Ini adalah perintah deadwood yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
deadwood - Penyelesai DNS caching yang sepenuhnya rekursif
DESKRIPSI
Deadwood adalah cache DNS yang sepenuhnya rekursif. Ini adalah server DNS dengan fitur berikut:
* Dukungan penuh untuk rekursi DNS dan caching penerusan DNS
* Ukuran kecil dan jejak memori cocok untuk sistem tertanam
* Basis kode sederhana dan bersih
* Desain aman
* Perlindungan spoof: Kriptografi kuat yang digunakan untuk menentukan ID Kueri dan port sumber
* Kemampuan untuk membaca dan menulis cache ke file
* Cache dinamis yang menghapus entri yang tidak digunakan baru-baru ini
* Kemampuan untuk menggunakan entri yang kedaluwarsa dalam cache ketika tidak mungkin untuk menghubungi hulu
server DNS.
* Dukungan IPv6 dapat dikompilasi jika diinginkan
* Baik DNS-over-UDP dan DNS-over-TCP ditangani oleh daemon yang sama
* Fungsi dnswall bawaan
COMMAND GARIS ARGUMEN
Deadwood memiliki satu argumen baris perintah opsional: Lokasi konfigurasi
file yang digunakan Deadwood, ditentukan dengan tanda "-f". Jika ini tidak ditentukan, Deadwood
menggunakan file "/etc/maradns/deadwood/dwood3rc" sebagai file konfigurasi.
Dengan kata lain, memanggil Deadwood sebagai kayu mati akan menyebabkan Deadwood menggunakan
/etc/maradns/deadwood/dwood3rc sebagai file konfigurasi; memanggil Deadwood sebagai kayu mati -f
foobar akan menyebabkan Deadwood menggunakan file "foobar" di direktori kerja saat ini (the
direktori satu saat memulai Deadwood) sebagai file konfigurasi.
KONFIGURASI FILE FORMAT
File konfigurasi Deadwood dimodelkan setelah sintaks Python 2. Setiap Kayu Mati yang valid
file konfigurasi juga harus diurai dengan benar di Python 2.4.3 dan Python 2.6.6. Jika
file konfigurasi apa pun tidak diurai dengan benar di Deadwood tetapi menimbulkan kesalahan sintaksis di
Python, ini adalah bug yang harus diperbaiki.
Mengingat hal ini, spasi putih penting; Parameter kayu mati harus di paling kiri
kolom tanpa spasi di depan. Ini adalah baris yang valid (selama tidak ada spasi untuk
kirinya):
recursive_acl = "127.0.0.1/16"
Namun, baris berikut akan memunculkan kesalahan penguraian:
recursive_acl = "127.0.0.1/16"
Amati spasi di sebelah kiri string "recusive_acl" dalam format yang salah
line.
PARAMETER JENIS
Deadwood memiliki tiga jenis parameter yang berbeda:
* Parameter numerik. Parameter numerik tidak boleh dikelilingi oleh tanda kutip, seperti ini
contoh:
filter_rfc1918 = 0
Jika parameter numerik dikelilingi oleh tanda kutip, pesan kesalahan "Dwood3rc tidak diketahui
parameter string" akan muncul.
* Parameter tali. Parameter string harus diapit oleh tanda kutip, seperti dalam this
contoh:
bind_address = "127.0.0.1"
* Parameter kamus. Semua parameter kamus harus diinisialisasi sebelum digunakan, dan
parameter kamus harus memiliki indeks kamus dan nilai untuk indeks tersebut
dikelilingi oleh tanda kutip, seperti dalam contoh ini:
upstream_server = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Semua parameter dwood3rc kecuali berikut ini adalah parameter numerik:
* alamat_bind (string)
* file_cache (string)
* chroot_dir (string)
* ip_daftar hitam (string)
* ipv4_bind_addresses (string)
* file biji_acak (string)
* rekursif_acl (string)
* root_servers (kamus)
* upstream_servers (kamus)
DIDUKUNG PARAMETER
File konfigurasi Deadwood mendukung parameter berikut:
bind_address
Ini adalah alamat IP (atau mungkin IPv6) yang kami ikat.
cache_file
Ini adalah nama file dari file yang digunakan untuk membaca dan menulis cache ke disk; ini
string dapat memiliki huruf kecil, simbol '-', simbol '_', dan simbol '/' (untuk
meletakkan cache di subdirektori). Semua simbol lainnya menjadi simbol '_'.
