Ito ang command deadwood na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
deadwood - Isang ganap na recursive caching DNS resolver
DESCRIPTION
Ang Deadwood ay isang ganap na recursive DNS cache. Ito ay isang DNS server na may mga sumusunod na tampok:
* Buong suporta para sa parehong DNS recursion at DNS forwarding caching
* Maliit na sukat at memory footprint na angkop para sa mga naka-embed na system
* Simple at malinis na codebase
* Secure na disenyo
* Proteksyon ng spoof: Malakas na cryptography na ginamit upang matukoy ang Query ID at source port
* Kakayahang basahin at isulat ang cache sa isang file
* Dynamic na cache na nagtatanggal ng mga entry na hindi pa nagamit kamakailan
* Kakayahang gumamit ng mga nag-expire na entry sa cache kapag imposibleng makipag-ugnayan sa upstream
Mga DNS server.
* Ang suporta sa IPv6 ay maaaring isama kung nais
* Parehong DNS-over-UDP at DNS-over-TCP ay pinangangasiwaan ng parehong daemon
* Built-in na dnswall functionality
COMMAND LINE MGA PANGANGATWIRANG
Ang Deadwood ay may isang opsyonal na argumento ng command line: Ang lokasyon ng configuration
file na ginagamit ng Deadwood, na tinukoy na may flag na "-f". Kung hindi ito tinukoy, Deadwood
gumagamit ng file na "/etc/maradns/deadwood/dwood3rc" bilang configuration file.
Sa madaling salita, invoking Deadwood bilang deadwood ay magiging sanhi ng paggamit ng Deadwood
/etc/maradns/deadwood/dwood3rc bilang configuration file; invoking Deadwood bilang deadwood -f
foobar ay magiging sanhi ng Deadwood na gamitin ang file na "foobar" sa kasalukuyang gumaganang direktoryo (ang
ang isang direktoryo ay nasa kapag sinimulan ang Deadwood) bilang file ng pagsasaayos.
Configuration FILE FORMAT
Ang file ng pagsasaayos ng Deadwood ay na-modelo pagkatapos ng syntax ng Python 2. Anumang wastong Deadwood
configuration file ay dapat ding tama na mag-parse sa parehong Python 2.4.3 at Python 2.6.6. Kung
anumang configuration file ay tama na nag-parse sa Deadwood ngunit nagpapataas ng syntax error sa
Python, ito ay isang bug na dapat ayusin.
Ito sa isip, whitespace ay makabuluhan; Ang mga parameter ng deadwood ay dapat nasa pinakakaliwa
column na walang nangungunang whitespace. Ito ay isang wastong linya (hangga't walang mga puwang sa
kaliwa nito):
recursive_acl = "127.0.0.1/16"
Ang sumusunod na linya, gayunpaman, ay magtataas ng error sa pag-parse:
recursive_acl = "127.0.0.1/16"
Obserbahan ang puwang sa kaliwa ng "recusive_acl" na string sa maling na-format
linya.
PARAMETER MGA uRI
May tatlong magkakaibang uri ng parameter ang Deadwood:
* Mga numerong parameter. Ang mga numeric na parameter ay hindi dapat napapalibutan ng mga quote, tulad nito
halimbawa:
filter_rfc1918 = 0
Kung ang isang numeric na parameter ay napapalibutan ng mga quote, ang mensahe ng error na "Hindi kilalang dwood3rc
string parameter" ay lilitaw.
* Mga parameter ng string. Ang mga parameter ng string ay dapat na napapalibutan ng mga quote, tulad ng dito
halimbawa:
bind_address = "127.0.0.1"
* Mga parameter ng diksyunaryo. Dapat masimulan ang lahat ng parameter ng diksyunaryo bago gamitin, at
Ang mga parameter ng diksyunaryo ay dapat may parehong index ng diksyunaryo at ang halaga para sa nasabing index
napapaligiran ng mga quote, tulad ng sa halimbawang ito:
upstream_servers = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Lahat ng dwood3rc parameter maliban ang mga sumusunod ay mga numeric na parameter:
* bind_address (string)
* cache_file (string)
* chroot_dir (string)
* ip_blacklist (string)
* ipv4_bind_addresses (string)
* random_seed_file (string)
* recursive_acl (string)
* root_servers (diksyonaryo)
* upstream_servers (diksyonaryo)
Sinusuportahan MGA PARAMETERS
Sinusuportahan ng Deadwood configuration file ang mga sumusunod na parameter:
bind_address
Ito ang IP (o posibleng IPv6) address na aming pinagtalikuran.
