deadwood - מקוון בענן

תָכְנִית:

שֵׁם

deadwood - פותר DNS למטמון רקורסיבי לחלוטין

תיאור

Deadwood הוא מטמון DNS רקורסיבי לחלוטין. זהו שרת DNS עם התכונות הבאות:

* תמיכה מלאה הן ברקורסיה של DNS והן בשמירת העברת DNS במטמון

* גודל קטן וטביעת רגל זיכרון מתאים למערכות משובצות

* בסיס קוד פשוט ונקי

* עיצוב מאובטח

* הגנת זיוף: קריפטוגרפיה חזקה המשמשת לקביעת מזהה השאילתה ויציאת המקור

* יכולת קריאה וכתיבה של המטמון לקובץ

* מטמון דינמי שמוחק ערכים שלא נעשה בהם שימוש לאחרונה

* אפשרות להשתמש בערכים שפג תוקפם במטמון כאשר אי אפשר ליצור קשר במעלה הזרם
שרתי DNS.

* ניתן להרכיב תמיכה ב-IPv6 אם תרצה

* גם DNS-over-UDP וגם DNS-over-TCP מטופלים על ידי אותו דמון

* פונקציונליות dnswall מובנית

פקודה קו טיעונים

ל-Deadwood יש ארגומנט שורת פקודה אופציונלי יחיד: מיקום התצורה
קובץ ש-Deadwood משתמש בו, מצוין עם הדגל "-f". אם זה לא מוגדר, דדווד
משתמש בקובץ "/etc/maradns/deadwood/dwood3rc" כקובץ התצורה.

במילים אחרות, הפעלת Deadwood as דדווד יגרום ל-Deadwood להשתמש
/etc/maradns/deadwood/dwood3rc כקובץ התצורה; קורא ל-Deadwood as דדווד -f
פו בר יגרום ל-Deadwood להשתמש בקובץ "foobar" בספריית העבודה הנוכחית (the
ספרייה XNUMX נמצאת בה בעת הפעלת Deadwood) כקובץ התצורה.

תְצוּרָה קובץ פורמט

קובץ התצורה של Deadwood מעוצב לפי התחביר של Python 2. כל דדווד חוקי
קובץ התצורה צריך לנתח נכון גם ב-Python 2.4.3 וגם ב-Python 2.6.6. אם
כל קובץ תצורה מנתח נכון ב-Deadwood אבל מעלה שגיאת תחביר ב
Python, זה באג שצריך לתקן.

זאת בחשבון, רווח לבן הוא משמעותי; הפרמטרים של Deadwood חייבים להיות בפינה השמאלית ביותר
עמודה ללא רווח לבן מוביל. זוהי שורה חוקית (כל עוד אין רווחים ל
שלו משמאל):

recursive_acl = "127.0.0.1/16"

עם זאת, השורה הבאה תעלה שגיאת ניתוח:

recursive_acl = "127.0.0.1/16"

שים לב לרווח משמאל למחרוזת "recusive_acl" בפורמט שגוי
קו.

פרמטר סוגי

ל-Deadwood יש שלושה סוגי פרמטרים שונים:

* פרמטרים מספריים. אין להקיף פרמטרים מספריים במירכאות, כגון זה
דוּגמָה:

filter_rfc1918 = 0

אם פרמטר מספרי מוקף במירכאות, הודעת השגיאה "Unknown dwood3rc
פרמטר מחרוזת" יופיע.

* פרמטרי מחרוזת. פרמטרים של מחרוזת חייבים להיות מוקפים במירכאות, כגון זה
דוּגמָה:

bind_address = "127.0.0.1"

* פרמטרים של מילון. יש לאתחל את כל הפרמטרים של המילון לפני השימוש, וכן
פרמטרים של מילון חייבים לכלול גם את אינדקס המילון וגם את הערך של האינדקס האמור
מוקף במרכאות, כמו בדוגמה זו:

upstream_servers = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"

כל הפרמטרים של dwood3rc אלא להלן פרמטרים מספריים:

* כתובת_binding (מחרוזת)

* cache_file (מחרוזת)

* chroot_dir (מחרוזת)

* ip_blacklist (מחרוזת)

* ipv4_bind_addresses (מחרוזת)

*random_seed_file (מחרוזת)

* רקורסיבי_acl (מחרוזת)

*שרתי שורש (מילון)

* שרתים במעלה הזרם (מילון)

נתמך פרמטרים

קובץ התצורה של Deadwood תומך בפרמטרים הבאים:

bind_address

זוהי כתובת ה-IP (או אולי IPv6) שאליה אנו נקשרים.

cache_file

זהו שם הקובץ של הקובץ המשמש לקריאה וכתיבת המטמון לדיסק; זֶה
מחרוזת יכולה לכלול אותיות קטנות, סמל '-', סמל '_' וסמל '/' (עבור
הכנסת המטמון לספריית משנה). כל שאר הסמלים הופכים לסמל '_'.