File ini dibaca dan ditulis saat pengguna menjalankan Deadwood.
chroot_dir
Ini adalah direktori tempat program akan dijalankan.
kirim_semua
Ini mempengaruhi perilaku di Deadwood 2.3, tetapi tidak berpengaruh di Deadwood 3. Variabel ini adalah
hanya disini agar file rc Deadwood 2 bisa berjalan di Deadwood 3.
dns_port
Ini adalah port yang Deadwood ikat dan dengarkan untuk koneksi masuk. Standarnya
nilai untuk ini adalah port DNS standar: port 53
filter_rfc1918
Ketika ini memiliki nilai 1, sejumlah rentang IP yang berbeda tidak diperbolehkan berada di DNS A
balasan:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Jika salah satu IP di atas terdeteksi dalam balasan DNS, dan filter_rfc1918 memiliki nilai 1,
Deadwood akan mengembalikan respons sintetis "host ini tidak membalas" (catatan SOA di
bagian NS) alih-alih catatan A.
Alasan untuk ini adalah untuk menyediakan "dnswall" yang melindungi pengguna untuk beberapa jenis
serangan, seperti yang dijelaskan di http://crypto.stanford.edu/dns/
Harap dicatat bahwa Deadwood hanya menyediakan fungsionalitas "dnswall" IPv4 dan tidak membantu
melindungi terhadap jawaban IPv6. Jika perlindungan terhadap catatan AAAA IPv6 tertentu diperlukan,
nonaktifkan semua jawaban AAAA dengan menyetel reject_aaaa agar memiliki nilai 1, atau gunakan an
program eksternal untuk menyaring jawaban IPv4 yang tidak diinginkan (seperti program dnswall).
Nilai default untuk ini adalah 1
handle_norreply
Ketika ini diatur ke 0, Deadwood tidak mengirimkan balasan kembali ke klien (ketika klien adalah
klien TCP, Deadwood menutup koneksi TCP) ketika permintaan UDP dikirim ke hulu dan
DNS upstream tidak pernah mengirim balasan.
Saat ini disetel ke 1, Deadwood mengirimkan SERVER FAIL kembali ke klien saat kueri UDP
dikirim ke hulu dan DNS hulu tidak pernah mengirim balasan.
Nilai default untuk ini adalah 1
menangani_kelebihan beban
Ketika ini memiliki nilai 0, Deadwood tidak mengirimkan balasan saat permintaan UDP dikirim dan
server kelebihan beban (memiliki terlalu banyak koneksi yang tertunda); ketika memiliki nilai 1,
Deadwood mengirimkan paket SERVER FAIL kembali ke pengirim kueri UDP. Nilai default
untuk ini adalah 1.
hash_angka_ajaib
Ini digunakan untuk generator hash internal Deadwood untuk menjaga generator hash
agak acak dan kebal terhadap jenis serangan tertentu. Dalam Deadwood 3.0, entropi untuk
fungsi hash dibuat dengan melihat isi /dev/urandom (secret.txt di Windows
mesin) dan stempel waktu saat ini. Parameter ini hanya ada di sini jadi konfigurasi yang lebih lama
file tidak rusak di Deadwood 3.0.
ip_daftar hitam
Ini adalah daftar IP yang tidak kami izinkan untuk menjawab permintaan DNS. Itu
alasan untuk ini adalah untuk melawan praktik yang dimiliki beberapa ISP dalam mengonversi "situs ini"
tidak ada" jawaban DNS ke halaman yang dikendalikan oleh ISP; ini menghasilkan kemungkinan
masalah keamanan.
