ميت وود - عبر الإنترنت في السحابة

برنامج:

اسم

deadwood - محلل DNS للتخزين المؤقت بالكامل

الوصف

Deadwood عبارة عن ذاكرة تخزين DNS متكررة بالكامل. هذا خادم DNS مع الميزات التالية:

* الدعم الكامل لكل من تكرار DNS والتخزين المؤقت لإعادة توجيه DNS

* حجم صغير وبصمة ذاكرة مناسبة للأنظمة المدمجة

* قاعدة بيانات بسيطة ونظيفة

* تصميم آمن

* الحماية من الانتحال: يستخدم التشفير القوي لتحديد معرف الاستعلام ومنفذ المصدر

* القدرة على قراءة وكتابة ذاكرة التخزين المؤقت إلى ملف

* ذاكرة تخزين مؤقت ديناميكية تحذف الإدخالات التي لم يتم استخدامها مؤخرًا

* القدرة على استخدام الإدخالات منتهية الصلاحية في ذاكرة التخزين المؤقت عندما يكون من المستحيل الاتصال المنبع
خوادم DNS.

* يمكن تجميع دعم IPv6 إذا رغبت في ذلك

* يتم التعامل مع كل من DNS-over-UDP و DNS-over-TCP بواسطة نفس البرنامج الخفي

* المدمج في وظيفة dnswall

COMMAND خط الحجج

يحتوي Deadwood على وسيطة سطر أوامر اختيارية واحدة: موقع التكوين
الملف الذي يستخدمه Deadwood ، المحدد بعلامة "-f". إذا لم يتم تعريف هذا ، Deadwood
يستخدم الملف "/ etc / maradns / deadwood / dwood3rc" كملف التكوين.

بمعنى آخر ، استدعاء Deadwood كـ الأغصان الميتة سوف يتسبب في استخدام الخشب الميت
/ etc / maradns / deadwood / dwood3rc كملف التكوين ؛ استدعاء Deadwood مثل الأغصان الميتة -f
فوبار سوف يتسبب Deadwood في استخدام ملف "foobar" في دليل العمل الحالي (ملف
الدليل الأول موجود عند بدء تشغيل Deadwood) كملف التكوين.

CONFIGURATION FILE FORMAT

تم تصميم ملف تكوين Deadwood على غرار بناء جملة Python 2. أي خشب ديد صالح
يجب أيضًا تحليل ملف التكوين بشكل صحيح في كل من Python 2.4.3 و Python 2.6.6. لو
يقوم أي ملف تكوين بالتحليل بشكل صحيح في Deadwood ولكنه يثير خطأً في بناء الجملة في
بايثون ، هذا خطأ يجب إصلاحه.

هذا في الاعتبار ، المسافة البيضاء مهمة ؛ يجب أن تكون معلمات الأغصان الميتة في أقصى اليسار
عمود بدون مسافة بيضاء بادئة. هذا سطر صالح (طالما لا توجد مسافات لـ
يسار):

recursive_acl = "127.0.0.1/16"

ومع ذلك ، فإن السطر التالي سيرفع خطأ التحليل:

recursive_acl = "127.0.0.1/16"

لاحظ المسافة الموجودة على يسار سلسلة "recusive_acl" بتنسيق غير صحيح
الخط.

معامل أنواع

يحتوي Deadwood على ثلاثة أنواع مختلفة من المعلمات:

* المعلمات الرقمية. يجب ألا تُحاط المعلمات الرقمية بعلامات اقتباس ، مثل هذه
مثال:

عامل التصفية_rfc1918 = 0

إذا كانت المعلمة الرقمية محاطة بعلامات اقتباس ، تظهر رسالة الخطأ "Unknown dwood3rc
ستظهر معلمة السلسلة ".

* معلمات السلسلة. يجب أن تكون معلمات السلسلة محاطة بعلامات اقتباس ، مثل هذا
مثال:

bind_address = "127.0.0.1"

* معلمات القاموس. يجب تهيئة جميع معلمات القاموس قبل الاستخدام ، و
يجب أن تحتوي معلمات القاموس على كل من فهرس القاموس وقيمة الفهرس المذكور
محاطة بعلامات اقتباس ، كما في هذا المثال:

خوادم المنبع = {}
upstream_servers ["."] = "8.8.8.8، 8.8.4.4"

جميع معلمات dwood3rc إلا فيما يلي معلمات رقمية:

* bind_address (سلسلة نصية)

* cache_file (سلسلة نصية)

* chroot_dir (سلسلة نصية)

* ip_blacklist (سلسلة نصية)

* ipv4_bind_addresses (سلسلة نصية)

* random_seed_file (سلسلة نصية)

* recursive_acl (سلسلة نصية)

* خادم الجذر (القاموس)

* upstream_servers (قاموس)

أيد المعلمات

يدعم ملف تكوين Deadwood المعلمات التالية:

ربط_العنوان

هذا هو عنوان IP (أو ربما IPv6) الذي نلتزم به.

