, а также с алгоритмами подписи RSASHA и ECDSA. Он предоставляет встроенного поставщика хранилища ключей и поддержку любого стороннего поставщика хранилища ключей, совместимого с CNG. Пользовательский интерфейс и поддержка PowerShell для управления DNS и DNSSEC также были улучшены. В Windows Server 2016 DNS-сервер поддерживает политики DNS, с помощью которых администраторы могут иметь больший контроль над процессом разрешения имен.

NSD

NSD - это бесплатное программное обеспечение предоставленный авторитетный сервер пользователя NLNet Labs. NSD - это тестовый сервер для DNSSEC; новые функции протокола DNSSEC часто прототипируются с использованием кодовой базы NSD. NSD размещает несколько доменов верхнего уровня и управляет тремя из корневых серверов имен.

pdnsd

Pdnsd - это кеширующий прокси-сервер DNS, который долго хранит кэшированные записи DNS на диске. срок удержания. Pdnsd спроектирован таким образом, чтобы быть легко адаптируемым к ситуациям, когда сетевое соединение является медленным, ненадежным, недоступным или очень динамичным, с ограниченными возможностями действовать в качестве авторитетного сервера имен. Он находится под лицензией GPL.

Posadis

Posadis - это бесплатное программное обеспечение DNS-сервер, написанный на C ++, с поддержкой обновления Dynamic DNS.

PowerDNS

PowerDNS - это бесплатное программное обеспечение DNS-сервер с множеством внутренних хранилищ данных и функциями балансировки нагрузки. Авторитетные и рекурсивные серверные функции реализованы как отдельные приложения.

Secure64 DNS

DNS Authority - это коммерческое программное обеспечение для авторитетных серверов имен от Secure64, компании, которая создала приложения и операционную систему Genuinely Secure DNS и полностью автоматизировала развертывание DNSSEC.

DNS Cache - это масштабируемое, высоконадежное рекурсивное программное обеспечение DNS от Secure64, которое обеспечивает встроенную защиту от массовых атак типа «отказ в обслуживании», включая атаки псевдослучайного субдомена (PRSD).

Simple DNS Plus

Simple DNS Plus - это коммерческий продукт DNS-сервера, работающий под Microsoft Windows с упором на простой в использовании GUI. Похоже, что обслуживание программного обеспечения в последние годы ослабло.

Unbound

Unbound - это проверяющий, рекурсивный и кэширующий DNS-сервер, разработанный для обеспечения высокой производительности. Он был выпущен 20 мая 2008 г. (версия 1.0.0) как бесплатное программное обеспечение под лицензией BSD от NLnet Labs. Он устанавливается как часть базовой системы в FreeBSD, начиная с версии 10.0, и в NetBSD с версией 8.0. Версия также доступна в OpenBSD версии 5.6 и выше. (Предыдущие версии FreeBSD поставлялись с BIND.)

YADIFA

YADIFA [5] - это лицензированный BSD DNS-сервер с эффективным использованием памяти, написанный на C. Аббревиатура YADIFA означает Еще одна реализация DNS для всех. Он был создан EURid, который управляет доменом верхнего уровня.eu.

Функции

Некоторые функции DNS актуальны только для рекурсивных серверов или авторитетных серверов. В результате матрица функций, подобная той, что представлена ​​в этой статье, не может сама по себе отражать эффективность или зрелость данной реализации.

Еще одним важным параметром является архитектура сервера. Некоторые DNS-серверы обеспечивают поддержку обеих ролей сервера в единой «монолитной» программе. Другие делятся на более мелкие программы, каждая из которых реализует подсистему сервера. Как и в классической дискуссии о микроядре в компьютерных науках, важность и полезность этого различия горячо обсуждается. В матрице функций в этой статье не обсуждается, предоставляются ли функции DNS в одной программе или в нескольких, при условии, что эти функции предоставляются с базовым серверным пакетом, а не с дополнительным программным обеспечением сторонних производителей.