Parameter ini hanya menerima IP individu, dan tidak menggunakan netmask.
maradns_uid
User-id Deadwood berjalan sebagai. Ini bisa berupa angka antara 10 dan 65535; default
nilainya adalah 99 (tidak ada seorang pun di distribusi Linux yang diturunkan dari RedHat). Nilai ini tidak digunakan pada
Sistem Windows.
maradns_gid
Grup-id Deadwood berjalan sebagai. Ini bisa berupa angka antara 10 dan 65535; default
nilainya adalah 99. Nilai ini tidak digunakan pada sistem Windows.
max_ar_chain
Apakah rotasi catatan sumber daya diaktifkan. Jika ini memiliki nilai 1, catatan sumber daya
rotasi diaktifkan, jika tidak, rotasi catatan sumber daya dinonaktifkan.
Rotasi catatan sumber daya biasanya diinginkan, karena memungkinkan DNS untuk bertindak seperti mentah
penyeimbang beban. Namun, pada sistem yang sarat muatan, mungkin diinginkan untuk menonaktifkannya untuk
mengurangi penggunaan CPU.
Alasan nama yang tidak biasa untuk variabel ini adalah untuk mempertahankan kompatibilitas dengan MaraDNS
file mararc.
Nilai defaultnya adalah 1: Rotasi catatan sumber daya diaktifkan.
max_inflights
Jumlah maksimum klien simultan yang kami proses pada saat yang sama untuk kueri yang sama.
Jika, saat memproses kueri untuk, misalnya, "example.com.", klien DNS lain mengirim ke
Deadwood kueri lain untuk example.com, alih-alih membuat kueri baru untuk diproses
example.com, Deadwood akan melampirkan klien baru ke kueri yang sama yang sudah "di"
penerbangan", dan mengirim balasan ke kedua klien setelah kami memiliki jawaban untuk example.com.
Ini adalah jumlah klien simultan yang dapat dimiliki oleh kueri tertentu. Jika batas ini adalah
terlampaui, klien berikutnya dengan kueri yang sama ditolak hingga jawaban ditemukan. Jika
ini memiliki nilai 1, kami tidak menggabungkan beberapa permintaan untuk kueri yang sama, tetapi memberikan masing-masing
meminta koneksinya sendiri.
Nilai defaultnya adalah 8.
max_ttl
Jumlah waktu maksimum kami akan menyimpan entri dalam cache, dalam hitungan detik (juga disebut
"TTL Maksimum").
Ini adalah entri terlama yang akan kami simpan dalam cache. Nilai default untuk parameter ini adalah
86400 (satu hari); nilai minimum adalah 300 (5 menit) dan nilai maksimum yang dapat dimiliki
adalah 7776000 (90 hari).
Alasan mengapa parameter ini ada di sini adalah untuk melindungi Deadwood dari serangan yang mengeksploitasi
ada data basi dalam cache, seperti serangan "Nama Domain Hantu".
maksimum_cache_elemens
Jumlah maksimum elemen yang boleh dimiliki cache kami. Ini adalah angka antara 32
dan 16,777,216; nilai default untuk ini adalah 1024. Perhatikan bahwa, jika menulis cache ke
disk atau membaca cache dari disk, nilai yang lebih tinggi ini akan memperlambat cache
membaca/menulis.
Jumlah memori yang digunakan setiap entri cache bervariasi tergantung pada sistem operasi
digunakan dan ukuran halaman alokasi memori yang ditetapkan. Di Windows XP, misalnya, masing-masing
entri menggunakan sekitar empat kilobyte memori dan Deadwood memiliki overhead sebesar
sekitar 512 kilobyte. Jadi, jika ada 512 elemen cache, Deadwood menggunakan
sekitar 2.5 megabyte memori, dan jika ada 1024 elemen cache, Deadwood menggunakan
sekitar 4.5 megabyte memori. Sekali lagi, angka-angka ini untuk Windows XP dan lainnya
sistem operasi akan memiliki nomor alokasi memori yang berbeda.