קובץ זה נקרא ונכתב כפי שהמשתמש Deadwood פועל.

chroot_dir

זוהי הספרייה שממנה תרוץ התוכנית.

לספק_הכל

זה משפיע על ההתנהגות ב-Deadwood 2.3, אבל אין לו השפעה ב-Deadwood 3. משתנה זה הוא
רק כאן כדי שקובצי Deadwood 2 rc יוכלו לפעול ב-Deadwood 3.

dns_port

זה הנמל שדדווד נקשר אליו ומאזין לחיבורים נכנסים. ברירת המחדל
הערך עבור זה הוא יציאת ה-DNS הרגילה: יציאה 53

filter_rfc1918

כאשר יש לזה ערך של 1, מספר טווחי IP שונים אינם רשאים להיות ב-DNS A
עונה:

* 192.168.xx

* 172.[16-31].xx

* 10.xxx

* 127.xxx

* 169.254.xx

* 224.xxx

* 0.0.xx

אם אחד מכתובות ה-IP שלמעלה מזוהה בתשובת DNS, ול-filter_rfc1918 יש ערך של 1,
דדווד יחזיר תגובה סינתטית של "המארח הזה לא עונה" (רשומה של SOA ב-
סעיף NS) במקום רשומת A.

הסיבה לכך היא לספק "dnswall" שמגן על משתמשים עבור סוגים מסוימים של
התקפות, כמתואר ב http://crypto.stanford.edu/dns/

שימו לב ש-Deadwood מספק רק פונקציונליות IPv4 "dnswall" ואינו עוזר
להגן מפני תשובות IPv6. אם יש צורך בהגנה מפני רשומות IPv6 AAAA מסוימות,
או השבת את כל תשובות ה-AAAA על ידי הגדרת reject_aaaa לערך של 1, או השתמש ב-
תוכנית חיצונית לסינון תשובות IPv4 לא רצויות (כגון תוכנית dnswall).

ערך ברירת המחדל עבור זה הוא 1

handle_noreply

כאשר זה מוגדר ל-0, Deadwood לא שולח תשובה בחזרה ללקוח (כאשר הלקוח הוא א
לקוח TCP, Deadwood סוגר את חיבור ה-TCP) כאשר שאילתת UDP נשלחת במעלה הזרם
DNS במעלה הזרם לעולם לא שולח תשובה.

כאשר זה מוגדר ל-1, Deadwood שולח SERVER FAIL בחזרה ללקוח כאשר שאילתת UDP
נשלח במעלה הזרם וה-DNS במעלה הזרם לעולם לא שולח תשובה.

ערך ברירת המחדל עבור זה הוא 1

handle_overload

כאשר יש לזה ערך של 0, דדווד לא שולחת תשובה כאשר שאילתת UDP נשלחת וה-
השרת עמוס יתר על המידה (יש לו יותר מדי חיבורים ממתינים); כאשר יש לו ערך של 1,
Deadwood שולח חבילת SERVER FAIL בחזרה לשולח שאילתת UDP. ערך ברירת המחדל
שכן זה 1.

hash_magic_number

פעם זה שימש את מחולל הגיבוב הפנימי של דדווד כדי לשמור על מחולל הגיבוב
מעט אקראי וחסין בפני סוגים מסוימים של התקפות. ב-Deadwood 3.0, אנטרופיה עבור
פונקציית hash נוצרת על ידי הסתכלות על התוכן של /dev/urandom (secret.txt ב-Windows
מכונות) וחותמת הזמן הנוכחית. פרמטר זה נמצא רק כאן, כך שתצורה ישנה יותר
קבצים אינם נשברים ב-Deadwood 3.0.

ip_blacklist

זוהי רשימה של כתובות IP שאיננו מאפשרים להיות בתשובה לבקשת DNS. ה
הסיבה לכך היא לנטרל את הפרקטיקה של חלק מספקי האינטרנט של המרת "אתר זה".
לא קיים" תשובת DNS בדף הנשלט על ידי ספק שירותי האינטרנט; כתוצאה מכך אפשר
סוגיות אבטחה.