Описание функций

Авторитетный

Основная категория функций DNS-сервера, см. Выше.

Рекурсивный

Основная категория функций DNS-сервера, см. Выше.

Рекурсивный контроль доступа

Серверы с этой функцией обеспечивают контроль над тем, на каких хостах разрешен рекурсивный поиск DNS. Это полезно для балансировки нагрузки и защиты служб.

Дополнительный режим (или подчиненный режим)

Полномочные серверы могут публиковать контент, исходящий из основного хранилища данных (например, файлы зон или базы данных, подключенные к процессам бизнес-администрирования) - иногда также называемые «главными» серверами - или могут быть вторичными (или подчиненными) серверами, повторно публикуя контент, полученный с таких первичных серверов и синхронизированный с ними. Серверы с функцией «вторичного режима» имеют встроенную возможность извлекать и повторно публиковать контент с других серверов. Обычно, хотя и не всегда, это обеспечивается с использованием протокола DNS AXFR.

Кэширование

Серверы с этой функцией предоставляют рекурсивные службы для приложений и кэшируют результаты, чтобы в будущем запросы на на то же имя можно ответить быстро, без полного поиска в DNS. Это важная характеристика производительности, так как она значительно снижает задержку DNS-запросов.

DNSSEC

Серверы с этой функцией реализуют некоторые варианты протоколов DNSSEC. Они могут публиковать имена с подписями записей ресурсов (обеспечивая «безопасную службу авторизации») и могут проверять эти подписи во время рекурсивного поиска (обеспечивая «безопасный преобразователь»). DNSSEC становится все более распространенным, поскольку корневой ключ DNSSEC был внедрен ICANN. Развертывание на отдельные сайты растет, поскольку домены верхнего уровня также начинают развертывать DNSSEC. Наличие функций DNSSEC является важной характеристикой DNS-сервера.

TSIG

Серверы с этой функцией обычно предоставляют услуги DNSSEC. Кроме того, они поддерживают протокол TSIG, который позволяет клиентам DNS устанавливать безопасный сеанс с сервером для публикации записей динамического DNS или запроса безопасного поиска DNS без затрат и сложности. полной поддержки DNSSEC.

IPv6

Серверы с этой функцией могут публиковать или обрабатывать записи DNS, которые относятся к адресам IPv6. Помимо полной поддержки IPv6, они должны реализовать транспортный протокол IPv6 для запросов и зональных передач во вторичных / первичных отношениях и функций пересылки.

Подстановочный знак

Серверы с этой функцией могут публиковать информацию для записей подстановочных знаков, которые предоставляют данные о DNS-именах в зонах DNS, которые специально не указаны в зоне.

Split horizon

Серверы с функцией split-horizon DNS могут давать разные отвечает в зависимости от исходного IP-адреса запроса.

Матрица характеристик

В этом обзоре операционной системы em для обсуждаемого DNS-сервера, следующие термины указывают уровень поддержки:

• Нет означает, что он не существует или никогда не выпускался.
• Частично означает, что пока он работает, сервер отсутствует важная функциональность по сравнению с версиями для других ОС; однако он все еще разрабатывается.
• Бета означает, что хотя версия полностью функциональна и выпущена, она все еще находится в разработке (например, для обеспечения стабильности).
• Да означает, что она была официально выпущен в полнофункциональной, стабильной версии.
• Включено означает, что сервер поставляется в предварительно упакованном виде или интегрирован в операционную систему.

Эта компиляция не является исчерпывающей, а скорее отражает наиболее распространенные платформы сегодня.

• Сравнение программного обеспечения DHCP-сервера
• Программное обеспечение для управления DNS
• Общедоступный рекурсивный сервер имен

• Интернет-опрос Дона Мура по DNS, май 2004 г.
• Резюме исследования DNS The Measurement Factory: апрель и июнь 2005 г.
• Beehive / CoDoNS D Исследование NS: июль 2004 г.
• Исследование ITU ccTLD DNS