Harap dicatat bahwa setiap entri root_servers dan upstream_servers memakan ruang di Deadwood's
cache dan maximum_cache_elements itu perlu ditingkatkan untuk menyimpan sejumlah besar
entri ini.
maxprocs
Ini adalah jumlah maksimum koneksi UDP jarak jauh yang tertunda yang dapat dimiliki Deadwood. Itu
nilai default untuk ini adalah 1024.
max_tcp_procs
Ini adalah jumlah koneksi TCP terbuka yang diizinkan. Nilai default: 8
num_retry
Berapa kali kami mencoba mengirim kueri ke hulu sebelum menyerah. Jika ini adalah 0, kita
hanya mencoba sekali; jika ini 1, kami mencoba dua kali, dan seterusnya, hingga 32 percobaan ulang. Perhatikan bahwa setiap
coba lagi membutuhkan waktu timeout_seconds detik sebelum kita coba lagi. Nilai default: 5
ns_glueless_type
Jenis RR yang kami kirim untuk menyelesaikan catatan tanpa lem. Ini harus 1 (A) ketika terutama menggunakan
IPv4 untuk menyelesaikan catatan. Jika catatan NS tanpa lem memiliki catatan AAAA tetapi bukan catatan A, dan IPv6 adalah
diaktifkan, mungkin masuk akal untuk memberikan nilai 255 (APAPUN). Jika IPv4 berhenti menjadi
digunakan dalam skala besar, pada akhirnya menjadi mungkin untuk membuat ini memiliki nilai 28
(AAAA).
Nilai defaultnya adalah 1: Catatan A (IPv4 IP). Parameter ini memiliki tidak telah diuji; gunakan di
risiko Anda sendiri.
file_seed_acak
Ini adalah file yang berisi nomor acak, dan digunakan sebagai benih untuk
pembangkit bilangan acak yang kuat secara kriptografis. Deadwood akan mencoba membaca 256 byte
dari file ini (penggunaan RNG Deadwood dapat menerima aliran dengan panjang sembarang).
Perhatikan bahwa fungsi kompresi hash memperoleh beberapa entropi sebelum menguraikan
mararc, dan di-hard-code untuk mendapatkan entropi dari /dev/urandom (secret.txt di Windows
sistem). Sebagian besar entropi lain yang digunakan oleh Deadwood berasal dari file yang ditunjuk oleh
file_seed_acak.
recurse_min_bind_port
Port bernomor terendah yang diizinkan untuk diikat oleh Deadwood; ini adalah nomor port acak yang digunakan
untuk port sumber kueri keluar, dan bukan 53 (lihat dns_port di atas). Ini adalah sebuah
nomor antara 1025 dan 32767, dan memiliki nilai default 15000. Ini digunakan untuk membuat DNS
serangan spoofing lebih sulit.
recurse_number_ports
Jumlah port yang Deadwood ikat untuk port sumber untuk koneksi keluar; ini
adalah kekuatan 2 antara 256 dan 32768. Ini digunakan untuk membuat serangan DNS spoofing lebih banyak
sulit. Nilai defaultnya adalah 4096.
rekursif_acl
Ini adalah daftar siapa yang diizinkan menggunakan Deadwood untuk melakukan rekursi DNS, di "ip/mask"
format. Mask harus berupa angka antara 0 dan 32 (untuk IPv6, antara 0 dan 128). Sebagai contoh,
"127.0.0.1/8" memungkinkan koneksi lokal.
tolak_aaa
Jika ini memiliki nilai 1, balasan "tidak ada" SOA palsu dikirim setiap kali permintaan AAAA
dikirim ke Deadwood. Dengan kata lain, setiap kali sebuah program meminta Deadwood untuk IP IPv6
alamat, alih-alih mencoba memproses permintaan, ketika ini disetel ke 1, Deadwood
berpura-pura nama host yang dimaksud tidak memiliki alamat IPv6.
Ini berguna untuk orang yang tidak menggunakan IPv6 tetapi menggunakan aplikasi (biasanya perintah *NIX
seperti aplikasi seperti "telnet") yang memperlambat upaya mencari alamat IPv6.
Ini memiliki nilai default 0. Dengan kata lain, kueri AAAA diproses secara normal kecuali
ini diatur.
tolak_mx
Ketika ini memiliki nilai default 1, kueri MX dihapus secara diam-diam dengan IP-nya
dicatat. Kueri MX adalah kueri yang hanya dilakukan oleh mesin jika ingin menjadi miliknya sendiri
server email mengirim email ke mesin di internet. Ini adalah kueri desktop rata-rata
mesin (termasuk yang menggunakan Outlook atau agen pengguna email lainnya untuk membaca dan mengirim
email) tidak akan pernah membuat.