פרמטר זה מקבל רק כתובות IP בודדות ואינו משתמש במסכות רשת.

maradns_uid

מזהה המשתמש Deadwood פועל כ. זה יכול להיות כל מספר בין 10 ל-65535; ברירת המחדל
הערך הוא 99 (אף אחד לא בהפצות לינוקס שמקורן ב-RedHat). ערך זה אינו בשימוש ב
מערכות ווינדוס.

maradns_gid

מזהה הקבוצה דדווד פועל בתור. זה יכול להיות כל מספר בין 10 ל-65535; ברירת המחדל
הערך הוא 99. ערך זה אינו בשימוש במערכות Windows.

max_ar_chain

האם סיבוב רשומת משאבים מופעל. אם יש לזה ערך של 1, רשומת משאבים
סיבוב מופעל, אחרת סיבוב רשומת משאבים מושבת.

סיבוב רשומת משאבים רצוי בדרך כלל, מכיוון שהוא מאפשר ל-DNS לפעול כמו חומר גולמי
מאזן עומסים. עם זאת, במערכות עמוסות בכבדות, ייתכן שרצוי להשבית אותה
להפחית את השימוש במעבד.

הסיבה לשם יוצא דופן עבור משתנה זה היא לשמור על תאימות עם MaraDNS
קבצי mararc.

ערך ברירת המחדל הוא 1: סיבוב רשומת משאבים מופעל.

max_inflights

המספר המרבי של לקוחות בו-זמנית שאנו מעבדים בו-זמנית עבור אותה שאילתה.

אם, תוך כדי עיבוד שאילתה עבור, למשל, "example.com.", לקוח DNS אחר שולח אל
Deadwood שאילתה נוספת למשל.com, במקום ליצור שאילתה חדשה לעיבוד
example.com, Deadwood תצרף את הלקוח החדש לאותה שאילתה שכבר נמצאת ב-
טיסה", ושלח תשובה לשני הלקוחות ברגע שיש לנו תשובה למשל.com.

זהו מספר הלקוחות בו-זמנית שיכולה להיות לשאילתה נתונה. אם הגבול הזה הוא
חריגה, לקוחות עוקבים עם אותה שאילתה מסורבים עד שנמצא תשובה. אם
יש לזה ערך של 1, אנחנו לא ממזגים מספר בקשות עבור אותה שאילתה, אלא נותנים כל אחת מהן
לבקש חיבור משלו.

ערך ברירת המחדל הוא 8.

max_ttl

משך הזמן המקסימלי שנשמור ערך במטמון, בשניות (נקרא גם
"מקסימום TTL").

זה הזמן הארוך ביותר שנשמור ערך במטמון. ערך ברירת המחדל עבור פרמטר זה הוא
86400 (יום אחד); הערך המינימלי הוא 300 (5 דקות) והערך המקסימלי שיכול להיות לזה
הוא 7776000 (90 ימים).

הסיבה שבגללה הפרמטר הזה נמצא כאן היא להגן על Deadwood מפני התקפות שמנצלות
יש נתונים מיושנים במטמון, כגון התקפת "שמות דומיינים של רפאים".

maximum_cache_elements

המספר המרבי של אלמנטים שמותר למטמון שלנו. זה מספר בין 32
ו-16,777,216; ערך ברירת המחדל עבור זה הוא 1024. שימו לב, אם כותבים את המטמון ל
דיסק או קריאת המטמון מהדיסק, ערכים גבוהים יותר של זה יאט את המטמון
קריאה כתיבה.

כמות הזיכרון שבה כל ערך מטמון משתמש משתנה בהתאם למערכת ההפעלה
בשימוש והגודל של דפי הקצאת זיכרון שהוקצו. ב-Windows XP, למשל, כל אחד
כניסה משתמשת בערך ארבעה קילובייט של זיכרון ול-Deadwood יש תקורה של
בערך 512 קילובייט. אז אם יש 512 רכיבי מטמון, Deadwood משתמש
כ-2.5 מגה-בייט של זיכרון, ואם יש 1024 רכיבי מטמון, דדווד משתמש
כ-4.5 מגה-בייט של זיכרון. שוב, המספרים האלה הם עבור Windows XP ואחרים
למערכות ההפעלה יהיו מספרי הקצאת זיכרון שונים.

