Сравнение программного обеспечения DNS-сервера

В этой статье представлено сравнение функций, поддержки платформ и пакетов многих независимых реализаций системы доменных имен (DNS) программного обеспечения сервера имен .

Каждый из этих DNS- серверов представляет собой независимую реализацию протоколов DNS, способную разрешать DNS-имена для других компьютеров, публиковать DNS-имена компьютеров или и то, и другое. Из рассмотрения исключены однофункциональные инструменты DNS (такие как прокси, фильтры и брандмауэры) и перераспределение серверов, перечисленных здесь (например, многие продукты перепаковывают BIND с собственными пользовательскими интерфейсами).

DNS-серверы сгруппированы в несколько категорий по специализации обслуживания запросов системы доменных имен. Две основные роли, которые могут быть реализованы либо по отдельности, либо в сочетании в данном продукте:

• Авторитетный сервер : авторитетные серверы имен публикуют сопоставления DNS для доменов, находящихся под их авторитетным контролем. Обычно компания (например, «Примеры виджетов Acme») предоставляет свои собственные авторитетные службы для ответа на запросы адреса или для получения другой информации DNS для www.example.int . Эти серверы указаны как находящиеся на вершине цепочки полномочий для своих соответствующих доменов и способны дать окончательный ответ. Авторитетные серверы имен могут быть первичными серверами имен , также известными как главные серверы, т. е. они содержат исходный набор данных, или они могут быть вторичными или подчиненными серверами имен , содержащими копии данных, обычно полученные в результате синхронизации непосредственно с основным сервером, либо через механизм DNS или другие механизмы синхронизации хранилища данных.
• Рекурсивный сервер : рекурсивные серверы (иногда называемые «DNS-кэшами», «кэширующими серверами имен») обеспечивают разрешение DNS-имен для приложений, передавая запросы клиентского приложения цепочке авторитетных серверов имен для полного разрешения сетевого имени. Они также (обычно) кэшируют результат для ответа на потенциальные будущие запросы в течение определенного периода действия ( времени жизни ). Большинство пользователей Интернета обращаются к рекурсивному серверу, предоставляемому их интернет-провайдером, для поиска интернет- хостов, таких как www.example.com .

Линия продуктов F5 Networks BIG-IP предлагает DNS в качестве авторитетного или рекурсивного сервера и добавляет дополнительные меры безопасности. Ключевым преимуществом является использование одного и того же контроллера доставки приложений для поддержки DNS и ускорения приложений. ^{[ нужна ссылка ]}

BIND — это де-факто стандартный DNS-сервер. Это бесплатный программный продукт, который распространяется на большинстве платформ Unix и Linux, где его чаще всего также называют именованным (имя демона). Это наиболее широко распространенный DNS-сервер. ^[1] Исторически BIND претерпел три основных изменения, каждая из которых имела существенно различающуюся архитектуру: BIND4, BIND8 и BIND9. BIND4 и BIND8 технически устарели и не рассматриваются в этой статье. BIND9 — это переписанная версия BIND с полной поддержкой DNSSEC в дополнение к другим функциям и улучшениям.

Консорциум Интернет-систем начал разработку новой версии BIND 10. Ее первый выпуск состоялся в апреле 2010 года, но участие ISC завершилось выпуском BIND 10 версии 1.2 в апреле 2014 года. ISC сослалась на нехватку ресурсов для продолжения разработки BIND 10. и они подтвердили свою приверженность BIND9. ^[2]

Кодовая база BIND 10 продолжает существовать как проект с открытым исходным кодом. В настоящее время он не включен в это сравнение.

CNR включает в себя коммерческий DNS-сервер от Cisco Systems, обычно используемый вместе с сервером CNR DHCP ( протокол динамической конфигурации хоста ). Он поддерживает высокие скорости динамического обновления.

CoreDNS — рекомендуемый DNS-сервер. ^[3] для Kubernetes и окончил CNCF в 2019 году. ^[4]

Dnsmasq — это легкий и простой в настройке сервер пересылки DNS, предназначенный для предоставления услуг DNS (и, при необходимости, DHCP и TFTP ) в небольшой сети. Он может обслуживать имена локальных компьютеров, которых нет в глобальном DNS.

