این دستور مرده ای است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
deadwood - یک رمزگشای DNS کش کاملاً بازگشتی
شرح
Deadwood یک کش DNS کاملا بازگشتی است. این یک سرور DNS با ویژگی های زیر است:
* پشتیبانی کامل از هر دو DNS بازگشتی و DNS کش حمل و نقل
* اندازه کوچک و حافظه مناسب برای سیستم های تعبیه شده
* پایگاه کد ساده و تمیز
* طراحی ایمن
* محافظت از جعل: رمزنگاری قوی برای تعیین Query ID و پورت منبع استفاده می شود
* امکان خواندن و نوشتن حافظه پنهان در یک فایل
* حافظه پنهان پویا که ورودی هایی را که اخیراً استفاده نشده اند حذف می کند
* امکان استفاده از ورودی های منقضی شده در حافظه پنهان زمانی که امکان تماس با بالادست وجود ندارد
سرورهای DNS
* پشتیبانی IPv6 را می توان در صورت تمایل کامپایل کرد
* هر دو DNS-over-UDP و DNS-over-TCP توسط یک دیمون مدیریت می شوند
* قابلیت dnswall داخلی
COMMAND LINE ادله
Deadwood یک آرگومان خط فرمان اختیاری دارد: محل پیکربندی
فایلی که Deadwood از آن استفاده می کند، با پرچم "-f" مشخص شده است. اگر این تعریف نشده است، Deadwood
از فایل "/etc/maradns/deadwood/dwood3rc" به عنوان فایل پیکربندی استفاده می کند.
به عبارت دیگر، فراخوانی Deadwood به عنوان چوب مرده باعث استفاده از چوب درخت می شود
/etc/maradns/deadwood/dwood3rc به عنوان فایل پیکربندی؛ فراخوانی Deadwood به عنوان چوب مرده -f
فوبار باعث می شود Deadwood از فایل "foobar" در دایرکتوری کاری فعلی استفاده کند (the
دایرکتوری یک در هنگام راه اندازی Deadwood) به عنوان فایل پیکربندی است.
پیکربندی فایل FORMAT
فایل پیکربندی Deadwood بر اساس سینتکس پایتون 2 مدل سازی شده است. هر ددوود معتبر
فایل پیکربندی نیز باید در پایتون 2.4.3 و پایتون 2.6.6 به درستی تجزیه شود. اگر
هر فایل پیکربندی به درستی در Deadwood تجزیه می شود اما یک خطای نحوی در آن ایجاد می کند
پایتون، این یک باگ است که باید برطرف شود.
این در ذهن، فضای خالی قابل توجه است. پارامترهای Deadwood باید در سمت چپ باشد
ستون بدون فضای سفید پیشرو. این یک خط معتبر است (تا زمانی که هیچ فاصله ای برای آن وجود نداشته باشد
سمت چپ آن):
recursive_acl = "127.0.0.1/16"
خط زیر، با این حال، یک خطای تجزیه ایجاد می کند:
recursive_acl = "127.0.0.1/16"
فضای سمت چپ رشته "recusive_acl" را با فرمت نادرست مشاهده کنید
خط.
پارامتر انواع
Deadwood دارای سه نوع پارامتر مختلف است:
* پارامترهای عددی پارامترهای عددی نباید با نقل قول هایی مانند این احاطه شوند
مثال:
filter_rfc1918 = 0
اگر یک پارامتر عددی با نقل قول احاطه شده باشد، پیام خطا "Unknown dwood3rc
پارامتر رشته" ظاهر می شود.
* پارامترهای رشته پارامترهای رشته باید با نقل قول احاطه شوند، مانند این
مثال:
bind_address = "127.0.0.1"
* پارامترهای فرهنگ لغت. تمام پارامترهای فرهنگ لغت باید قبل از استفاده مقداردهی اولیه شوند و
پارامترهای فرهنگ لغت باید هم شاخص فرهنگ لغت و هم مقدار شاخص مذکور را داشته باشند
احاطه شده توسط نقل قول ها، مانند این مثال:
upstream_servers = {}
upstream_servers["."]="8.8.8.8، 8.8.4.4"
تمام پارامترهای dwood3rc جز پارامترهای عددی زیر هستند:
* bind_address (رشته)
* cache_file (رشته)
* chroot_dir (رشته)
* ip_blacklist (رشته)
* ipv4_bind_addresses (رشته)
* فایل_تصادفی_seed (رشته)
* recursive_acl (رشته)
* root_servers (فرهنگ لغت)
* upstream_servers (فرهنگ لغت)
پشتیبانی پارامترهای
فایل پیکربندی Deadwood از پارامترهای زیر پشتیبانی می کند:
bind_address
این آدرس IP (یا احتمالاً IPv6) است که ما به آن متصل میشویم.
cache_file
این نام فایلی است که برای خواندن و نوشتن حافظه پنهان روی دیسک استفاده می شود. این
رشته می تواند حروف کوچک، نماد '-'، نماد '_' و نماد '/' (برای
قرار دادن کش در یک زیر شاخه). همه نمادهای دیگر به نماد '_' تبدیل می شوند.