שים לב שכל ערך root_servers ו-upstream_servers תופס מקום ב-Deadwood's
מטמון וכי יהיה צורך להגדיל את ה-maximal_cache_elements כדי לאחסן מספר רב של
הערכים הללו.

maxprocs

זהו המספר המרבי של חיבורי UDP מרוחקים ממתינים ל-Deadwood. ה
ערך ברירת המחדל עבור זה הוא 1024.

max_tcp_procs

זהו מספר חיבורי TCP הפתוחים המותרים. ערך ברירת מחדל: 8

num_tries

מספר הפעמים שאנו מנסים לשלוח שאילתה במעלה הזרם לפני הוויתור. אם זה 0, אנחנו
נסה רק פעם אחת; אם זה 1, ננסה פעמיים, וכן הלאה, עד 32 ניסיונות חוזרים. שימו לב שכל אחד
ניסיון חוזר לוקח timeout_seconds שניות לפני שאנו מנסים שוב. ערך ברירת מחדל: 5

סוג_ללא דבק

סוג RR שאנו שולחים כדי לפתור רשומות ללא דבק. זה צריך להיות 1 (A) כאשר משתמשים בעיקר
IPv4 כדי לפתור רשומות. אם לרשומות NS ללא דבק יש רשומות AAAA אך לא A, ו-IPv6 כן
מופעל, אולי הגיוני לתת לזה ערך של 255 (כל). אם IPv4 אי פעם יפסיק להיות
בשימוש בקנה מידה גדול, ייתכן שבסופו של דבר יהיה אפשרי לגרום לזה להיות בעל ערך של 28
(AAAA).

ערך ברירת המחדל הוא 1: רשומת A (IPv4 IP). לפרמטר זה יש לֹא נבדק; להשתמש ב
הסיכון שלך.

random_seed_file

זהו קובץ המכיל מספרים אקראיים, ומשמש כמקור ל-
מחולל מספרים אקראיים חזק מבחינה קריפטוגרפית. דדווד ינסה לקרוא 256 בתים
מקובץ זה (שימושי RNG Deadwood יכולים לקבל זרם בכל אורך שרירותי).

שים לב שפונקציית דחיסת ה-hash משיגה חלק מהאנטרופיה שלה לפני ניתוח ה-
קובץ mararc, והוא מקודד קשה כדי לקבל אנטרופיה מ-/dev/urandom (secret.txt ב-Windows
מערכות). רוב האנטרופיה האחרת שבה משתמש דדווד מגיעה מהקובץ שהצביע עליו
random_seed_file.

recurse_min_bind_port

היציאה עם המספרים הנמוכים ביותר דדווד מותר להיקשר אליו; זהו מספר יציאה אקראי בשימוש
עבור יציאת המקור של שאילתות יוצאות, ואינה 53 (ראה dns_port למעלה). זה
מספר בין 1025 ל-32767, ויש לו ערך ברירת מחדל של 15000. זה משמש ליצירת DNS
התקפות זיוף קשות יותר.

recurse_number_ports

מספר היציאות ש-Deadwood נקשר אליהם עבור יציאת המקור עבור חיבורים יוצאים; זֶה
הוא חזקת 2 בין 256 ל-32768. זה משמש כדי להפוך את התקפות זיוף DNS ליותר
קָשֶׁה. ערך ברירת המחדל הוא 4096.

רקורסיבי_אקל

זוהי רשימה של מי רשאי להשתמש ב-Deadwood לביצוע רקורסיית DNS, ב-"ip/mask"
פוּרמָט. מסכה חייבת להיות מספר בין 0 ל-32 (עבור IPv6, בין 0 ל-128). לדוגמה,
"127.0.0.1/8" מאפשר חיבורים מקומיים.

reject_aaaa

אם יש לזה ערך של 1, תשובת SOA מזויפת "לא שם" תישלח בכל פעם שאילתת AAAA
נשלח לדדווד. במילים אחרות, בכל פעם שתוכנית מבקשת מ-Deadwood IPv6 IP
כתובת, במקום לנסות לעבד את הבקשה, כאשר זה מוגדר ל-1, Deadwood
מעמיד פנים שלשם המארח המדובר אין כתובת IPv6.

זה שימושי עבור אנשים שאינם משתמשים ב-IPv6 אך משתמשים ביישומים (בדרך כלל פקודת *NIX
כמו אפליקציות כמו "telnet") שמאטות דברים בניסיון למצוא כתובת IPv6.