Dnsmasq принимает DNS-запросы и либо отвечает на них из небольшого локального кеша, либо перенаправляет их на реальный рекурсивный DNS-сервер. Он загружает содержимое /etc/hosts , чтобы можно было разрешить имена локальных хостов, которые не отображаются в глобальном DNS.

Djbdns — это набор DNS-приложений, в том числе tinydns , который был вторым по популярности DNS-сервером с бесплатным программным обеспечением в 2004 году. ^[1] Он был разработан Дэниелом Дж. Бернштейном , автором qmail , с упором на соображения безопасности. В марте 2009 года Бернштейн заплатил 1000 долларов первому человеку, обнаружившему дыру в безопасности в djbdns. ^[5] Исходный код не поддерживается централизованно и был выпущен в общественное достояние в 2007 году. Существует несколько вилок и более дюжины патчей для добавления дополнительных функций в djbdns.

gdnsd — это DNS-сервер, предназначенный для географической балансировки. ^[6] gdnsd — это DNS-сервер, используемый Википедией для своих серверов и сетей. ^[7]

Knot DNS — это авторитетный DNS-сервер с бесплатным программным обеспечением от CZ.NIC . Knot DNS стремится стать быстрым и отказоустойчивым DNS-сервером, который можно использовать для инфраструктуры (корневой домен и TLD) и услуг DNS- хостинга. Knot DNS поддерживает подпись DNSSEC B, K и L и, среди прочего, размещает корневую зону ( корневые серверы имен ), несколько доменов верхнего уровня .

Knot Resolver — это современная реализация преобразователя с открытым исходным кодом, разработанная для обеспечения масштабируемости, отказоустойчивости и гибкости. Его базовая архитектура небольшая и эффективная, а большинство богатых функций реализованы в виде дополнительных модулей, что ограничивает возможности атаки и повышает производительность. Многие функции резольвера доступны «из коробки» в виде модулей, сохраняя при этом ядро ​​небольшим и эффективным. Модульная архитектура предоставляет конечный автомат, подобный API, для расширений, таких как модули C и Lua. ^[8]

MaraDNS — это бесплатный программный DNS-сервер от Сэма Тренхолма, который имеет хорошую историю безопасности и простоту использования. ^{[9] [10]} Чтобы изменить какие-либо записи DNS, необходимо перезапустить MaraDNS. Как и djbdns dnscache, автономный рекурсивный преобразователь MaraDNS 2.0 («Deadwood») не использует потоки. ^[11]

DNS-сервер Windows ^[12] компонент Microsoft DNS. Одно и то же программное обеспечение можно настроить для поддержки авторитетного, рекурсивного и гибридного режима. Программное обеспечение интегрировано с Active Directory , что делает его программным обеспечением DNS по умолчанию для многих корпоративных сетей, основанных на Active Directory . Он также позволяет создавать зоны с помощью стандартного файла зоны DNS . Программное обеспечение поставляется в виде роли в Windows Server . Серверное программное обеспечение поставляется с приложением командной строки dnscmd, ^[13] мастер графического интерфейса управления DNS и DNS PowerShell ^[14] упаковка. В Windows Server 2012 в DNS Windows добавлена ​​поддержка DNSSEC. ^[15] с полноценной онлайн-подписью, с поддержкой Dynamic DNS и NSEC3 , а также алгоритмами подписи RSASHA и ECDSA. Он предоставляет встроенный поставщик хранилища ключей и поддержку любого стороннего поставщика хранилища ключей, совместимого с CNG. пользовательский интерфейс и поддержка PowerShell Также были улучшены для управления DNS и DNSSEC.В Windows Server 2016 DNS-сервер поддерживает политики DNS, с помощью которых администраторы могут иметь больший контроль над процессом разрешения имен. ^[16]

NSD — это авторитетный сервер бесплатного программного обеспечения , предоставляемый NLNet Labs. NSD — это тестовый сервер DNSSEC; новые функции протокола DNSSEC часто моделируются с использованием кодовой базы NSD. NSD размещает несколько доменов верхнего уровня и управляет тремя корневыми серверами имен .