ملف_الذاكرة المؤقتة

هذا هو اسم الملف المستخدم لقراءة ذاكرة التخزين المؤقت وكتابتها على القرص ؛ هذا
يمكن أن تحتوي السلسلة على أحرف صغيرة ، والرمز "-" ، والرمز "_" ، والرمز "/" (لـ
وضع ذاكرة التخزين المؤقت في دليل فرعي). تصبح جميع الرموز الأخرى رمزًا "_".

تتم قراءة هذا الملف وكتابته أثناء تشغيل المستخدم Deadwood كملف.

chroot_dir

هذا هو الدليل الذي سيتم تشغيل البرنامج منه.

تسليم_جميع

يؤثر هذا على السلوك في Deadwood 2.3 ، ولكن ليس له تأثير في Deadwood 3. هذا المتغير هو
هنا فقط حتى يمكن تشغيل ملفات Deadwood 2 rc في Deadwood 3.

dns_port

هذا هو المنفذ الذي يرتبط به Deadwood ويستمع إليه للاتصالات الواردة. الافتراضي
قيمة هذا هو منفذ DNS القياسي: المنفذ 53

مرشح_ FC1918

عندما تكون هذه القيمة 1 ، لا يُسمح بوجود عدد من نطاقات IP المختلفة في DNS A
الردود:

* 192.168.xx

* 172. [16-31] .xx

* 10. xxx

* 127. xxx

* 169.254.xx

* 224. xxx

* 0.0.xx

إذا تم اكتشاف أحد عناوين IP المذكورة أعلاه في رد DNS ، وكان filter_rfc1918 له قيمة 1 ،
سوف يقوم Deadwood بإرجاع استجابة "هذا المضيف لا يرد" (سجل SOA في ملف
قسم NS) بدلاً من سجل A.

والسبب في ذلك هو توفير "dnswall" الذي يحمي المستخدمين لبعض أنواع ملفات
الهجمات ، كما هو موضح في http://crypto.stanford.edu/dns/

يرجى ملاحظة أن Deadwood توفر فقط وظائف IPv4 "dnswall" ولا تساعد
الحماية من إجابات IPv6. إذا كانت هناك حاجة إلى الحماية ضد سجلات IPv6 AAAA معينة ،
إما أن تقوم بتعطيل جميع إجابات AAAA عن طريق تعيين رفض_aaaa ليكون لها قيمة 1 ، أو استخدام
برنامج خارجي لتصفية إجابات IPv4 غير المرغوب فيها (مثل برنامج dnswall).

القيمة الافتراضية لهذا هي 1

معالجة

عند ضبط هذا على 0 ، لا يرسل Deadwood أي رد مرة أخرى إلى العميل (عندما يكون العميل ملف
عميل TCP ، يغلق Deadwood اتصال TCP) عندما يتم إرسال استعلام UDP إلى المنبع و
لا يرسل DNS المنبع ردًا مطلقًا.

عند تعيين هذا على 1 ، يرسل Deadwood فشل SERVER إلى العميل عندما يكون استعلام UDP
يتم إرسالها في اتجاه المنبع ولا يرسل DNS المنبع ردًا على الإطلاق.

القيمة الافتراضية لهذا هي 1

مقبض_الإفراط في التحميل

عندما تكون هذه القيمة 0 ، لا يرسل Deadwood أي رد عند إرسال استعلام UDP ويكون ملف
تم تحميل الخادم بشكل زائد (به عدد كبير جدًا من الاتصالات المعلقة) ؛ عندما تكون قيمتها 1 ،
يرسل Deadwood حزمة SERVER FAIL إلى مرسل استعلام UDP. القيمة الافتراضية
لهذا 1.

hash_magic_number

يستخدم هذا لمولد التجزئة الداخلي لـ Deadwood للحفاظ على مولد التجزئة
عشوائية إلى حد ما ومحصنة لأنواع معينة من الهجمات. في Deadwood 3.0 ، إنتروبيا لـ
يتم إنشاء دالة التجزئة من خلال النظر في محتويات / dev / urandom (secret.txt على Windows
آلات) والطابع الزمني الحالي. هذه المعلمة فقط هنا التكوين الأقدم
الملفات لا تنكسر في Deadwood 3.0.

ip_blacklist

هذه قائمة بعناوين IP التي لا نسمح لها بالرد على طلب DNS. ال
والسبب في ذلك هو إبطال الممارسة التي يتبعها بعض مزودي خدمة الإنترنت لتحويل "هذا الموقع
غير موجود "إجابة DNS لصفحة يتحكم فيها مزود خدمة الإنترنت ؛ ينتج عن ذلك ممكن
قضايا الأمن.