این فایل همانطور که کاربر Deadwood اجرا می کند خوانده و نوشته می شود.
chroot_dir
این دایرکتوری است که برنامه از آن اجرا خواهد شد.
تحویل_همه
این روی رفتار در Deadwood 2.3 تأثیر می گذارد، اما تأثیری در Deadwood 3 ندارد. این متغیر
فقط اینجاست تا فایلهای Deadwood 2 rc بتوانند در Deadwood 3 اجرا شوند.
dns_port
این پورتی است که Deadwood به آن متصل می شود و برای اتصالات ورودی به آن گوش می دهد. پیشفرض
مقدار این پورت استاندارد DNS است: پورت 53
filter_rfc1918
وقتی این مقدار 1 باشد، تعدادی از محدوده های IP مختلف مجاز به قرار گرفتن در DNS A نیستند
پاسخ می دهد:
* 192.168.xx
* 172. [16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
اگر یکی از IP های بالا در یک پاسخ DNS شناسایی شود و filter_rfc1918 دارای مقدار 1 باشد،
Deadwood یک پاسخ مصنوعی "این میزبان پاسخ نمی دهد" را برمی گرداند (یک رکورد SOA در
بخش NS) به جای رکورد A.
دلیل این امر ارائه "dnswall" است که از کاربران برای برخی از موارد محافظت می کند
حملات، همانطور که در شرح داده شده است http://crypto.stanford.edu/dns/
لطفاً توجه داشته باشید که Deadwood فقط قابلیت IPv4 "dnswall" را ارائه می دهد و کمکی نمی کند
در برابر پاسخ های IPv6 محافظت کنید. اگر محافظت در برابر برخی از سوابق IPv6 AAAA مورد نیاز است،
یا با تنظیم reject_aaaa برای داشتن مقدار 1، تمام پاسخ های AAAA را غیرفعال کنید، یا از یک
برنامه خارجی برای فیلتر کردن پاسخ های IPv4 ناخواسته (مانند برنامه dnswall).
مقدار پیش فرض برای این 1 است
handle_noreply
وقتی این روی 0 تنظیم شود، Deadwood هیچ پاسخی را به مشتری ارسال نمی کند (زمانی که مشتری یک
سرویس گیرنده TCP، Deadwood اتصال TCP را می بندد) هنگامی که یک پرس و جو UDP در بالادست ارسال می شود و
DNS بالادست هرگز پاسخی ارسال نمی کند.
هنگامی که این مقدار روی 1 تنظیم شود، Deadwood یک SERVER FAIL را به مشتری پس از درخواست UDP ارسال می کند.
ارسال شده در بالادست و DNS بالادست هرگز پاسخی ارسال نمی کند.
مقدار پیش فرض برای این 1 است
handle_overload
هنگامی که این مقدار 0 است، Deadwood هیچ پاسخی را هنگامی که یک درخواست UDP ارسال می شود و
سرور بیش از حد بارگیری شده است (اتصالات معلق زیادی دارد). زمانی که مقدار آن 1 است،
Deadwood یک بسته SERVER FAIL را برای فرستنده پرس و جوی UDP ارسال می کند. مقدار پیش فرض
برای این 1 است.
هش_شماره_جادویی
این قبلاً برای هش مولد داخلی Deadwood برای نگه داشتن هش مولد استفاده می شد
تا حدودی تصادفی و مصون از انواع خاصی از حملات. در Deadwood 3.0، آنتروپی برای
تابع هش با مشاهده محتویات /dev/urandom (secret.txt در ویندوز) ایجاد می شود.
ماشینها) و مهر زمانی فعلی. این پارامتر فقط در اینجا پیکربندی قدیمی تر است
فایل ها در Deadwood 3.0 خراب نمی شوند.
ip_blacklist
این لیستی از IP هایی است که ما اجازه نمی دهیم در پاسخ به درخواست DNS باشند. را
دلیل این امر مقابله با رویه ای است که برخی از ISPها برای تبدیل یک "این سایت" دارند
وجود ندارد" DNS به صفحه ای که توسط ISP کنترل می شود، پاسخ می دهد؛ این امر ممکن است
مسائل امنیتی.