Kemungkinan besar, jika mesin mencoba membuat kueri MX, mesin sedang dikendalikan oleh
sumber jarak jauh untuk mengirim email "spam" yang tidak diinginkan. Mengingat hal ini, Deadwood tidak akan mengizinkan
Kueri MX akan dibuat kecuali jika reject_mx secara eksplisit ditetapkan dengan nilai 0.
Sebelum menonaktifkan ini, harap diingat bahwa Deadwood dioptimalkan untuk digunakan untuk web
berselancar, bukan sebagai server DNS untuk hub email. Secara khusus, IP untuk data MX adalah
dihapus dari balasan Deadwood dan Deadwood perlu melakukan kueri DNS tambahan untuk
dapatkan IP yang sesuai dengan data MX, dan pengujian Deadwood lebih diarahkan untuk web
surfing (hampir 100% A record lookup) dan bukan untuk pengiriman email (extensive MX record
mencari).
tolak_ptr
Jika ini memiliki nilai 1, balasan "tidak ada" SOA palsu dikirim setiap kali permintaan PTR
dikirim ke Deadwood. Dengan kata lain, setiap kali sebuah program meminta Deadwood untuk "reverse DNS"
lookup" -- nama host untuk alamat IP tertentu -- alih-alih mencoba memproses
permintaan, ketika ini diatur ke 1, Deadwood berpura-pura alamat IP yang dimaksud tidak memiliki
sebuah nama host.
Ini berguna untuk orang yang mengalami waktu tunggu DNS lambat saat mencoba melakukan a
membalikkan pencarian DNS pada IP.
Ini memiliki nilai default 0. Dengan kata lain, kueri PTR diproses secara normal kecuali
ini diatur.
kebangkitan
Jika ini disetel ke 1, Deadwood akan mencoba mengirim catatan kedaluwarsa kepada pengguna sebelum memberikan
ke atas. Jika 0, kita tidak. Nilai default: 1
root_server
Ini adalah daftar server root; sintaksnya identik dengan upstream_servers (lihat di bawah).
Ini adalah jenis layanan DNS ICANN, misalnya, berjalan. Ini adalah server yang digunakan yang melakukan
tidak memberi kami jawaban lengkap untuk pertanyaan DNS, tetapi hanya memberi tahu kami server DNS mana yang harus
terhubung ke untuk mendapatkan jawaban yang lebih dekat dengan jawaban yang kita inginkan.
Harap dicatat bahwa setiap entri root_servers memakan ruang di cache Deadwood dan itu
maximum_cache_elements perlu ditingkatkan untuk menyimpan entri ini dalam jumlah besar.
tcp_listen
Untuk mengaktifkan DNS-over-TCP, variabel ini harus disetel dan memiliki nilai 1. Default
nilai: 0
batas waktu_detik
Ini adalah berapa lama Deadwood akan menunggu sebelum menyerah dan membuang DNS UDP yang tertunda
membalas. Nilai default untuk ini adalah 1, seperti dalam 1 detik, kecuali jika Deadwood dikompilasi dengan
FALLBACK_TIME diaktifkan.
batas waktu_detik_tcp
Berapa lama menunggu pada koneksi TCP yang menganggur sebelum menjatuhkannya. Nilai default untuk ini
adalah 4, seperti dalam 4 detik.
ttl_age
Apakah penuaan TTL diaktifkan; apakah entri dalam cache memiliki TTL yang disetel menjadi
jumlah waktu yang tersisa dari entri dalam cache.
Jika ini memiliki nilai 1, entri TTL sudah berumur. Jika tidak, mereka tidak. Standarnya
nilai untuk ini adalah 1.
upstream_port
Ini adalah port yang digunakan Deadwood untuk menghubungkan atau mengirim paket ke server upstream. Itu
nilai default untuk ini adalah 53; port DNS standar.
server_upstream
Ini adalah daftar server DNS yang akan coba dihubungi oleh penyeimbang beban. Ini adalah sebuah
kamus variabel (array diindeks oleh string, bukan oleh angka) alih-alih sederhana
variabel. Karena upstream_servers adalah variabel kamus, itu perlu diinisialisasi
sebelum digunakan.