لا تقبل هذه المعلمة سوى عناوين IP الفردية ، ولا تستخدم أقنعة الشبكات.

maradns_uid

يتم تشغيل معرف المستخدم Deadwood كـ. يمكن أن يكون هذا أي رقم بين 10 و 65535 ؛ الافتراضي
القيمة هي 99 (لا يوجد أحد في توزيعات Linux المشتقة من RedHat). لا يتم استخدام هذه القيمة في
أنظمة النوافذ.

maradns_gid

يتم تشغيل معرف المجموعة Deadwood كـ. يمكن أن يكون هذا أي رقم بين 10 و 65535 ؛ الافتراضي
القيمة هي 99. هذه القيمة غير مستخدمة في أنظمة Windows.

max_ar_chain

ما إذا كان تدوير سجل المورد ممكّنًا. إذا كانت هذه القيمة 1 ، سجل المورد
تم تمكين التدوير ، وإلا فسيتم تعطيل دوران سجل المورد.

عادةً ما يكون تناوب سجل الموارد أمرًا مرغوبًا فيه ، لأنه يسمح لـ DNS بالتصرف مثل الخام
موازن التحميل. ومع ذلك ، في الأنظمة المحملة بشكل كبير ، قد يكون من المستحسن تعطيلها
تقليل استخدام وحدة المعالجة المركزية.

سبب الاسم غير المعتاد لهذا المتغير هو الحفاظ على التوافق مع MaraDNS
ملفات mararc.

القيمة الافتراضية هي 1: تم تمكين تدوير سجل المورد.

max_inflights

أقصى عدد من العملاء المتزامنين الذين نقوم بمعالجتهم في نفس الوقت لنفس الاستعلام.

إذا ، أثناء معالجة استعلام ، على سبيل المثال ، "example.com." ، يرسل عميل DNS آخر إلى
Deadwood استعلام آخر عن example.com ، بدلاً من إنشاء استعلام جديد للمعالجة
example.com ، سيقوم Deadwood بإرفاق العميل الجديد بنفس الاستعلام الموجود بالفعل "في
flight "، وإرسال رد إلى كلا العميلين بمجرد الحصول على إجابة على example.com.

هذا هو عدد العملاء المتزامنين الذين يمكن أن يمتلكهم استعلام معين. إذا كان هذا الحد
تم تجاوزه ، يتم رفض العملاء اللاحقين الذين لديهم نفس الاستعلام حتى يتم العثور على إجابة. لو
هذا له قيمة 1 ، نحن لا ندمج طلبات متعددة لنفس الاستعلام ، ولكن نعطي كل منها
طلب الاتصال الخاص به.

القيمة الافتراضية هي 8.

max_ttl

الحد الأقصى لمقدار الوقت الذي نحتفظ فيه بإدخال في ذاكرة التخزين المؤقت ، بالثواني (يُسمى أيضًا
"الحد الأقصى من مدة البقاء (TTL)").

هذه هي أطول مدة سنحتفظ بها مخبأة. القيمة الافتراضية لهذه المعلمة هي
86400 (يوم واحد) ؛ الحد الأدنى للقيمة هو 300 (5 دقائق) والحد الأقصى لقيمة هذا يمكن أن يكون
هو 7776000 (90 يومًا).

سبب وجود هذه المعلمة هنا هو حماية Deadwood من الهجمات التي تستغل
وجود بيانات قديمة في ذاكرة التخزين المؤقت ، مثل هجوم "Ghost Domain Names".

max_cache_elements

الحد الأقصى لعدد العناصر المسموح بها في ذاكرة التخزين المؤقت. هذا رقم يقع بين 32
و 16,777,216 ؛ القيمة الافتراضية لهذا هي 1024. لاحظ أنه في حالة كتابة ذاكرة التخزين المؤقت إلى
القرص أو قراءة ذاكرة التخزين المؤقت من القرص ، فإن القيم الأعلى لهذا ستؤدي إلى إبطاء ذاكرة التخزين المؤقت
القراءة / الكتابة.

يختلف حجم الذاكرة التي يستخدمها كل إدخال من ذاكرة التخزين المؤقت وفقًا لنظام التشغيل
المستخدمة وحجم صفحات تخصيص الذاكرة المعينة. في نظام التشغيل Windows XP ، على سبيل المثال ، كل ملف
يستخدم الإدخال ما يقرب من أربعة كيلوبايت من الذاكرة ويحتوي Deadwood على مقدار إضافي
حوالي 512 كيلو بايت. لذلك ، إذا كان هناك 512 عنصرًا من عناصر ذاكرة التخزين المؤقت ، فإن Deadwood تستخدم
ما يقرب من 2.5 ميغا بايت من الذاكرة ، وإذا كان هناك 1024 عنصر ذاكرة التخزين المؤقت ، فإن Deadwood يستخدم
حوالي 4.5 ميغا بايت من الذاكرة. مرة أخرى ، هذه الأرقام خاصة بنظام التشغيل Windows XP وغيره
سيكون لأنظمة التشغيل أرقام تخصيص ذاكرة مختلفة.