این پارامتر فقط IP های فردی را می پذیرد و از ماسک شبکه استفاده نمی کند.
maradns_uid
شناسه کاربری Deadwood به صورت اجرا می شود. این می تواند هر عددی بین 10 و 65535 باشد. پیشفرض
مقدار 99 است (هیچ کس در توزیع های لینوکس مشتق شده از RedHat نیست). این مقدار روی استفاده نمی شود
سیستم های ویندوز
maradns_gid
گروه شناسه Deadwood به عنوان اجرا می شود. این می تواند هر عددی بین 10 و 65535 باشد. پیشفرض
مقدار 99 است. این مقدار در سیستم های ویندوز استفاده نمی شود.
max_ar_chain
اینکه آیا چرخش رکورد منبع فعال است یا خیر. اگر این مقدار 1 است، رکورد منبع
چرخش فعال است، در غیر این صورت چرخش رکورد منبع غیرفعال است.
چرخش رکورد منبع معمولاً مطلوب است، زیرا به DNS اجازه می دهد مانند یک خام عمل کند
متعادل کننده بار. با این حال، در سیستمهای با بارگذاری زیاد، ممکن است مطلوب باشد که آن را غیرفعال کنید
کاهش مصرف CPU
دلیل نام غیرمعمول این متغیر حفظ سازگاری با MaraDNS است
فایل های ماررک
مقدار پیش فرض 1 است: چرخش رکورد منبع فعال است.
max_inflights
حداکثر تعداد کلاینتهای همزمان که بهطور همزمان برای یک پرس و جو پردازش میکنیم.
اگر هنگام پردازش یک پرس و جو برای مثلا «example.com.»، سرویس گیرنده DNS دیگری به آن ارسال کند
Deadwood یک پرس و جو دیگر به عنوان مثال.com، به جای ایجاد یک پرس و جو جدید برای پردازش
example.com، Deadwood کلاینت جدید را به همان کوئری متصل می کند که قبلاً «in
پرواز"، و پس از دریافت پاسخ برای مثال.com، برای هر دو مشتری پاسخ ارسال کنید.
این تعداد مشتریان همزمانی است که یک پرس و جو می تواند داشته باشد. اگر این حد باشد
بیش از حد، مشتریان بعدی با همان پرس و جو رد می شوند تا زمانی که پاسخی پیدا شود. اگر
این مقدار 1 دارد، ما چندین درخواست را برای یک پرس و جو ادغام نمی کنیم، بلکه هر کدام را می دهیم
اتصال خود را درخواست کند.
مقدار پیش فرض 8 است.
max_ttl
حداکثر مدت زمانی که یک ورودی را در حافظه پنهان نگه می داریم، در ثانیه (همچنین نامیده می شود
"حداکثر TTL").
این طولانی ترین زمانی است که ما یک ورودی را در حافظه پنهان نگه می داریم. مقدار پیش فرض برای این پارامتر است
86400 (یک روز); حداقل مقدار 300 (5 دقیقه) و حداکثر مقداری است که می تواند داشته باشد
7776000 (90 روز) است.
دلیل وجود این پارامتر در اینجا محافظت از Deadwood در برابر حملاتی است که سوء استفاده می کنند
داده های قدیمی در حافظه پنهان وجود دارد، مانند حمله Ghost Domain Names.
عناصر_حداکثر_حافظه_ پنهان
حداکثر تعداد عناصری که کش ما مجاز است داشته باشد. این عدد بین 32 است
و 16,777,216; مقدار پیش فرض برای این 1024 است. توجه داشته باشید که اگر حافظه پنهان را بنویسید
دیسک یا خواندن حافظه پنهان از روی دیسک، مقادیر بالاتر از این باعث کاهش سرعت حافظه پنهان می شود
خواندن نوشتن.
مقدار حافظه ای که هر ورودی کش استفاده می کند بسته به سیستم عامل متغیر است
استفاده شده و اندازه صفحات تخصیص حافظه اختصاص داده شده است. برای مثال در ویندوز XP هر کدام
ورودی تقریباً از چهار کیلوبایت حافظه استفاده می کند و Deadwood دارای سربار است
تقریباً 512 کیلوبایت بنابراین، اگر 512 عنصر کش وجود داشته باشد، Deadwood از آن استفاده می کند
تقریباً 2.5 مگابایت حافظه و اگر 1024 عنصر کش وجود داشته باشد، Deadwood از آن استفاده می کند.
تقریبا 4.5 مگابایت حافظه باز هم، این اعداد برای ویندوز XP و غیره هستند
سیستم عامل ها اعداد تخصیص حافظه متفاوتی خواهند داشت.