Pdnsd — это кеширующий прокси-сервер DNS, который хранит кэшированные записи DNS на диске для долгосрочного хранения. Pdnsd разработан таким образом, чтобы быть легко адаптируемым к ситуациям, когда сетевое соединение медленное, ненадежное, недоступное или очень динамичное, с ограниченными возможностями выступать в качестве авторитетного сервера имен. Он распространяется под лицензией GPL . ^[17]

Posadis — это бесплатный программный DNS-сервер, написанный на C++, с поддержкой динамических обновлений DNS .

PowerDNS — это бесплатный программный DNS-сервер с различными серверными модулями хранения данных и функциями балансировки нагрузки. Функции авторитетного и рекурсивного сервера реализованы в виде отдельных приложений, а также отдельного прокси-сервера кэширования DNS (dnsdist), который реализует такие функции, как DNS через HTTPS.

DNS Authority — это коммерческое авторитетное программное обеспечение сервера имен от Secure64 , компании, которая создала приложения и операционную систему Genuinely Secure DNS и полностью автоматизировала развертывание DNSSEC.

DNS Cache — это масштабируемое, высокозащищенное рекурсивное программное обеспечение DNS от Secure64, которое обеспечивает встроенную защиту от массовых атак типа «отказ в обслуживании», включая атаки псевдослучайного поддомена (PRSD).

Simple DNS Plus — это коммерческий продукт DNS-сервера, работающий под управлением Microsoft Windows с упором на простой в использовании графический интерфейс . В последние годы обслуживание программного обеспечения, похоже, замедлилось.

DNS-сервер Технитиум ^{[18] [19]} это бесплатная программа с открытым исходным кодом ^[20] (GPLv3), ^[21] кроссплатформенное, авторитетное, кэширующее и рекурсивное программное обеспечение DNS-сервера. Он поддерживает зашифрованные DNS-протоколы DNS-over-TLS , DNS-over-HTTPS и DNS-over-QUIC . ^[22] Он также поддерживает подпись и проверку DNSSEC для алгоритмов RSA и ECDSA как с NSEC, так и с NSEC3.

DNS-сервер также имеет функцию блокировки доменных имен с помощью списков блокировки. ^[23] а также поддерживает использование HTTP или SOCKS5 для передачи DNS-запросов через сеть Tor . ^[24]

DNS-сервер поддерживает запуск независимо разработанных плагинов, которые можно использовать для обработки DNS-запросов и ответа на них. Он также предоставляет HTTP API, который может использоваться сторонним программным обеспечением для управления DNS-сервером. ^[25]

Unbound — это проверяющий, рекурсивный и кэширующий DNS-сервер, предназначенный для высокой производительности. Он был выпущен 20 мая 2008 г. (версия 1.0.0) как бесплатное программное обеспечение под лицензией BSD компанией NLnet Labs. Устанавливается в составе базовой системы во FreeBSD начиная с версии 10.0 и в NetBSD с версии 8.0. Версия также доступна в OpenBSD версии 5.6 и выше. (Предыдущие версии FreeBSD поставлялись с BIND.)

YADIFA — это DNS-сервер с эффективным использованием памяти, лицензированный BSD, написанный на C. Аббревиатура YADIFA расшифровывается как « Еще одна реализация DNS для всех» . Он был создан компанией EURid , которая управляет доменом верхнего уровня .eu. ^[26]

Некоторые функции DNS применимы только к рекурсивным или авторитетным серверам. В результате матрица функций, подобная представленной в этой статье, сама по себе не может отражать эффективность или зрелость конкретной реализации.

Еще одним важным параметром является архитектура сервера. Некоторые DNS-серверы обеспечивают поддержку обеих ролей сервера в одной «монолитной» программе. Другие разделены на более мелкие программы, каждая из которых реализует подсистему сервера. Как и в классических дебатах о микроядрах в области компьютерных наук , важность и полезность этого различия горячо обсуждаются. В матрице функций в этой статье не обсуждается, предоставляются ли функции DNS в одной программе или в нескольких, при условии, что эти функции предоставляются в базовом пакете сервера, а не в дополнительном программном обеспечении стороннего производителя.