يرجى ملاحظة أن كل إدخال للخوادم الجذر وخوادم upstream_servers يشغل مساحة في Deadwood
ذاكرة التخزين المؤقت وستحتاج إلى زيادة max_cache_elements لتخزين عدد كبير من
هذه المداخل.

com.maxprocs

هذا هو الحد الأقصى لعدد اتصالات UDP البعيدة المعلقة التي يمكن أن تتوفر في Deadwood. ال
القيمة الافتراضية لهذا هي 1024.

max_tcp_procs

هذا هو عدد اتصالات TCP المفتوحة المسموح بها. القيمة الافتراضية: 8

عدد_المرات

عدد المرات التي نعيد فيها محاولة إرسال استعلام قبل الاستسلام. إذا كان هذا 0 ، فإننا
حاول مرة واحدة فقط إذا كان هذا هو 1 ، فإننا نحاول مرتين ، وهكذا ، حتى 32 إعادة المحاولة. لاحظ أن كل
تستغرق إعادة المحاولة timeout_seconds ثوانٍ قبل أن نعيد المحاولة مرة أخرى. القيمة الافتراضية: 5

ns_glueless_type

نوع RR الذي نرسله لحل السجلات التي لا تحتوي على مواد لاصقة. يجب أن يكون هذا 1 (أ) عند الاستخدام الأساسي
IPv4 لحل السجلات. إذا كانت سجلات NS التي لا تحتوي على مواد لاصقة تحتوي على AAAA ولكن ليس سجلات A ، و IPv6 كذلك
ممكّنًا ، قد يكون من المنطقي إعطاء هذا القيمة 255 (أي). إذا توقف IPv4 عن الوجود
عند استخدامه على نطاق واسع ، قد يصبح من الممكن في النهاية جعل هذا له قيمة 28
(آآآ).

القيمة الافتراضية هي 1: سجل A (IPv4 IP). هذه المعلمة لها ليس تم اختباره استخدم في
مسؤوليتك الخاصة.

ملف _seed_ عشوائي

هذا ملف يحتوي على أرقام عشوائية ، ويستخدم كبذور لملف
مولد رقم عشوائي قوي مشفر. سيحاول Deadwood قراءة 256 بايت
من هذا الملف (يمكن أن تقبل استخدامات RNG Deadwood تدفقًا بأي طول عشوائي).

لاحظ أن دالة ضغط التجزئة تحصل على بعض من إنتروبياها قبل تحليل ملف
mararc ، وهو مشفر بشكل ثابت للحصول على إنتروبيا من / dev / urandom (secret.txt على Windows
أنظمة). معظم الانتروبيا الأخرى التي يستخدمها Deadwood تأتي من الملف الذي يشير إليه
ملف _seed_ عشوائي.

recurse_min_bind_port

أقل ميناء مرقمًا يسمح Deadwood بالالتزام بـ ؛ هذا رقم منفذ عشوائي مستخدم
للمنفذ المصدر للاستعلامات الصادرة ، وليس 53 (انظر dns_port أعلاه). هذا ال
رقم بين 1025 و 32767 ، وله القيمة الافتراضية 15000. يستخدم هذا لإنشاء DNS
هجمات الانتحال أكثر صعوبة.

recurse_number_ports

عدد المنافذ التي يرتبط بها Deadwood للمنفذ المصدر للاتصالات الصادرة ؛ هذا
هي قوة 2 بين 256 و 32768. تُستخدم لزيادة هجمات انتحال DNS
صعب. القيمة الافتراضية هي 4096.

recursive_acl

هذه قائمة بالأشخاص المسموح لهم باستخدام Deadwood لإجراء تكرار DNS ، في "ip / mask"
شكل. يجب أن يكون القناع رقمًا بين 0 و 32 (بالنسبة لـ IPv6 ، بين 0 و 128). على سبيل المثال،
يسمح "127.0.0.1/8" بالاتصالات المحلية.

رفض

إذا كانت هذه القيمة 1 ، فسيتم إرسال رد SOA زائف "ليس هناك" عندما يتم إرسال استعلام AAAA
أرسل إلى Deadwood. بمعنى آخر ، في كل مرة يطلب فيها برنامج من Deadwood الحصول على IPv6 IP
العنوان ، بدلاً من محاولة معالجة الطلب ، عندما يتم تعيينه على 1 ، Deadwood
يتظاهر بأن اسم المضيف المعني لا يحتوي على عنوان IPv6.

هذا مفيد للأشخاص الذين لا يستخدمون IPv6 لكنهم يستخدمون التطبيقات (عادةً * أمر * NIX
مثل تطبيقات مثل "telnet") التي تبطئ الأشياء في محاولة العثور على عنوان IPv6.

هذه القيمة الافتراضية هي 0. بمعنى آخر ، تتم معالجة استعلامات AAAA بشكل طبيعي ما لم يتم ذلك
تم تعيين هذا.

رفض_مكس

عندما تكون هذه القيمة الافتراضية هي 1 ، يتم إسقاط استعلامات MX بصمت مع عنوان IP الخاص بها
تسجيل. استعلام MX هو استعلام يتم إجراؤه بواسطة جهاز فقط إذا كان يرغب في أن يكون استعلامًا خاصًا به
خادم البريد الذي يرسل البريد إلى الأجهزة على الإنترنت. هذا استعلام متوسط ​​سطح المكتب
الجهاز (بما في ذلك الجهاز الذي يستخدم Outlook أو وكيل مستخدم بريد آخر للقراءة والإرسال
البريد الإلكتروني) لن تقدمه أبدًا.