cache_file
Ito ang filename ng file na ginagamit para sa pagbabasa at pagsulat ng cache sa disk; ito
string ay maaaring magkaroon ng maliliit na titik, ang simbolong '-', ang simbolo na '_', at ang simbolo na '/' (para sa
paglalagay ng cache sa isang subdirectory). Ang lahat ng iba pang mga simbolo ay nagiging isang simbolo na '_'.
Ang file na ito ay binabasa at isinusulat habang tumatakbo bilang ang user na Deadwood.
chroot_dir
Ito ang direktoryo kung saan tatakbo ang programa.
deliver_all
Nakakaapekto ito sa pag-uugali sa Deadwood 2.3, ngunit walang epekto sa Deadwood 3. Ang variable na ito ay
dito lamang kaya maaaring tumakbo ang Deadwood 2 rc file sa Deadwood 3.
dns_port
Ito ang port na pinagbibigkisan at pinakikinggan ng Deadwood para sa mga papasok na koneksyon. Ang default
ang halaga para dito ay ang karaniwang port ng DNS: port 53
filter_rfc1918
Kapag ito ay may value na 1, hindi pinapayagan ang ilang iba't ibang IP range na nasa DNS A
sagot:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Kung ang isa sa mga IP sa itaas ay nakita sa isang DNS reply, at ang filter_rfc1918 ay may halaga na 1,
Magbabalik ang Deadwood ng isang sintetikong tugon na "hindi tumutugon ang host na ito" (isang talaan ng SOA sa
NS section) sa halip na ang A record.
Ang dahilan nito ay upang magbigay ng "dnswall" na nagpoprotekta sa mga user para sa ilang uri ng
pag-atake, tulad ng inilarawan sa http://crypto.stanford.edu/dns/
Pakitandaan na ang Deadwood ay nagbibigay lamang ng IPv4 "dnswall" na functionality at hindi nakakatulong
protektahan laban sa mga sagot sa IPv6. Kung kailangan ang proteksyon laban sa ilang IPv6 AAAA record,
alinman sa huwag paganahin ang lahat ng mga sagot sa AAAA sa pamamagitan ng pagtatakda ng reject_aaaa upang magkaroon ng value na 1, o gumamit ng isang
panlabas na programa upang i-filter ang hindi gustong mga sagot sa IPv4 (tulad ng dnswall program).
Ang default na halaga para dito ay 1
handle_noreply
Kapag ito ay nakatakda sa 0, ang Deadwood ay hindi nagpapadala ng tugon pabalik sa kliyente (kapag ang kliyente ay a
TCP client, isinasara ng Deadwood ang koneksyon ng TCP) kapag ang isang UDP query ay ipinadala sa upstream at ang
hindi nagpapadala ng tugon ang upstream DNS.
Kapag ito ay nakatakda sa 1, ang Deadwood ay nagpapadala ng SERVER FAIL pabalik sa kliyente kapag ang isang UDP query ay
ipinadala upstream at ang upstream DNS ay hindi nagpapadala ng tugon.
Ang default na halaga para dito ay 1
handle_overload
Kapag ito ay may halaga na 0, ang Deadwood ay hindi nagpapadala ng tugon kapag ang isang UDP query ay ipinadala at ang
overloaded ang server (masyadong maraming nakabinbing koneksyon); kapag mayroon itong halaga na 1,
Nagpapadala ang Deadwood ng SERVER FAIL packet pabalik sa nagpadala ng UDP query. Ang default na halaga
para ito ay 1.