יש לזה ערך ברירת מחדל של 0. במילים אחרות, שאילתות AAAA מעובדות כרגיל אלא אם כן
זה מוגדר.

reject_mx

כאשר יש לזה את ערך ברירת המחדל של 1, שאילתות MX נשמטות בשקט עם ה-IP שלהן
מחובר. שאילתת MX היא שאילתה שנעשית רק על ידי מכונה אם היא רוצה להיות שלה
שרת דואר שולח דואר למכונות באינטרנט. זוהי שאילתה על שולחן עבודה ממוצע
מכונה (כולל מכונה שמשתמשת ב-Outlook או בסוכן משתמש אחר בדואר לקריאה ושליחה
אימייל) לעולם לא יעשה.

סביר להניח שאם מחשב מנסה לבצע שאילתת MX, המכשיר נשלט על ידי
מקור מרוחק לשליחת דואר "ספאם" לא רצוי. זאת בחשבון, דדווד לא יאפשר
יש לבצע שאילתות MX אלא אם כן reject_mx מוגדר במפורש עם ערך של 0.

לפני שתשבית זאת, אנא זכור ש-Deadwood מותאם לשימוש עבור אינטרנט
גלישה, לא כשרת DNS עבור רכזת דואר. בפרט, כתובות ה-IP עבור רשומות MX הן
הוסר מהתשובות של Deadwood ו-Deadwood צריך לבצע שאילתות DNS נוספות
קבל את כתובות ה-IP התואמות לרשומות MX, והבדיקות של Deadwood מכוונות יותר לאינטרנט
גלישה (כמעט 100% חיפוש רשומות) ולא למשלוח דואר (רשומה MX נרחבת
הבט מעלה).

reject_ptr

אם יש לזה ערך של 1, תשובת SOA מזויפת "לא שם" תישלח בכל פעם שאילתת PTR
נשלח לדדווד. במילים אחרות, בכל פעם שתוכנית מבקשת מ-Deadwood "DNS הפוך
lookup" - שם המארח עבור כתובת IP נתונה - במקום לנסות לעבד את
בקשה, כאשר זה מוגדר ל-1, Deadwood מעמיד פנים שלכתובת ה-IP המדוברת אין
שם מארח.

זה שימושי עבור אנשים שמקבלים פסק זמן איטי של DNS כאשר מנסים לבצע א
חיפושי DNS הפוכים בכתובות IP.

יש לזה ערך ברירת מחדל של 0. במילים אחרות, שאילתות PTR מעובדות כרגיל אלא אם כן
זה מוגדר.

תחיית המתים

אם זה מוגדר ל-1, Deadwood ינסה לשלוח רשומה שפג תוקפו למשתמש לפני מתן
לְמַעלָה. אם זה 0, אנחנו לא. ערך ברירת מחדל: 1

root_servers

זוהי רשימה של שרתי שורש; התחביר שלו זהה ל-upstream_servers (ראה להלן).
זהו סוג שירות ה-DNS ש-ICANN, למשל, פועל. אלה הם שרתים בשימוש שעושים זאת
לא לתת לנו תשובות מלאות לשאלות DNS, אלא רק לומר לנו לאיזה שרתי DNS
להתחבר כדי לקבל תשובה קרובה יותר לתשובה הרצויה שלנו.

שימו לב שכל ערך root_servers תופס מקום במטמון של Deadwood וזה
יהיה צורך להגדיל את maximum_cache_elements כדי לאחסן מספר רב של ערכים אלה.

tcp_listen

על מנת להפעיל DNS-over-TCP, משתנה זה חייב להיות מוגדר ובעל ערך של 1. ברירת מחדל
ערך: 0

פסק זמן_שניות

זה כמה זמן דדווד ימתין לפני שיוותר ותשליך UDP DNS ממתין
תשובה. ערך ברירת המחדל עבור זה הוא 1, כמו בשנייה אחת, אלא אם כן Deadwood הידור
FALLBACK_TIME מופעל.

timeout_seconds_tcp

כמה זמן לחכות על חיבור TCP לא פעיל לפני ביטולו. ערך ברירת המחדל עבור זה
הוא 4, כמו ב-4 שניות.

ttl_age

האם הזדקנות TTL מופעלת; האם לערכים במטמון ה-TTL שלהם מוגדר להיות
משך הזמן שנותר לערכים במטמון.

אם יש לזה ערך של 1, ערכי TTL מיושנים. אחרת, הם לא. ברירת המחדל
הערך עבור זה הוא 1.

upstream_port

זו היציאה שבה משתמש דדווד כדי להתחבר או לשלוח מנות לשרתים במעלה הזרם. ה
ערך ברירת המחדל עבור זה הוא 53; יציאת ה-DNS הרגילה.

upstream_שרתים

זוהי רשימה של שרתי DNS שאליהם ינסה מאזן העומס ליצור קשר. זה
מילון משתנה (מערך באינדקס על ידי מחרוזת במקום על ידי מספר) במקום פשוט
מִשְׁתַנֶה. מכיוון ש-upstream_servers הוא משתנה מילון, יש לאתחל אותו
לפני השימוש.