على الأرجح ، إذا كان الجهاز يحاول إجراء استعلام MX ، فسيتم التحكم في الجهاز بواسطة
مصدر بعيد لإرسال بريد إلكتروني "بريد عشوائي" غير مرغوب فيه. هذا في الاعتبار ، لن يسمح Deadwood
استعلامات MX التي يتعين إجراؤها ما لم يتم تعيين deny_mx صراحة بقيمة 0.

قبل تعطيل هذا ، يرجى أن تضع في اعتبارك أن Deadwood مُحسَّنة لاستخدامها للويب
تصفح ، وليس كخادم DNS لمركز بريد. على وجه الخصوص ، عناوين IP الخاصة بسجلات MX هي
تمت إزالته من ردود Deadwood ويحتاج Deadwood إلى إجراء استعلامات DNS إضافية لـ
الحصول على عناوين IP المطابقة لسجلات MX ، ويكون اختبار Deadwood أكثر توجيهاً للويب
التصفح (البحث عن سجل A بنسبة 100٪ تقريبًا) وليس لتسليم البريد (سجل MX الشامل
ابحث عن).

رفض_بتر

إذا كانت هذه القيمة 1 ، فسيتم إرسال رد SOA مزيف "ليس هناك" كلما تم إرسال استعلام PTR
أرسل إلى Deadwood. بمعنى آخر ، في كل مرة يطلب فيها برنامج من Deadwood "عكس DNS
lookup "- اسم المضيف لعنوان IP محدد - بدلاً من محاولة معالجة ملف
طلب ، عندما يتم تعيين هذا على 1 ، يتظاهر Deadwood بأن عنوان IP المعني ليس به
اسم مضيف.

هذا مفيد للأشخاص الذين يحصلون على مهلات DNS بطيئة عند محاولة تنفيذ ملف
عمليات بحث DNS العكسية على عناوين IP.

هذه القيمة الافتراضية هي 0. بمعنى آخر ، تتم معالجة استعلامات PTR بشكل طبيعي ما لم يتم ذلك
تم تعيين هذا.

القيامة

إذا تم ضبط هذا على 1 ، سيحاول Deadwood إرسال سجل منتهي الصلاحية إلى المستخدم قبل العطاء
أعلى. إذا كانت 0 ، فإننا لا نفعل ذلك. القيمة الافتراضية: 1

خوادم الجذر

هذه قائمة بخوادم الجذر ؛ تركيبها مطابق لخوادم upstream_servers (انظر أدناه).
هذا هو نوع خدمة DNS التي تديرها ICANN ، على سبيل المثال. هذه هي الخوادم المستخدمة
لا تعطينا إجابات كاملة على أسئلة DNS ، ولكن فقط أخبرنا بخوادم DNS التي يجب القيام بها
اتصل للحصول على إجابة أقرب إلى إجابتنا المرجوة.

يرجى ملاحظة أن كل إدخال root_servers يشغل مساحة في ذاكرة التخزين المؤقت لـ Deadwood وهذا
يجب زيادة max_cache_elements لتخزين عدد كبير من هذه الإدخالات.

tcp_listen

لتمكين DNS-over-TCP ، يجب تعيين هذا المتغير وله قيمة 1. افتراضي
القيمة: 0

مهلة_ثواني

هذه هي المدة التي سينتظرها Deadwood قبل الاستسلام والتخلص من UDP DNS المعلق
رد. القيمة الافتراضية لهذا هي 1 ، كما في 1 ثانية ، ما لم يتم تجميع Deadwood مع
تم تمكين FALLBACK_TIME.

timeout_thanks_tcp

كم من الوقت ينتظر على اتصال TCP خامل قبل إسقاطه. القيمة الافتراضية لهذا
هي 4 ، كما في 4 ثوانٍ.

ttl_age

ما إذا كان التقادم TTL ممكّنًا ؛ ما إذا كانت الإدخالات في ذاكرة التخزين المؤقت قد تم تعيين TTLs الخاصة بها لتكون
مقدار الوقت المتبقي من الإدخالات في ذاكرة التخزين المؤقت.

إذا كانت هذه القيمة 1 ، فإن إدخالات TTL تكون قديمة. وإلا فهم ليسوا كذلك. الافتراضي
قيمة هذا هو 1.

المنبع_المنفذ

هذا هو المنفذ الذي يستخدمه Deadwood للاتصال أو إرسال الحزم إلى الخوادم الأولية. ال
القيمة الافتراضية لهذا هي 53 ؛ منفذ DNS القياسي.

upstream_servers

هذه قائمة بخوادم DNS التي سيحاول موازن التحميل الاتصال بها. هذا ال
قاموس متغير (مصفوفة مفهرسة بسلسلة بدلاً من رقم) بدلاً من بسيطة
عامل. نظرًا لأن upstream_servers هو متغير قاموس ، فيجب تهيئته
قبل استخدامها.