Авторитетный

Основная категория функций DNS-сервера, см. выше.

Рекурсивный

Основная категория функций DNS-сервера, см. выше.

Рекурсивный контроль доступа

Серверы с этой функцией обеспечивают контроль над тем, каким хостам разрешен рекурсивный поиск DNS. Это полезно для балансировки нагрузки и защиты сервисов.

Вторичный режим (или подчиненный режим)

Авторитетные серверы могут публиковать контент, который поступает из основного хранилища данных (например, файлы зон или базы данных, связанные с процессами бизнес-администрирования) (иногда их также называют «главными» серверами) или могут быть вторичными (или подчиненными ) серверами, повторно публикующими контент, полученный из и синхронизированы с такими основными серверами. Серверы с функцией «вторичного режима» имеют встроенную возможность получать и повторно публиковать контент с других серверов. Обычно, хотя и не всегда, это обеспечивается с использованием протокола DNS AXFR .

Кэширование

Серверы с этой функцией предоставляют рекурсивные услуги для приложений и кэшируют результаты, чтобы на будущие запросы с тем же именем можно было быстро отвечать без полного поиска DNS. Это важная функция производительности, поскольку она значительно снижает задержку DNS-запросов.

DNSSEC

Серверы с этой функцией реализуют некоторые варианты протоколов DNSSEC . Они могут публиковать имена с подписями записей ресурсов (обеспечивая «службу безопасного авторитета») и могут проверять эти подписи во время рекурсивного поиска (обеспечивая «безопасный преобразователь»). развернула корневой ключ DNSSEC DNSSEC становится все более распространенным, поскольку ICANN . Развертывание на отдельных сайтах растет, поскольку домены верхнего уровня тоже начинают развертывать DNSSEC. Наличие функций DNSSEC является примечательной характеристикой DNS-сервера.

ТИГ

Серверы с этой функцией обычно предоставляют услуги DNSSEC. Кроме того, они поддерживают протокол TSIG (Transaction SIGnature), который позволяет DNS-клиентам устанавливать безопасный сеанс с сервером для публикации записей динамического DNS или запроса безопасного поиска DNS без затрат и сложности полной поддержки DNSSEC.

IPv6

Серверы с этой функцией способны публиковать или обрабатывать записи DNS, относящиеся к адресам IPv6 . Помимо полной поддержки IPv6, они должны реализовать транспортный протокол IPv6 для запросов и зонной передачи во вторичных/основных отношениях и функций пересылки.

Подстановочный знак

Серверы с этой функцией могут публиковать информацию для записей с подстановочными знаками , которые предоставляют данные о DNS-именах в зонах DNS, которые конкретно не указаны в зоне.

Разделить горизонт

Серверы с функцией DNS с разделенным горизонтом могут давать разные ответы в зависимости от исходного IP-адреса запроса.

В этом обзоре поддержки операционной системой обсуждаемого DNS-сервера следующие термины обозначают уровень поддержки:

• Нет означает, что он не существует или никогда не выпускался.
• Частичное указывает на то, что серверу хоть и работает, но не хватает важной функциональности по сравнению с версиями для других ОС; однако он все еще разрабатывается.
• Бета-версия означает, что, хотя версия полностью функциональна и выпущена, она все еще находится в разработке (например, в целях стабильности).
• Да означает, что он официально выпущен в полнофункциональной стабильной версии.
• Включено означает, что сервер поставляется в комплекте с операционной системой или интегрирован в нее.

Эта подборка не является исчерпывающей, а скорее отражает наиболее распространенные сегодня платформы.

• Сравнение программного обеспечения DHCP-сервера
• Программное обеспечение для управления DNS
• Публичный рекурсивный сервер имен

• Интернет-опрос Дона Мура по DNS в мае 2004 г.
• Итоги исследования DNS, проведенного компанией Measurement Factory: апрель и июнь 2005 г.
• DNS-опрос Beehive/CoDoNS: июль 2004 г.
• ЭТО Опрос DNS ccTLD