hash_magic_number
Ginagamit ito dati para sa internal na hash generator ng Deadwood upang panatilihin ang hash generator
medyo random at immune sa ilang uri ng pag-atake. Sa Deadwood 3.0, entropy para sa
Ang hash function ay nilikha sa pamamagitan ng pagtingin sa mga nilalaman ng /dev/urandom (secret.txt sa Windows
machine) at ang kasalukuyang timestamp. Nandito lang ang parameter na ito kaya mas lumang configuration
hindi nasisira ang mga file sa Deadwood 3.0.
ip_blacklist
Ito ay isang listahan ng mga IP na hindi namin pinapayagan na maging sagot sa isang kahilingan sa DNS. Ang
ang dahilan nito ay upang kontrahin ang kagawian ng ilang ISP sa pag-convert ng "site na ito
does not exist" sagot ng DNS sa isang page na kinokontrol ng ISP; nagreresulta ito sa posible
mga isyu sa seguridad.
Ang parameter na ito ay tumatanggap lamang ng mga indibidwal na IP, at hindi gumagamit ng mga netmask.
maradns_uid
Ang user-id na Deadwood ay tumatakbo bilang. Maaari itong maging anumang numero sa pagitan ng 10 at 65535; ang default
ang halaga ay 99 (walang sinuman sa mga pamamahagi ng Linux na nagmula sa RedHat). Hindi ginagamit ang value na ito sa
Mga sistema ng Windows.
maradns_gid
Ang group-id na Deadwood ay tumatakbo bilang. Maaari itong maging anumang numero sa pagitan ng 10 at 65535; ang default
ang value ay 99. Hindi ginagamit ang value na ito sa mga Windows system.
max_ar_chain
Kung pinagana ang pag-ikot ng resource record. Kung ito ay may halaga na 1, resource record
pinagana ang pag-ikot, kung hindi, ang pag-ikot ng resource record ay hindi pinagana.
Karaniwang kanais-nais ang pag-ikot ng record ng mapagkukunan, dahil pinapayagan nito ang DNS na kumilos na parang isang krudo
load balancer. Gayunpaman, sa mabigat na load na mga system ay maaaring kanais-nais na huwag paganahin ito
bawasan ang paggamit ng CPU.
Ang dahilan para sa hindi pangkaraniwang pangalan para sa variable na ito ay upang mapanatili ang pagiging tugma sa MaraDNS
mga file ng mararc.
Ang default na halaga ay 1: Pinagana ang pag-ikot ng record ng mapagkukunan.
max_inflights
Ang maximum na bilang ng sabay-sabay na mga kliyente na pinoproseso namin nang sabay-sabay para sa parehong query.
Kung, habang pinoproseso ang isang query para sa, sabihin, "example.com.", magpapadala sa isa pang DNS client
Deadwood isa pang query para sa example.com, sa halip na gumawa ng bagong query na ipoproseso
example.com, ikakabit ng Deadwood ang bagong kliyente sa parehong query na "in
flight", at magpadala ng tugon sa parehong mga kliyente kapag mayroon na kaming sagot para sa example.com.
Ito ang bilang ng mga sabay-sabay na kliyente na maaaring magkaroon ng isang query. Kung ang limitasyong ito ay
nalampasan, ang mga kasunod na kliyente na may parehong query ay tatanggihan hanggang sa mahanap ang isang sagot. Kung
ito ay may halaga na 1, hindi namin pinagsasama ang maraming kahilingan para sa parehong query, ngunit ibibigay ang bawat isa
humiling ng sarili nitong koneksyon.
Ang default na halaga ay 8.
max_ttl
Ang maximum na tagal ng oras na pananatilihin namin ang isang entry sa cache, sa mga segundo (tinatawag ding
"Maximum TTL").
Ito ang pinakamatagal na pananatilihin nating naka-cache ang isang entry. Ang default na halaga para sa parameter na ito ay
86400 (isang araw); ang pinakamababang halaga ay 300 (5 minuto) at ang pinakamataas na halaga na maaaring magkaroon nito
ay 7776000 (90 araw).