Deadwood akan melihat nama host yang mencoba menemukan server upstream
for, dan akan cocok dengan sufiks terpanjang yang bisa ditemukan.
Misalnya, jika seseorang mengirim kueri untuk "www.foo.example.com" ke Deadwood, Deadwood akan
pertama-tama lihat apakah ada variabel upstream_servers untuk "www.foo.example.com.", lalu lihat
untuk "foo.example.com.", lalu cari "example.com.", lalu "com.", dan terakhir ".".
Berikut adalah contoh upstream_servers:
upstream_servers = {} # Inisialisasi variabel kamus
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
Dalam contoh ini, apa pun yang berakhiran "foo.example.com" diselesaikan oleh server DNS di
192.168.42.1; hal lain yang diakhiri dengan "example.com" diselesaikan dengan 192.168.99.254; dan
apa pun yang tidak berakhiran "example.com" diselesaikan dengan 10.1.2.3 atau 10.1.2.4.
Penting: nama domain yang ditunjuk upstream_servers harus diakhiri dengan "." karakter. Ini
BAIK:
upstream_servers["example.com."] = "192.168.42.1"
Tapi ini adalah tidak BAIK:
upstream_servers["example.com"] = "192.168.42.1"
Alasan untuk ini adalah karena BIND terlibat dalam perilaku tak terduga saat nama host
tidak diakhiri dengan titik, dan dengan memaksa titik di akhir nama host, Deadwood tidak memiliki
untuk menebak apakah pengguna menginginkan perilaku BIND atau perilaku "normal".
Jika root_servers atau upstream_servers tidak disetel, Deadwood menyetel root_servers untuk digunakan
root server ICANN default, sebagai berikut:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-server.net (ISI)
192.33.4.12 c.root-servers.net (Meyakinkan)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-server.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-server.net (IANA)
202.12.27.33 m.root-servers.net (LEBAR)
Daftar ini berlaku pada 9 Februari 2015, dan terakhir diubah pada 3 Januari 2013.
Harap dicatat bahwa setiap entri upstream_servers memakan ruang di cache Deadwood dan itu
maximum_cache_elements perlu ditingkatkan untuk menyimpan entri ini dalam jumlah besar.
tingkat_verbose
Ini menentukan berapa banyak pesan yang dicatat pada keluaran standar; nilai yang lebih besar mencatat lebih banyak
pesan. Nilai default untuk ini adalah 3.
ip/topeng format of IP
Deadwood menggunakan format ip/netmask standar untuk menentukan IP. Sebuah ip dalam desimal bertitik
format, misalnya "10.1.2.3" (atau dalam format IPv6 saat dukungan IPv6 dikompilasi).
Netmask digunakan untuk menentukan rentang IP. Netmask adalah angka tunggal antara 1
dan 32 (128 saat dukungan IPv6 dikompilasi), yang menunjukkan jumlah awalan "1"
bit di netmask.
10.1.1.1/24 menunjukkan bahwa ip apa pun dari 10.1.1.0 hingga 10.1.1.255 akan cocok.
10.2.3.4/16 menunjukkan bahwa ip apa pun dari 10.2.0.0 hingga 10.2.255.255 akan cocok.
127.0.0.0/8 menunjukkan bahwa setiap ip dengan "127" sebagai oktet (angka) pertama akan cocok.
Netmask adalah opsional, dan, jika tidak ada, menunjukkan bahwa hanya satu IP yang cocok.
DNS lebih TCP
DNS-over-TCP perlu diaktifkan secara eksplisit dengan menyetel tcp_listen ke 1.
Deadwood mengekstrak informasi yang berguna dari paket DNS UDP yang ditandai terpotong yang hampir
selalu menghilangkan kebutuhan untuk memiliki DNS-over-TCP. Namun, Deadwood tidak meng-cache paket DNS
berukuran lebih besar dari 512 byte yang perlu dikirim menggunakan TCP. Selain itu, DNS-over-TCP
paket yang merupakan balasan DNS "tidak lengkap" (balasan yang tidak dapat digunakan oleh penyelesai rintisan,
yang dapat berupa rujukan NS atau balasan CNAME yang tidak lengkap) tidak ditangani dengan benar
oleh Deadwood.