لطفاً توجه داشته باشید که هر ورودی root_servers و upstream_servers فضای Deadwood را اشغال می کند
cache و آن maximum_cache_elements باید افزایش یابد تا تعداد زیادی از آنها ذخیره شوند
این ورودی ها
maxprocs
این حداکثر تعداد اتصالات UDP راه دور معلق Deadwood است که می تواند داشته باشد. در
مقدار پیش فرض برای این 1024 است.
max_tcp_procs
این تعداد اتصالات TCP باز مجاز است. مقدار پیش فرض: 8
num_retries
تعداد دفعاتی که سعی می کنیم قبل از تسلیم شدن، درخواستی را در بالادست ارسال کنیم. اگر این 0 باشد، ما
فقط یک بار امتحان کنید؛ اگر این 1 باشد، دو بار امتحان می کنیم، و به همین ترتیب، تا 32 بار تکرار می کنیم. توجه داشته باشید که هر کدام
retry قبل از اینکه دوباره امتحان کنیم timeout_seconds ثانیه طول می کشد. مقدار پیش فرض: 5
ns_glueless_type
نوع RR که برای حل رکوردهای بدون چسب ارسال می کنیم. هنگام استفاده عمدتاً باید 1 (A) باشد
IPv4 برای حل سوابق. اگر رکوردهای NS بدون چسب دارای AAAA هستند اما رکوردهای A ندارند، و IPv6 دارد
فعال باشد، ممکن است منطقی باشد که به آن مقدار 255 (هر کدام) داده شود. اگر IPv4 از وجود خود باز بماند
در مقیاس بزرگ استفاده می شود، ممکن است در نهایت امکان ایجاد این مقدار 28 وجود داشته باشد
(AAAA).
مقدار پیش فرض 1 است: یک رکورد A (IPv4 IP). این پارامتر دارد نه آزمایش شده است؛ استفاده در
ریسک خودت
random_seed_file
این فایلی است که حاوی اعداد تصادفی است و بهعنوان بذر برای آن استفاده میشود
مولد اعداد تصادفی قوی از نظر رمزنگاری Deadwood سعی می کند 256 بایت بخواند
از این فایل (RNG Deadwood استفاده میکند میتواند جریانی با هر طول دلخواه را بپذیرد).
توجه داشته باشید که تابع فشرده سازی هش مقداری از آنتروپی خود را قبل از تجزیه به دست می آورد
فایل mararc، و برای دریافت آنتروپی از /dev/urandom (secret.txt در ویندوز) سخت کدگذاری شده است.
سیستم های). بیشتر آنتروپی های دیگری که توسط Deadwood استفاده می شود، از فایلی می آید که توسط آن اشاره شده است
random_seed_file.
recurse_min_bind_port
کمترین شماره پورت Deadwood مجاز است به آن متصل شود. این یک شماره پورت تصادفی استفاده شده است
برای پورت منبع پرس و جوهای خروجی، و 53 نیست (به dns_port در بالا مراجعه کنید). این یک است
عددی بین 1025 و 32767 است و مقدار پیشفرض آن 15000 است. این برای ایجاد DNS استفاده میشود.
حملات جعل سخت تر است.
recurse_number_ports
تعداد پورت هایی که Deadwood به پورت منبع برای اتصالات خروجی متصل می شود. این
توان 2 بین 256 و 32768 است. این برای بیشتر کردن حملات جعل DNS استفاده می شود.
دشوار. مقدار پیش فرض 4096 است.
بازگشتی_acl
این لیستی از افرادی است که مجاز به استفاده از Deadwood برای انجام بازگشت DNS در "ip/mask" هستند.
قالب ماسک باید عددی بین 0 تا 32 باشد (برای IPv6 بین 0 تا 128). مثلا،
"127.0.0.1/8" به اتصالات محلی اجازه می دهد.
reject_aaaa
اگر این مقدار 1 باشد، هر زمان که یک پرس و جوی AAAA وجود داشته باشد، یک پاسخ جعلی SOA "not there" ارسال می شود.
به ددوود فرستاده شد. به عبارت دیگر، هر بار که برنامه ای از Deadwood IPv6 IP می خواهد
آدرس، به جای تلاش برای پردازش درخواست، زمانی که این روی 1 تنظیم شده است، Deadwood
وانمود می کند که نام میزبان مورد نظر آدرس IPv6 ندارد.
این برای افرادی که از IPv6 استفاده نمی کنند اما از برنامه های کاربردی (معمولاً دستور * NIX) استفاده می کنند مفید است
مانند برنامه هایی مانند "تلنت") که سرعت کارها را برای یافتن آدرس IPv6 کاهش می دهد.
این مقدار پیش فرض 0 است. به عبارت دیگر، پرس و جوهای AAAA به طور معمول پردازش می شوند مگر اینکه
این تنظیم شده است
reject_mx
وقتی این مقدار پیشفرض 1 باشد، کوئریهای MX بیصدا با IP خود حذف میشوند
وارد شده است. پرس و جوی MX پرس و جوی است که فقط در صورتی توسط یک ماشین انجام می شود که بخواهد خودش باشد
سرور پست الکترونیکی که نامه را به ماشین های موجود در اینترنت می فرستد. این یک پرس و جو یک دسکتاپ متوسط است
دستگاه (از جمله دستگاهی که از Outlook یا یکی دیگر از عوامل کاربر ایمیل برای خواندن و ارسال استفاده می کند
ایمیل) هرگز ساخته نخواهد شد.