Ang dahilan kung bakit narito ang parameter na ito ay upang protektahan ang Deadwood mula sa mga pag-atake na nananamantala
mayroong lipas na data sa cache, tulad ng pag-atake ng "Mga Pangalan ng Ghost Domain."
maximum_cache_elements
Ang maximum na bilang ng mga elemento na pinapayagang magkaroon ng aming cache. Ito ay isang numero sa pagitan ng 32
at 16,777,216; ang default na halaga para dito ay 1024. Tandaan na, kung isusulat ang cache sa
disk o pagbabasa ng cache mula sa disk, ang mas mataas na halaga nito ay magpapabagal sa cache
pagbabasa Pagsusulat.
Ang dami ng memory na ginagamit ng bawat cache entry ay variable depende sa operating system
ginamit at ang laki ng mga pahina ng paglalaan ng memorya na itinalaga. Sa Windows XP, halimbawa, bawat isa
Ang entry ay gumagamit ng humigit-kumulang apat na kilobytes ng memorya at ang Deadwood ay may overhead ng
humigit-kumulang 512 kilobytes. Kaya, kung mayroong 512 mga elemento ng cache, ginagamit ng Deadwood
humigit-kumulang 2.5 megabytes ng memorya, at kung mayroong 1024 na elemento ng cache, ginagamit ng Deadwood
humigit-kumulang 4.5 megabytes ng memorya. Muli, ang mga numerong ito ay para sa Windows XP at iba pa
Ang mga operating system ay magkakaroon ng iba't ibang mga numero ng paglalaan ng memorya.
Pakitandaan na ang bawat root_servers at upstream_servers entry ay tumatagal ng espasyo sa Deadwood's
cache at ang maximum_cache_elements ay kailangang dagdagan upang mag-imbak ng malaking bilang ng
ang mga entry na ito.
maxprocs
Ito ang maximum na bilang ng mga nakabinbing malayuang koneksyon sa UDP na maaaring magkaroon ng Deadwood. Ang
Ang default na halaga para dito ay 1024.
max_tcp_procs
Ito ang bilang ng mga pinapayagang bukas na koneksyon sa TCP. Default na halaga: 8
num_retries
Ang dami ng beses naming muling sinubukang magpadala ng query sa upstream bago sumuko. Kung ito ay 0, kami
subukan lamang ng isang beses; kung ito ay 1, sinubukan namin nang dalawang beses, at iba pa, hanggang 32 na muling pagsubok. Tandaan na ang bawat isa
ang muling pagsubok ay tumatagal ng timeout_segundo segundo bago tayo muling sumubok muli. Default na halaga: 5
ns_glueless_type
Ang uri ng RR na ipinapadala namin upang malutas ang mga walang pandikit na tala. Ito ay dapat na 1 (A) kapag pangunahing ginagamit
IPv4 upang malutas ang mga tala. Kung ang mga walang pandikit na tala ng NS ay may AAAA ngunit walang mga talaan, at ang IPv6 ay
pinagana, maaaring makatuwirang bigyan ito ng halaga na 255 (ANYO). Kung ang IPv4 ay tumigil sa pagiging
ginamit sa malawakang sukat, maaari itong maging posible sa kalaunan na magkaroon ito ng halaga na 28
(AAAA).
Ang default na halaga ay 1: Isang A (IPv4 IP) na tala. Ang parameter na ito ay may hindi nasubok; gamitin sa
sarili mong panganib.
random_seed_file
Ito ay isang file na naglalaman ng mga random na numero, at ginagamit bilang isang binhi para sa
malakas na cryptographically random number generator. Susubukan ng Deadwood na basahin ang 256 bytes
mula sa file na ito (ang ginagamit ng RNG Deadwood ay maaaring tumanggap ng isang stream ng anumang di-makatwirang haba).