سوف يبحث Deadwood في اسم المضيف الذي يحاول العثور على الخادم الرئيسي
لـ ، وسيتطابق مع أطول لاحقة يمكنه العثور عليها.

على سبيل المثال ، إذا أرسل شخص ما استعلامًا عن "www.foo.example.com" إلى Deadwood ، فإن Deadwood ستقوم بذلك
تحقق أولاً مما إذا كان هناك متغير upstream_servers لـ "www.foo.example.com." ، ثم ابحث
عن "foo.example.com." ، ثم ابحث عن "example.com." ثم "com." وأخيراً ".".

فيما يلي مثال على الخوادم upstream_servers:

upstream_servers = {} # تهيئة متغير القاموس
upstream_servers ["foo.example.com."] = "192.168.42.1"
upstream_servers ["example.com."] = "192.168.99.254"
upstream_servers ["."] = "10.1.2.3 ، 10.1.2.4"

في هذا المثال ، يتم حل أي شيء ينتهي بـ "foo.example.com" بواسطة خادم DNS على
192.168.42.1 ؛ يتم حل أي شيء آخر ينتهي بـ "example.com" بواسطة 192.168.99.254 ؛ و
يتم حل أي شيء لا ينتهي بـ "example.com" إما عن طريق 10.1.2.3 أو 10.1.2.4.

هام: يجب أن ينتهي اسم المجال upstream_servers إلى "." شخصية. هذا هو
OK:

upstream_servers ["example.com."] = "192.168.42.1"

ولكن هذا هو ليس OK:

upstream_servers ["example.com"] = "192.168.42.1"

والسبب في ذلك هو أن BIND ينخرط في سلوك غير متوقع عند اسم مضيف
لا ينتهي بنقطة ، وبفرض نقطة في نهاية اسم المضيف ، لا يمتلك Deadwood
لتخمين ما إذا كان المستخدم يريد سلوك BIND أو السلوك "العادي".

إذا لم يتم تعيين خوادم root_servers ولا upstream_servers ، يقوم Deadwood بتعيين خوادم الجذر للاستخدام
خوادم جذر ICANN الافتراضية ، على النحو التالي:

198.41.0.4 أ.root-servers.net (VeriSign)
192.228.79.201 ب.root-servers.net (ISI)
192.33.4.12 ج.root-servers.net (مقنع)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (ناسا أميس)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (وايد)

هذه القائمة سارية اعتبارًا من 9 فبراير 2015 ، وتم تغييرها آخر مرة في 3 يناير 2013.

يرجى ملاحظة أن كل إدخال upstream_servers يشغل مساحة في ذاكرة التخزين المؤقت لـ Deadwood وهذا
يجب زيادة max_cache_elements لتخزين عدد كبير من هذه الإدخالات.

مطوّل

هذا يحدد عدد الرسائل التي يتم تسجيلها على الإخراج القياسي ؛ قيم أكبر سجل أكثر
رسائل. القيمة الافتراضية لهذا هي 3.

ip / القناع شكل of المتكاملة

يستخدم Deadwood تنسيقات ip / netmask قياسية لتحديد عناوين IP. IP في النظام العشري المنقط
تنسيق ، على سبيل المثال "10.1.2.3" (أو بتنسيق IPv6 عند تجميع دعم IPv6 في).

يتم استخدام قناع الشبكة لتحديد نطاق من عناوين IP. قناع الشبكة هو رقم واحد يقع بين 1
و 32 (128 عندما يتم تجميع دعم IPv6 في) ، مما يشير إلى رقم البادئة "1"
بت في قناع الشبكة.

10.1.1.1/24 يشير إلى أن أي عنوان IP من 10.1.1.0 إلى 10.1.1.255 سيتطابق.

10.2.3.4/16 يشير إلى أن أي عنوان IP من 10.2.0.0 إلى 10.2.255.255 سيتطابق.

127.0.0.0/8 يشير إلى أن أي ip مع "127" كأول ثماني بتات (رقم) سيتطابق.

قناع الشبكة اختياري ، وإذا لم يكن موجودًا ، فإنه يشير إلى أن عنوان IP واحد فقط هو الذي سيتطابق.

DNS على مدى TCP

يجب تمكين DNS-over-TCP بشكل صريح عن طريق تعيين tcp_listen على 1.

يستخرج Deadwood معلومات مفيدة من حزم UDP DNS المميزة بعلامات مقطوعة والتي تقريبًا
يزيل دائمًا الحاجة إلى وجود DNS-over-TCP. ومع ذلك ، لا يقوم Deadwood بالتخزين المؤقت لحزم DNS
أكبر من 512 بايت يجب إرسالها باستخدام TCP. بالإضافة إلى ذلك ، DNS-over-TCP
الحزم التي هي ردود DNS "غير كاملة" (الردود التي لا يمكن لمحلل كعب روتين استخدامها ،
التي يمكن أن تكون إما إحالة NS أو رد CNAME غير مكتمل) لا يتم التعامل معها بشكل صحيح
بواسطة Deadwood.