به احتمال زیاد، اگر ماشینی بخواهد پرس و جوی MX ایجاد کند، ماشین توسط آن کنترل می شود
یک منبع راه دور برای ارسال ایمیل ناخواسته "هرزنامه". در ذهن، Deadwood اجازه نخواهد داد
پرس و جوهای MX باید ایجاد شوند مگر اینکه reject_mx به صراحت با مقدار 0 تنظیم شده باشد.
قبل از غیرفعال کردن این، لطفاً به خاطر داشته باشید که Deadwood برای استفاده در وب بهینه شده است
گشت و گذار، نه به عنوان یک سرور DNS برای یک مرکز پست. به طور خاص، IP برای رکوردهای MX هستند
از پاسخهای Deadwood حذف شد و Deadwood باید پرسوجوهای DNS اضافی را انجام دهد
IP های مربوط به رکوردهای MX را دریافت کنید و آزمایش Deadwood بیشتر برای وب طراحی شده است.
گشت و گذار (تقریباً 100٪ جستجوی رکورد) و نه برای تحویل نامه (رکورد گسترده MX
جستجو).
reject_ptr
اگر این مقدار 1 باشد، هر زمان که یک پرس و جو PTR وجود داشته باشد، یک پاسخ SOA جعلی "not there" ارسال می شود.
به ددوود فرستاده شد. به عبارت دیگر، هر بار که یک برنامه از Deadwood برای "DNS معکوس" می خواهد
جستجو" - نام میزبان برای یک آدرس IP داده شده - به جای تلاش برای پردازش آن
هنگامی که این روی 1 تنظیم شود، Deadwood وانمود می کند که آدرس IP مورد نظر ندارد
یک نام میزبان
این برای افرادی که هنگام تلاش برای انجام یک وقفه زمانی DNS آهسته دریافت می کنند مفید است
معکوس جستجوهای DNS در IPها.
این مقدار پیش فرض 0 است. به عبارت دیگر، پرس و جوهای PTR به طور معمول پردازش می شوند مگر اینکه
این تنظیم شده است
رستاخیزها
اگر این مقدار روی 1 تنظیم شود، Deadwood سعی می کند قبل از ارائه یک رکورد منقضی شده برای کاربر ارسال کند
بالا اگر 0 باشد، این کار را نمی کنیم. مقدار پیش فرض: 1
root_servers
این لیستی از سرورهای ریشه است. نحو آن با upstream_servers یکسان است (به زیر مراجعه کنید).
به عنوان مثال، این نوع سرویس DNS ICANN است که اجرا می شود. اینها سرورهایی هستند که این کار را انجام می دهند
به ما پاسخ کاملی به سوالات DNS ندهید، بلکه فقط به ما بگویید که کدام سرورهای DNS را انتخاب کنیم
وصل شوید تا به پاسخ مورد نظر خود نزدیکتر شوید.
لطفاً توجه داشته باشید که هر ورودی root_servers فضایی را در کش Deadwood اشغال می کند
برای ذخیره تعداد زیادی از این ورودی ها، maximum_cache_elements باید افزایش یابد.
tcp_listen
برای فعال کردن DNS-over-TCP، این متغیر باید تنظیم شود و مقدار آن 1 باشد. پیش فرض
ارزش: 0
timeout_secons
این مدت زمانی است که Deadwood قبل از تسلیم شدن و کنار گذاشتن یک UDP DNS معلق منتظر می ماند
پاسخ. مقدار پیش فرض برای این 1 است، مانند 1 ثانیه، مگر اینکه Deadwood با آن کامپایل شده باشد
FALLBACK_TIME فعال شد.
timeout_seconds_tcp
چه مدت باید روی یک اتصال TCP غیرفعال قبل از رها کردن آن صبر کرد. مقدار پیش فرض برای این
4 است، مانند 4 ثانیه.
ttl_age
اینکه آیا پیری TTL فعال است یا خیر. آیا ورودیهای کش دارای TTL هستند یا خیر
مدت زمانی که ورودی ها در حافظه پنهان باقی مانده اند.
اگر این مقدار 1 باشد، ورودی های TTL قدیمی می شوند. در غیر این صورت نیستند. پیشفرض
مقدار برای این 1 است.
upstream_port
این پورتی است که Deadwood برای اتصال یا ارسال بسته ها به سرورهای بالادستی استفاده می کند. در
مقدار پیش فرض برای این 53 است. پورت استاندارد DNS
upstream_servers
این لیستی از سرورهای DNS است که بار متعادل کننده سعی می کند با آنها تماس بگیرد. این یک است
واژه نامه متغیر (آرایه به جای یک عدد با یک رشته نمایه می شود) به جای ساده
متغیر. از آنجایی که upstream_servers یک متغیر فرهنگ لغت است، باید مقداردهی اولیه شود
قبل از استفاده
Deadwood به نام میزبانی که در تلاش برای یافتن سرور بالادستی است نگاه می کند
for، و با طولانی ترین پسوندی که می تواند پیدا کند مطابقت دارد.