Deadwood memiliki dukungan untuk DNS-over-UDP dan DNS-over-TCP; daemon yang sama mendengarkan
port UDP dan TCP DNS.
Hanya kueri DNS UDP yang di-cache. Deadwood tidak mendukung caching melalui TCP; itu menangani
TCP untuk menyelesaikan balasan terpotong yang jarang tanpa informasi berguna atau untuk bekerja dengan
Resolver DNS khusus TCP yang tidak sesuai dengan RFC sangat jarang. Di dunia nyata, DNS-over-TCP adalah
hampir tidak pernah digunakan.
Penguraian lain arsip
Dimungkinkan untuk memiliki Deadwood, saat mengurai file dwood3rc, membaca file lain dan
menguraikannya seolah-olah itu adalah file dwood3rc.
Ini dilakukan dengan menggunakan file eksekusi. Untuk menggunakan execfile, tempatkan baris seperti ini di dwood3rc
File:
execfile("jalur/ke/nama file")
Di mana path/to/filename adalah path ke file yang akan diurai seperti file dwood3rc.
Semua file harus berada di atau di bawah direktori /etc/maradns/deadwood/execfile. Nama file bisa
hanya memiliki huruf kecil dan karakter garis bawah ("_"). Jalan absolut bukan
diperbolehkan sebagai argumen ke execfile; nama file tidak boleh diawali dengan garis miring ("/")
karakter.
Jika ada kesalahan parse pada file yang ditunjuk oleh execfile, Deadwood akan melaporkan:
kesalahan karena berada di baris dengan perintah execfile di file dwood3rc utama. Mencari
di mana kesalahan parse ada di sub-file, gunakan sesuatu seperti "Deadwood -f
/etc/maradns/deadwood/execfile/filename" untuk menemukan kesalahan penguraian dalam file yang menyinggung,
di mana "nama file" adalah file yang akan diurai melalui execfile.
IPV6 mendukung
Server ini juga dapat dikompilasi secara opsional untuk memiliki dukungan IPv6. Untuk mengaktifkan IPv6
dukungan, tambahkan '-DIPV6' ke flag waktu kompilasi. Misalnya, untuk mengkompilasi ini untuk membuat
biner kecil, dan memiliki dukungan IPv6:
ekspor FLAGS='-Os -DIPV6'
membuat
KEAMANAN
Deadwood adalah program yang ditulis dengan mempertimbangkan keamanan.
Selain menggunakan pustaka string tahan buffer-overflow dan gaya pengkodean dan SQA
proses yang memeriksa buffer overflows dan kebocoran memori, Deadwood menggunakan yang kuat
generator nomor pseudo-acak (RadioGatun versi 32-bit) untuk menghasilkan kedua
ID kueri dan port sumber. Agar generator nomor acak aman, Deadwood membutuhkan
sumber entropi yang baik; secara default Deadwood akan menggunakan /dev/urandom untuk mendapatkan entropi ini. Jika
Anda menggunakan sistem tanpa dukungan /dev/urandom, penting untuk memastikan bahwa
Deadwood memiliki sumber entropi yang baik sehingga ID kueri dan port sumber sulit untuk
tebak (jika tidak, adalah mungkin untuk memalsukan paket DNS).
Port Windows Deadwood menyertakan program yang disebut "mkSecretTxt.exe" yang membuat a
File acak 64-byte (512 bit) bernama "secret.txt" yang dapat digunakan oleh Deadwood (melalui
parameter "random_seed_file"); Deadwood juga mendapat entropi dari stempel waktu saat Deadwood
dimulai dan nomor ID proses Deadwood, jadi sama untuk menggunakan statis yang sama
secret.txt sebagai file random_seed_ untuk beberapa pemanggilan Deadwood.
Perhatikan bahwa Deadwood tidak dilindungi dari seseorang di jaringan yang sama melihat paket yang dikirim
oleh Deadwood dan mengirimkan paket palsu sebagai balasan.