يدعم Deadwood كل من DNS-over-UDP و DNS-over-TCP ؛ نفس الشيطان يستمع إليه
كل من منفذ UDP و TCP DNS.

يتم تخزين استعلامات UDP DNS فقط مؤقتًا. لا يدعم Deadwood التخزين المؤقت عبر TCP ؛ انه يعالج
TCP لحل الرد المقتطع النادر بدون أي معلومات مفيدة أو للعمل معها
محللات DNS غير المتوافقة مع RFC فقط غير شائعة جدًا. في العالم الحقيقي ، DNS-over-TCP هو
تقريبا لم تستخدم.

توزيع آخر ملفات

من الممكن أن يكون لديك Deadwood ، أثناء تحليل ملف dwood3rc ، وقراءة الملفات الأخرى وملفات
تحليلها كما لو كانت ملفات dwood3rc.

يتم ذلك باستخدام ملفات com.execfile. لاستخدام execfile ، ضع خطًا مثل هذا في dwood3rc
ملف:

execfile ("المسار / إلى / اسم الملف")

حيث path / to / filename هو المسار إلى الملف المراد تحليله مثل ملف dwood3rc.

يجب أن تكون جميع الملفات في الدليل / etc / maradns / deadwood / execfile أو تحته. يمكن لأسماء الملفات
تحتوي فقط على أحرف صغيرة وعلامة تسطير أسفل السطر ("_"). المسارات المطلقة ليست كذلك
سمح كحجة للتنفيذ ؛ لا يمكن أن يبدأ اسم الملف بشرطة مائلة ("/")
حرف.

إذا كان هناك خطأ تحليل في الملف المشار إليه بواسطة execfile ، فسيقوم Deadwood بالإبلاغ عن ملف
خطأ على السطر مع الأمر execfile في ملف dwood3rc الرئيسي. لايجاد
حيث يوجد خطأ تحليل في الملف الفرعي ، استخدم شيئًا مثل "Deadwood -f
/ etc / maradns / deadwood / execfile / filename "للعثور على خطأ التحليل في الملف المخالف ،
حيث "filename" هو الملف الذي سيتم تحليله عبر execfile.

IPV6 الدعم

يمكن أيضًا تجميع هذا الخادم اختياريًا للحصول على دعم IPv6. من أجل تمكين IPv6
support ، إضافة "-DIPV6" إلى أعلام وقت الترجمة. على سبيل المثال ، لتجميع هذا لجعل ملف
ثنائي صغير ، ولديك دعم IPv6:

تصدير FLAGS = '- Os -DIPV6'
جعل

الأمن

Deadwood هو برنامج مكتوب مع مراعاة الأمان.

بالإضافة إلى استخدام مكتبة سلسلة مقاومة لتدفق المخزن المؤقت ونمط ترميز و SQA
عملية تتحقق من وجود فائض في المخزن المؤقت وتسريبات الذاكرة ، يستخدم Deadwood ملف
مولد الأرقام العشوائية الزائفة (الإصدار 32 بت من RadioGatun) لتوليد كل من
معرف الاستعلام ومنفذ المصدر. لكي يكون مولد الأرقام العشوائي آمنًا ، يحتاج Deadwood إلى
مصدر جيد للإنتروبيا بشكل افتراضي ، سوف يستخدم Deadwood / dev / urandom للحصول على هذا الانتروبيا. لو
أنت على نظام بدون دعم / dev / urandom ، من المهم التأكد من ذلك
يحتوي Deadwood على مصدر جيد للإنتروبيا بحيث يصعب تحديد معرف الاستعلام ومنفذ المصدر
تخمين (وإلا فمن الممكن تزوير حزم DNS).

يتضمن منفذ Windows الخاص بـ Deadwood برنامجًا يسمى "mkSecretTxt.exe" يقوم بإنشاء ملف
ملف عشوائي بحجم 64 بايت (512 بت) يسمى "secret.txt" يمكن استخدامه بواسطة Deadwood (عبر ملف
معلمة "random_seed_file") ؛ كما تحصل Deadwood أيضًا على إنتروبيا من الطابع الزمني عند Deadwood
تم بدء تشغيله ورقم معرف عملية Deadwood ، لذا فمن نفسه استخدام نفس الحالة الثابتة
ملف secret.txt باعتباره ملف random_seed_file لاستدعاءات متعددة لـ Deadwood.

لاحظ أن Deadwood غير محمية من شخص ما على نفس حزم عرض الشبكة المرسلة
بواسطة Deadwood وإرسال حزم مزورة كرد.