به عنوان مثال، اگر شخصی درخواستی برای "www.foo.example.com" به Deadwood ارسال کند، Deadwood این کار را انجام خواهد داد.
ابتدا ببینید آیا یک متغیر upstream_servers برای "www.foo.example.com." وجود دارد یا خیر، سپس نگاه کنید
برای "foo.example.com."، سپس "example.com."، سپس "com." و در نهایت "." را جستجو کنید.
در اینجا نمونه ای از سرورهای upstream_server آورده شده است:
upstream_servers = {} # Initialize variable dictionary
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3، 10.1.2.4"
در این مثال، هر چیزی که به "foo.example.com" ختم شود توسط سرور DNS در حل و فصل می شود
192.168.42.1; هر چیز دیگری که به "example.com" ختم شود توسط 192.168.99.254 حل می شود. و
هر چیزی که به "example.com" ختم نمی شود توسط 10.1.2.3 یا 10.1.2.4 حل می شود.
مهم: نام دامنه upstream_servers باید به یک "" ختم شود. شخصیت. این هست
خوب:
upstream_servers["example.com."] = "192.168.42.1"
اما این نه خوب:
upstream_servers["example.com"] = "192.168.42.1"
دلیل این امر به این دلیل است که BIND در هنگام نام میزبان درگیر رفتار غیرمنتظره ای می شود
به یک نقطه ختم نمی شود، و با اجبار کردن یک نقطه در انتهای نام میزبان، Deadwood ندارد
حدس زدن اینکه آیا کاربر رفتار BIND را می خواهد یا رفتار "عادی" را.
اگر نه root_servers و نه upstream_servers تنظیم نشده اند، Deadwood سرورهای root_ را برای استفاده تنظیم می کند
سرورهای ریشه پیش فرض ICANN، به شرح زیر است:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)
این فهرست در تاریخ 9 فوریه 2015 جاری است و آخرین بار در 3 ژانویه 2013 تغییر کرده است.
لطفاً توجه داشته باشید که هر ورودی upstream_servers فضایی را در کش Deadwood اشغال می کند
برای ذخیره تعداد زیادی از این ورودی ها، maximum_cache_elements باید افزایش یابد.
سطح_پرحرف
این تعیین می کند که چه تعداد پیام در خروجی استاندارد ثبت شده است. مقادیر بزرگتر بیشتر ثبت می شود
پیام ها. مقدار پیش فرض برای این 3 است.
ip/mask قالب of IP ها
Deadwood از فرمت های IP/netmask استاندارد برای تعیین IP ها استفاده می کند. یک IP به صورت اعشاری نقطهچین است
فرمت، به عنوان مثال "10.1.2.3" (یا در قالب IPv6 زمانی که پشتیبانی IPv6 در آن کامپایل شده است).
نقاب شبکه برای تعیین محدوده ای از IP ها استفاده می شود. ماسک شبکه یک عدد واحد بین 1 است
و 32 (128 هنگامی که پشتیبانی IPv6 در آن کامپایل شده است)، که تعداد "1" پیشرو را نشان می دهد.
بیت ها در ماسک شبکه
10.1.1.1/24 نشان می دهد که هر IP از 10.1.1.0 تا 10.1.1.255 مطابقت دارد.
10.2.3.4/16 نشان می دهد که هر IP از 10.2.0.0 تا 10.2.255.255 مطابقت دارد.
127.0.0.0/8 نشان می دهد که هر IP با "127" به عنوان اولین اکتت (عدد) مطابقت دارد.
ماسک شبکه اختیاری است، و اگر وجود نداشته باشد، نشان می دهد که فقط یک IP منفرد مطابقت دارد.
DNS روی TCP
DNS-over-TCP باید با تنظیم tcp_listen روی ۱ به صراحت فعال شود.
Deadwood اطلاعات مفیدی را از بسته های UDP DNS که به صورت کوتاه مشخص شده اند استخراج می کند
همیشه نیاز به DNS-over-TCP را برطرف می کند. با این حال، Deadwood بسته های DNS را کش نمی کند
بزرگتر از 512 بایت که باید با استفاده از TCP ارسال شوند. علاوه بر این، DNS-over-TCP
بستههایی که پاسخهای DNS «ناقص» هستند (پاسخهایی که حلکننده خرد نمیتواند از آنها استفاده کند،
که می تواند یک ارجاع NS یا یک پاسخ ناقص CNAME باشد) به درستی مدیریت نمی شوند
توسط Deadwood.