Untuk melindungi Deadwood dari kemungkinan serangan penolakan layanan tertentu, yang terbaik adalah jika
Bilangan prima Deadwood yang digunakan untuk elemen hashing dalam cache adalah bilangan prima 31-bit acak
nomor. Program RandomPrime.c menghasilkan bilangan prima acak yang ditempatkan di file
DwRandPrime.h yang dibuat ulang setiap kali program dikompilasi atau hal-hal lainnya
dibersihkan dengan make clean. Program ini menggunakan /dev/urandom untuk entropinya; berkas
DwRandPrime.h tidak akan dibuat ulang pada sistem tanpa /dev/urandom.
Pada sistem tanpa dukungan langsung /dev/urandom, disarankan untuk melihat apakah ada
cara yang mungkin untuk membuat sistem bekerja /dev/urandom. Dengan cara ini, ketika Deadwood adalah
dikompilasi, nomor ajaib hash akan acak.
Jika menggunakan biner Deadwood yang telah dikompilasi, harap pastikan bahwa sistem memiliki /dev/urandom
dukungan (pada sistem Windows, pastikan bahwa file dengan nama secret.txt adalah
dihasilkan oleh program mkSecretTxt.exe yang disertakan); Kayu mati, saat runtime, menggunakan
/dev/urandom (secret.txt di Windows) sebagai jalur hardcode untuk mendapatkan entropi (bersama dengan
timestamp) untuk algoritma hash.
DAEMONISASI
Deadwood tidak memiliki fasilitas daemonisasi bawaan; ini ditangani oleh
program eksternal Duende atau daemonizer lainnya.
Contoh konfigurasi fillet
Berikut adalah contoh file konfigurasi dwood3rc:
# Ini adalah contoh file rc kayu mati
# Perhatikan bahwa komentar dimulai dengan simbol hash
bind_address="127.0.0.1" # IP yang kami ikat
# Baris berikut dinonaktifkan dengan dikomentari
#bind_address="::1" # Kami memiliki dukungan IPv6 opsional
# Direktori tempat kami menjalankan program (tidak digunakan di Win32)
chroot_dir = "/etc/maradns/deadwood"
# Server DNS upstream berikut adalah milik Google
# (per Desember 2009) server DNS publik. Untuk
# informasi lebih lanjut, lihat halaman di
# http://code.google.com/speed/public-dns/
#
# Jika root_servers maupun upstream_servers tidak disetel,
# Deadwood akan menggunakan server root ICANN default.
#server_hulu = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Siapa yang diizinkan menggunakan cache. Garis ini
# memungkinkan siapa pun dengan "127.0" sebagai dua yang pertama
# digit IP mereka untuk menggunakan Deadwood
recursive_acl = "127.0.0.1/16"
# Jumlah maksimum permintaan tertunda
proses maksimal = 2048
# Kirim SERVER GAGAL saat kelebihan beban
menangani_kelebihan beban = 1
maradns_uid = 99 # UID Deadwood berjalan sebagai
maradns_gid = 99 # GID Deadwood berjalan sebagai
maksimum_cache_element = 60000
# Jika Anda ingin membaca dan menulis cache dari disk,
# pastikan chroot_dir di atas dapat dibaca dan ditulis
# oleh maradns_uid/gid di atas, dan batalkan komentar pada
# baris berikut.
#cache_file = "dw_cache"
# Jika server DNS hulu Anda mengonversi balasan DNS "tidak ada"
# ke IP, parameter ini memungkinkan Deadwood mengonversi balasan apa pun
# dengan IP yang diberikan kembali ke IP "tidak ada". Jika salah satu IP
# tercantum di bawah ini dalam jawaban DNS, Deadwood mengonversi jawabannya
# ke "tidak ada"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Secara default, untuk alasan keamanan, Deadwood tidak mengizinkan IP masuk
# 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx, atau rentang 0.0.xx. Jika menggunakan Kayu Mati
# untuk menyelesaikan nama di jaringan internal, batalkan komentar pada
# baris berikut:
#filter_rfc1918 = 0
Gunakan kayu mati online menggunakan layanan onworks.net