Deadwood יסתכל על שם המארח שהוא מנסה למצוא את השרת במעלה הזרם
עבור, ויתאים לסיומת הארוכה ביותר שהוא יכול למצוא.

לדוגמה, אם מישהו שולח שאילתה עבור "www.foo.example.com" ל-Deadwood, Deadwood
תחילה בדוק אם יש משתנה upstream_servers עבור "www.foo.example.com.", ולאחר מכן חפש
עבור "foo.example.com.", לאחר מכן חפש את "example.com.", לאחר מכן "com.", ולבסוף ".".

להלן דוגמה של שרתים upstream:

upstream_servers = {} # אתחול משתנה מילון
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"

בדוגמה זו, כל דבר שמסתיים ב-"foo.example.com" נפתר על ידי שרת ה-DNS בכתובת
192.168.42.1; כל דבר אחר שמסתיים ב-"example.com" נפתר ב-192.168.99.254; ו
כל דבר שאינו מסתיים ב-"example.com" נפתר על ידי 10.1.2.3 או 10.1.2.4.

חשוב: שם הדומיין ש-upstream_servers מצביע אליו חייב להסתיים ב-"." אופי. זה
בסדר:

upstream_servers["example.com."] = "192.168.42.1"

אבל זה לֹא בסדר:

upstream_servers["example.com"] = "192.168.42.1"

הסיבה לכך היא כי BIND עוסק בהתנהגות בלתי צפויה כאשר שם מארח
לא מסתיים בנקודה, ועל ידי כפיית נקודה בסוף שם מארח, לדדווד אין
לנחש האם המשתמש רוצה את ההתנהגות של BIND או את ההתנהגות ה"רגילה".

אם לא מוגדרים root_servers ולא upstream_servers, Deadwood מגדיר את root_servers לשימוש
שרתי השורש של ICANN המוגדרים כברירת מחדל, כדלקמן:

198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA איימס)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)

רשימה זו עדכנית ל-9 בפברואר 2015 ושונתה לאחרונה ב-3 בינואר 2013.

שימו לב שכל כניסה upstream_servers תופסת מקום במטמון של Deadwood וזה
יהיה צורך להגדיל את maximum_cache_elements כדי לאחסן מספר רב של ערכים אלה.

רמת_verbose

זה קובע כמה הודעות נרשמות בפלט סטנדרטי; ערכים גדולים יותר מתעדים יותר
הודעות. ערך ברירת המחדל עבור זה הוא 3.

ip/מסכה פוּרמָט of כתובות IP

Deadwood משתמש בפורמטים סטנדרטיים של IP/Netmask כדי לציין כתובות IP. ip הוא בנקודה עשרונית מנוקדת
פורמט, למשל "10.1.2.3" (או בפורמט IPv6 כאשר תמיכה ב-IPv6 מורכבת).

מסיכת הרשת משמשת לציון טווח של כתובות IP. מסיכת הרשת היא מספר בודד בין 1
ו-32 (128 כאשר תמיכה ב-IPv6 מורכבת), המציין את מספר ה-"1" המוביל
חלקים במסכת הרשת.

10.1.1.1/24 מציין שכל ip מ-10.1.1.0 עד 10.1.1.255 יתאים.

10.2.3.4/16 מציין שכל ip מ-10.2.0.0 עד 10.2.255.255 יתאים.

127.0.0.0/8 מציין שכל ip עם "127" בתור השמינייה הראשונה (מספר) יתאים.

מסיכת הרשת היא אופציונלית, ואם אינה קיימת, מציינת שרק IP בודד יתאים.

DNS יותר TCP

יש להפעיל את ה-DNS-over-TCP במפורש על ידי הגדרת tcp_listen ל-1.

Deadwood מחלץ מידע שימושי מחבילות DNS של UDP המסומנות כקטוע שכמעט
תמיד מסיר את הצורך ב-DNS-over-TCP. עם זאת, Deadwood אינו שומר חבילות DNS במטמון
בגודל גדול מ-512 בתים שצריך לשלוח באמצעות TCP. בנוסף, DNS-over-TCP
מנות שהן תשובות DNS "לא שלמות" (תשובות שבהן פותר בדל לא יכול להשתמש,
שיכולות להיות הפניה NS או תשובת CNAME לא מלאה) אינם מטופלים כהלכה
מאת דדווד.