Deadwood از DNS-over-UDP و DNS-over-TCP پشتیبانی می کند. همان دیمون گوش می دهد
هر دو پورت UDP و TCP DNS.
فقط کوئریهای UDP DNS ذخیره میشوند. Deadwood از کش روی TCP پشتیبانی نمی کند. رسیدگی می کند
TCP برای حل پاسخ کوتاه نادر بدون هیچ اطلاعات مفید یا کار با آن
حل کننده های DNS فقط با TCP غیر سازگار با RFC بسیار غیر معمول. در دنیای واقعی، DNS-over-TCP است
تقریبا هرگز استفاده نشده است
تجزیه دیگر فایل ها
این امکان وجود دارد که Deadwood را داشته باشید، ضمن تجزیه فایل dwood3rc، فایل های دیگر را بخوانید و
آنها را طوری تجزیه کنید که گویی فایل های dwood3rc هستند.
این کار با استفاده از execfile. برای استفاده از execfile، یک خط مانند این را در dwood3rc قرار دهید
فایل:
execfile ("مسیر/به/نام فایل")
جایی که path/to/filename مسیر فایلی است که باید مانند فایل dwood3rc تجزیه شود.
همه فایل ها باید در دایرکتوری /etc/maradns/deadwood/execfile یا زیر آن باشند. نام فایل ها می توانند
فقط حروف کوچک و کاراکتر زیرخط ("_") داشته باشند. مسیرهای مطلق نیستند
مجاز به عنوان آرگومان برای execfile; نام فایل نمی تواند با اسلش ("/") شروع شود
شخصیت.
اگر یک خطای تجزیه در فایلی وجود داشته باشد که توسط execfile به آن اشاره شده است، Deadwood آن را گزارش خواهد کرد
خطا در خط فرمان execfile در فایل اصلی dwood3rc. برای پیدا کردن
در جایی که یک خطای تجزیه در فایل فرعی وجود دارد، از چیزی مانند "Deadwood -f" استفاده کنید
/etc/maradns/deadwood/execfile/filename" برای یافتن خطای تجزیه در فایل متخلف،
که در آن "نام فایل" فایلی است که از طریق execfile تجزیه می شود.
IPV6 پشتیبانی
این سرور همچنین می تواند به صورت اختیاری کامپایل شود تا از IPv6 پشتیبانی کند. به منظور فعال کردن IPv6
پشتیبانی، "-DIPV6" را به پرچم های زمان کامپایل اضافه کنید. به عنوان مثال، برای کامپایل کردن این برای ایجاد یک
باینری کوچک و پشتیبانی از IPv6:
صادر کردن FLAGS='-Os -DIPV6'
ساخت
امنیت
Deadwood برنامه ای است که با امنیت در ذهن نوشته شده است.
علاوه بر استفاده از یک کتابخانه رشته ای مقاوم در برابر سرریز بافر و یک سبک کدنویسی و SQA
فرآیندی که سرریز بافر و نشت حافظه را بررسی می کند، Deadwood از یک قوی استفاده می کند
مولد اعداد شبه تصادفی (نسخه 32 بیتی RadioGatun) برای تولید هر دو
شناسه پرس و جو و پورت منبع برای ایمن بودن مولد اعداد تصادفی، Deadwood به a نیاز دارد
منبع خوب آنتروپی؛ به طور پیش فرض Deadwood از /dev/urandom برای بدست آوردن این آنتروپی استفاده می کند. اگر
شما در سیستمی بدون پشتیبانی /dev/urandom هستید، مهم است که مطمئن شوید
Deadwood منبع خوبی از آنتروپی دارد به طوری که شناسه پرس و جو و پورت منبع دشوار است
حدس بزنید (در غیر این صورت امکان جعل بسته های DNS وجود دارد).
پورت ویندوز Deadwood شامل برنامه ای به نام "mkSecretTxt.exe" است که یک را ایجاد می کند
فایل تصادفی 64 بایتی (512 بیتی) به نام "secret.txt" که می تواند توسط Deadwood (از طریق
پارامتر "random_seed_file")؛ Deadwood همچنین آنتروپی را از مهر زمانی Deadwood دریافت می کند
شروع شده و شماره شناسه فرآیند Deadwood است، بنابراین استفاده از همان استاتیک یکسان است
فایل secret.txt به عنوان فایل_تصادفی برای فراخوانی های متعدد Deadwood.
توجه داشته باشید که Deadwood در برابر کسی که در همان شبکه بسته های ارسال شده را مشاهده می کند محافظت نمی شود
توسط Deadwood و ارسال بسته های جعلی به عنوان پاسخ.