لحماية Deadwood من بعض هجمات رفض الخدمة المحتملة ، فمن الأفضل أن يكون
الرقم الأولي لـ Deadwood المستخدم لتجزئة العناصر في ذاكرة التخزين المؤقت هو عدد أولي عشوائي من 31 بت
رقم. يولد برنامج RandomPrime.c عددًا أوليًا عشوائيًا يتم وضعه في الملف
DwRandPrime.h الذي يتم إعادة إنشائه متى تم تجميع البرنامج أو عندما يتم تجميع الأشياء
تنظيفها بجعلها نظيفة. يستخدم هذا البرنامج / dev / urandom للإنتروبيا ؛ الملف
لن يتم إعادة إنشاء DwRandPrime.h على الأنظمة التي لا تحتوي على / dev / urandom.

في الأنظمة التي لا تحتوي على دعم مباشر / dev / urandom ، يُقترح معرفة ما إذا كان هناك ملف
طريقة ممكنة لمنح النظام طريقة عمل / dev / urandom. بهذه الطريقة ، عندما يكون Deadwood
بعد تجميعها ، سيكون الرقم السحري للتجزئة عشوائيًا بشكل مناسب.

في حالة استخدام ملف ثنائي مُجمَّع مسبقًا من Deadwood ، يُرجى التأكد من أن النظام يحتوي على / dev / urandom
support (في نظام Windows ، يرجى التأكد من أن الملف الذي يحمل الاسم secret.txt هو
تم إنشاؤه بواسطة برنامج mkSecretTxt.exe المضمن) ؛ Deadwood ، في وقت التشغيل ، يستخدم
/ dev / urandom (secret.txt في Windows) كمسار ثابت للحصول على الانتروبيا (جنبًا إلى جنب مع
timestamp) لخوارزمية التجزئة.

الشيطنة

لا تحتوي Deadwood على أي مرافق تخفي مضمنة ؛ يتم التعامل مع هذا من قبل
برنامج Duende خارجي أو أي برنامج شيطاني آخر.

مثال ترتيب ملف

فيما يلي مثال على ملف تكوين dwood3rc:

# هذا مثال لملف RC من الخشب الميت
# لاحظ أن التعليقات تبدأ برمز التجزئة

bind_address = "127.0.0.1" # IP الذي نلتزم به

# تم تعطيل السطر التالي بالتعليق عليه
#bind_address = ":: 1" # لدينا دعم IPv6 اختياري

# دليل نقوم بتشغيل البرنامج منه (غير مستخدم في Win32)
chroot_dir = "/ etc / maradns / deadwood"

# خوادم DNS التالية المنبع هي خوادم Google
# (اعتبارًا من ديسمبر 2009) خوادم DNS العامة. ل
# مزيد من المعلومات ، راجع الصفحة على
# http://code.google.com/speed/public-dns/
#
# إذا لم يتم تعيين خوادم الجذر ولا الخوادم الأولية ،
# سوف تستخدم Deadwood خوادم جذر ICANN الافتراضية.
#upstream_servers = {}
#upstream_servers ["."] = "8.8.8.8، 8.8.4.4"

# من المسموح له باستخدام ذاكرة التخزين المؤقت. هذا الخط
# يسمح لأي شخص لديه "127.0" كأول اثنين
# رقمًا من عنوان IP الخاص بهم لاستخدام Deadwood
recursive_acl = "127.0.0.1/16"

# الحد الأقصى لعدد الطلبات المعلقة
ماكسبروكس = 2048

# إرسال فشل الخادم عند التحميل الزائد
مقبض_الحمل الزائد = 1

maradns_uid = 99 # يعمل Deadwood كـ
maradns_gid = 99 # يعمل GID Deadwood كـ

max_cache_elements = 60000

# إذا كنت تريد قراءة وكتابة ذاكرة التخزين المؤقت من القرص ،
# تأكد من أن chroot_dir أعلاه مقروء وقابل للكتابة
# بواسطة maradns_uid / gid أعلاه ، وأزل التعليق عن ملف
# السطر التالي.
#cache_file = "dw_cache"

# إذا كان خادم DNS الرئيسي الخاص بك يحول ردود DNS "غير موجودة"
# في عناوين IP ، تسمح هذه المعلمة لـ Deadwood بتحويل أي رد
# مع عنوان IP المعطى مرة أخرى إلى IP "ليس هناك". إذا كان أي من عناوين IP
# المدرجة أدناه في إجابة DNS ، يقوم Deadwood بتحويل الإجابة
# في إلى "ليس هناك"
#ip_blacklist = "10.222.33.44 ، 10.222.3.55"

# بشكل افتراضي ، لأسباب أمنية ، لا يسمح Deadwood بدخول عناوين IP
# 192.168.xx ، 172. [16-31] .xx ، 10.xxx ، 127.xxx ،
# 169.254.xx أو نطاق 224.xxx أو 0.0.xx. في حالة استخدام الأغصان الميتة
# لحل الأسماء على شبكة داخلية ، قم بإلغاء التعليق على
# السطر التالي:
# filter_rfc1918 = 0

استخدم الأخشاب الميتة عبر الإنترنت باستخدام خدمات onworks.net