ל-Deadwood יש תמיכה הן ב-DNS-over-UDP והן ב-DNS-over-TCP; אותו דמון מאזין
גם יציאת DNS UDP וגם TCP.

רק שאילתות DNS של UDP נשמרות במטמון. Deadwood אינו תומך בשמירת מטמון באמצעות TCP; זה מטפל
TCP כדי לפתור את התשובה הקטומה הנדירה ללא כל מידע שימושי או לעבוד איתו
פותרי DNS נדירים מאוד שאינם תואמים ל-RFC. בעולם האמיתי, DNS-over-TCP הוא
כמעט ולא נעשה בו שימוש.

ניתוח אַחֵר קבצים

אפשר לקבל את Deadwood, תוך כדי ניתוח קובץ dwood3rc, לקרוא קבצים אחרים ו
נתח אותם כאילו היו קבצי dwood3rc.

זה נעשה באמצעות execfile. כדי להשתמש ב-execfile, מקם שורה כזו ב-dwood3rc
קובץ:

execfile("נתיב/אל/שם קובץ")

כאשר path/to/filename הוא הנתיב לקובץ שיש לנתח כמו קובץ dwood3rc.

כל הקבצים חייבים להיות בספרייה /etc/maradns/deadwood/execfile או מתחתיה. שמות קבצים יכולים
יש רק אותיות קטנות ואת תו הקו התחתון ("_"). נתיבים מוחלטים אינם
מותר כארגומנט לביצוע ביצוע; שם הקובץ לא יכול להתחיל עם לוכסן ("/")
אופי.

אם יש שגיאת ניתוח בקובץ שעליה מצביע execfile, Deadwood ידווח על
שגיאה כנמצאת בקו עם פקודת execfile בקובץ dwood3rc הראשי. למצוא
כאשר שגיאת ניתוח נמצאת בתת-קובץ, השתמש במשהו כמו "Deadwood -f
/etc/maradns/deadwood/execfile/filename" כדי למצוא את שגיאת הניתוח בקובץ הפוגע,
כאשר "שם קובץ" הוא הקובץ לניתוח באמצעות execfile.

IPV6 תמיכה

ניתן גם להרכיב שרת זה באופן אופציונלי לתמיכה ב-IPv6. על מנת לאפשר IPv6
תמיכה, הוסף '-DIPV6' לדגלי זמן ההידור. לדוגמה, כדי להרכיב את זה כדי להפוך את א
בינארי קטן, וכדי לקבל תמיכה ב-IPv6:

export FLAGS='-Os -DIPV6'
לעשות

אבטחה

Deadwood היא תוכנית שנכתבה מתוך מחשבה על אבטחה.

בנוסף להשתמש בספריית מחרוזות עמידה בפני הצפת חוצץ ובסגנון קידוד ו-SQA
תהליך שבודק מצפי חיץ ודליפות זיכרון, Deadwood משתמש ב-strong
מחולל מספרים פסאודו אקראיים (גרסת 32 סיביות של RadioGatun) ליצירת שני
מזהה שאילתה ויציאת מקור. כדי שמחולל המספרים האקראיים יהיה מאובטח, Deadwood צריך א
מקור טוב לאנטרופיה; כברירת מחדל Deadwood ישתמש ב-/dev/urandom כדי לקבל אנטרופיה זו. אם
אתה נמצא במערכת ללא תמיכה /dev/urandom, חשוב לוודא זאת
ל-Deadwood יש מקור טוב לאנטרופיה כך שקשה לבצע את מזהה השאילתה ויציאת המקור
לנחש (אחרת אפשר לזייף מנות DNS).

יציאת Windows של Deadwood כוללת תוכנית בשם "mkSecretTxt.exe" שיוצרת א
קובץ אקראי של 64-בייט (512 סיביות) בשם "secret.txt" שיכול לשמש את Deadwood (דרך ה-
פרמטר "random_seed_file"); Deadwood גם מקבל אנטרופיה מחותמת הזמן כאשר Deadwood
מופעל ומספר זיהוי התהליך של Deadwood, כך שזה אותו דבר להשתמש באותו סטטי
קובץ secret.txt בתור ה-random_seed_file עבור קריאות מרובות של Deadwood.

שימו לב ש-Deadwood אינו מוגן מפני שמישהו באותה רשת יצפה במנות שנשלחו
על ידי Deadwood ושליחת מנות מזויפות כתשובה.