برای محافظت از Deadwood در برابر برخی حملات احتمالی انکار سرویس، بهتر است اگر
عدد اول Deadwood که برای هش کردن عناصر در حافظه نهان استفاده می شود، یک عدد اول تصادفی 31 بیتی است.
عدد. برنامه RandomPrime.c یک عدد اول تصادفی تولید می کند که در فایل قرار می گیرد
DwRandPrime.h که هر زمان که برنامه کامپایل می شود یا چیزهایی که کامپایل می شوند، بازسازی می شود
تمیز کردن با make clean. این برنامه از /dev/urandom برای آنتروپی خود استفاده می کند. پرونده
DwRandPrime.h در سیستمهای بدون /dev/urandom بازسازی نمیشود.
در سیستمهای بدون پشتیبانی مستقیم /dev/urandom، پیشنهاد میشود که ببینید آیا A وجود دارد یا خیر
راه ممکن برای دادن سیستم /dev/urandom در حال کار. به این ترتیب، زمانی که Deadwood است
کامپایل شده، عدد جادویی هش به طور مناسب تصادفی خواهد بود.
اگر از یک باینری از پیش کامپایل شده Deadwood استفاده می کنید، لطفاً مطمئن شوید که سیستم /dev/urandom دارد
پشتیبانی (در سیستم ویندوز، لطفاً مطمئن شوید که فایل با نام secret.txt باشد
تولید شده توسط برنامه mkSecretTxt.exe موجود)؛ Deadwood، در زمان اجرا، استفاده می کند
/dev/urandom (secret.txt در ویندوز) به عنوان یک مسیر رمزگذاری شده برای دریافت آنتروپی (همراه با
برچسب زمانی) برای الگوریتم هش.
شیطان سازی
Deadwood هیچ گونه امکانات ساختگی داخلی ندارد. این توسط
برنامه خارجی Duende یا هر شیطان ساز دیگر.
مثال پیکر بندی پرونده
در اینجا یک نمونه فایل پیکربندی dwood3rc آمده است:
# این یک نمونه فایل rc deadwood است
# توجه داشته باشید که نظرات با نماد هش شروع می شوند
bind_address="127.0.0.1" # IP ما به آن متصل می شویم
# خط زیر با اظهار نظر غیرفعال می شود
#bind_address="::1" # پشتیبانی اختیاری IPv6 داریم
# دایرکتوری که برنامه را از آن اجرا می کنیم (در Win32 استفاده نمی شود)
chroot_dir = "/etc/maradns/deadwood"
# سرورهای DNS بالادستی زیر متعلق به Google هستند
# (از دسامبر 2009) سرورهای DNS عمومی. برای
# اطلاعات بیشتر، به صفحه در مراجعه کنید
# http://code.google.com/speed/public-dns/
#
# اگر نه سرورهای_روت و نه سرورهای_بالادستی تنظیم نشده اند،
# Deadwood از سرورهای ریشه پیش فرض ICANN استفاده خواهد کرد.
#سرورهای_بالادستی = {}
#upstream_servers["."]="8.8.8.8، 8.8.4.4"
# چه کسی مجاز به استفاده از کش است. این خط
# به هر کسی که "127.0" را به عنوان دو مورد اول داشته باشد، اجازه می دهد
# رقم از IP خود برای استفاده از Deadwood
recursive_acl = "127.0.0.1/16"
# حداکثر تعداد درخواست های معلق
maxprocs = 2048
# ارسال SERVER FAIL هنگام بارگذاری بیش از حد
handle_overload = 1
maradns_uid = 99 # UID Deadwood اجرا می شود
maradns_gid = 99 # GID Deadwood اجرا می شود
maximum_cache_elements = 60000
# اگر می خواهید کش را از روی دیسک بخوانید و بنویسید،
# مطمئن شوید که chroot_dir در بالا قابل خواندن و نوشتن است
# توسط maradns_uid/gid بالا، و نظر را لغو کنید
# خط زیر
#cache_file = "dw_cache"
# اگر سرور DNS بالادستی شما پاسخ های DNS را به صورت "not there" تبدیل می کند
# در IP ها، این پارامتر به Deadwood اجازه می دهد تا هر پاسخی را تبدیل کند
# با یک IP داده شده به یک IP "not there". اگر هر یک از IP ها
# لیست شده در زیر در یک پاسخ DNS آمده است، Deadwood پاسخ را تبدیل می کند
# در یک "آنجا نیست"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# به طور پیش فرض، به دلایل امنیتی، Deadwood اجازه ورود IP را نمی دهد
# the 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
محدوده 169.254.xx، 224.xxx، یا 0.0.xx #. اگر از Deadwood استفاده می کنید
# برای حل نام ها در یک شبکه داخلی، نظر را لغو کنید
# خط زیر:
#filter_rfc1918 = 0
با استفاده از خدمات onworks.net به صورت آنلاین از deadwood استفاده کنید