כדי להגן על Deadwood מפני התקפות מסוימות של מניעת שירות, עדיף אם
המספר הראשוני של דדווד המשמש לגיבוב אלמנטים במטמון הוא ראשוני אקראי של 31 סיביות
מספר. התוכנית RandomPrime.c מייצרת פריט אקראי שממוקם בקובץ
DwRandPrime.h שמתחדש בכל פעם שהתוכנה הידור או דברים
ניקה עם make clean. תוכנית זו משתמשת ב-/dev/urandom עבור האנטרופיה שלה; הקובץ
DwRandPrime.h לא ייווצר מחדש במערכות ללא /dev/urandom.

במערכות ללא תמיכה ישירה /dev/urandom, מומלץ לראות אם יש א
דרך אפשרית לתת למערכת /dev/urandom עובד. בדרך זו, כאשר דדווד נמצא
הידור, מספר הקסם הגיבוב יהיה אקראי מתאים.

אם אתה משתמש בקובץ בינארי מראש של Deadwood, אנא ודא שלמערכת יש /dev/urandom
תמיכה (במערכת Windows, אנא ודא שהקובץ עם השם secret.txt הוא
שנוצר על ידי תוכנית mkSecretTxt.exe הכלולה); Deadwood, בזמן ריצה, משתמש
/dev/urandom (secret.txt ב-Windows) כנתיב מקודד קשה לקבל אנטרופיה (יחד עם
חותמת זמן) עבור אלגוריתם ה-hash.

DAEMONIZATION

ל-Deadwood אין מתקני דמוניזציה מובנים; זה מטופל על ידי
תוכנית חיצונית Duende או כל דמונייזר אחר.

דוגמה תצורה פילה

הנה דוגמה לקובץ תצורה של dwood3rc:

# זהו דוגמה לקובץ rc deadwood
# שימו לב שהתגובות מתחילות על ידי סמל ה-hash

bind_address="127.0.0.1" # IP שאנו נקשרים אליו

# השורה הבאה מושבתת על ידי מתן הערות
#bind_address="::1" # יש לנו תמיכה אופציונלית ב-IPv6

# ספרייה שממנה אנו מריצים תוכנית (לא בשימוש ב-Win32)
chroot_dir = "/etc/maradns/deadwood"

# שרתי ה-DNS הבאים במעלה הזרם הם של Google
# (נכון לדצמבר 2009) שרתי DNS ציבוריים. ל
# מידע נוסף, עיין בעמוד בכתובת
# http://code.google.com/speed/public-dns/
#
# אם לא מוגדרים שרתי שורש ולא שרתי upstream,
# Deadwood ישתמש בשרתי השורש של ICANN המוגדרים כברירת מחדל.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"

# מי רשאי להשתמש במטמון. הקו הזה
# מאפשר לכל אחד עם "127.0" בתור השניים הראשונים
# ספרות של ה-IP שלהם כדי להשתמש ב-Deadwood
recursive_acl = "127.0.0.1/16"

# מספר מקסימלי של בקשות ממתינות
maxprocs = 2048

# שלח SERVER FAIL בעת עומס יתר
handle_overload = 1

maradns_uid = 99 # UID Deadwood פועל כמו
maradns_gid = 99 # GID Deadwood פועל כמו

maximum_cache_elements = 60000

# אם אתה רוצה לקרוא ולכתוב את המטמון מהדיסק,
# ודא ש-chroot_dir למעלה ניתן לקריאה ולכתיבה
# לפי ה-maradns_uid/gid למעלה, ובטל את ההערה
# שורה הבאה.
#cache_file = "dw_cache"

# אם שרת ה-DNS במעלה הזרם שלך ממיר "לא שם" תשובות DNS
# בכתובות IP, פרמטר זה מאפשר ל-Deadwood להמיר כל תשובה
# עם IP נתון חזרה ל-IP "לא שם". אם אחד מה-IP
# המפורטים למטה נמצאים בתשובה DNS, Deadwood ממירה את התשובה
# ל"לא שם"
#ip_blacklist = "10.222.33.44, 10.222.3.55"

# כברירת מחדל, מסיבות אבטחה, Deadwood אינו מאפשר כתובות IP
# the 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# טווח 169.254.xx, 224.xxx או 0.0.xx. אם משתמשים ב-Deadwood
# כדי לפתור שמות ברשת פנימית, בטל את ההערה
שורה אחת הבאה:
#filter_rfc1918 = 0

השתמש ב-deadwood באינטרנט באמצעות שירותי onworks.net