Tandaan na ang hash compression function ay nakakakuha ng ilan sa entropy nito bago i-parse ang
mararc file, at hard-coded upang makakuha ng entropy mula sa /dev/urandom (secret.txt sa Windows
mga sistema). Karamihan sa iba pang entropy na ginamit ng Deadwood ay mula sa file na itinuro ni
random_seed_file.
recurse_min_bind_port
Ang pinakamababang bilang na port na Deadwood ay pinapayagang magbigkis sa; ito ay isang random na numero ng port na ginamit
para sa source port ng mga papalabas na query, at hindi 53 (tingnan ang dns_port sa itaas). Ito ay
numero sa pagitan ng 1025 at 32767, at may default na halaga na 15000. Ito ay ginagamit upang gumawa ng DNS
mas mahirap ang pag-atake ng spoofing.
recurse_number_ports
Ang bilang ng mga port na nakatali sa Deadwood para sa source port para sa mga papalabas na koneksyon; ito
ay isang kapangyarihan ng 2 sa pagitan ng 256 at 32768. Ito ay ginagamit upang gawing mas maraming pag-atake sa DNS spoofing
mahirap. Ang default na halaga ay 4096.
recursive_acl
Ito ay isang listahan ng kung sino ang pinapayagang gumamit ng Deadwood para magsagawa ng DNS recursion, sa "ip/mask"
pormat. Ang mask ay dapat na isang numero sa pagitan ng 0 at 32 (para sa IPv6, sa pagitan ng 0 at 128). Halimbawa,
Ang "127.0.0.1/8" ay nagbibigay-daan sa mga lokal na koneksyon.
tanggihan_aaaa
Kung ito ay may halaga na 1, ang isang huwad na SOA na "wala doon" na tugon ay ipapadala kapag ang isang AAAA query ay
ipinadala sa Deadwood. Sa madaling salita, sa tuwing humihingi ang isang programa sa Deadwood ng IPv6 IP
address, sa halip na subukang iproseso ang kahilingan, kapag nakatakda ito sa 1, Deadwood
nagpapanggap na ang host name na pinag-uusapan ay walang IPv6 address.
Ito ay kapaki-pakinabang para sa mga taong hindi gumagamit ng IPv6 ngunit gumagamit ng mga application (karaniwan ay *NIX command
tulad ng mga application tulad ng "telnet") na nagpapabagal sa mga bagay na sinusubukang maghanap ng IPv6 address.
Ito ay may default na halaga na 0. Sa madaling salita, ang mga query sa AAAA ay normal na pinoproseso maliban kung
ito ay nakatakda.
reject_mx
Kapag mayroon itong default na halaga na 1, tahimik na ibinabagsak ang mga query sa MX kasama ng kanilang IP
naka-log. Ang MX query ay isang query na ginagawa lamang ng isang makina kung nais nitong maging sarili nito
mail server na nagpapadala ng mail sa mga makina sa internet. Ito ay isang query na isang karaniwang desktop
machine (kabilang ang isa na gumagamit ng Outlook o ibang mail user agent upang basahin at ipadala
email) ay hindi kailanman gagawin.
Malamang, kung sinusubukan ng isang makina na gumawa ng MX query, ang makina ay kinokontrol ng
isang malayong mapagkukunan upang magpadala ng hindi gustong "spam" na email. Sa isip nito, hindi papayag si Deadwood
MX na mga query na gagawin maliban kung ang reject_mx ay tahasang itinakda na may halagang 0.
Bago ito i-disable, pakitandaan na ang Deadwood ay na-optimize para magamit para sa web
surfing, hindi bilang isang DNS server para sa isang mail hub. Sa partikular, ang mga IP para sa mga tala ng MX ay
inalis mula sa mga tugon ni Deadwood at kailangang magsagawa ng karagdagang mga query sa DNS sa Deadwood
makuha ang mga IP na tumutugma sa mga tala ng MX, at ang pagsubok ng Deadwood ay mas nakatuon para sa web
surfing (halos 100% A record lookup) at hindi para sa paghahatid ng mail (malawak na MX record
paghahanap).
reject_ptr
Kung ito ay may halaga na 1, ang isang huwad na SOA na "wala doon" na tugon ay ipapadala kapag ang isang PTR query ay
ipinadala sa Deadwood. Sa madaling salita, sa tuwing humihiling ang isang programa sa Deadwood ng "reverse DNS
lookup" -- ang hostname para sa isang ibinigay na IP address -- sa halip na subukang iproseso ang
kahilingan, kapag ito ay nakatakda sa 1, ang Deadwood ay nagpapanggap na ang IP address na pinag-uusapan ay wala
isang hostname.
Ito ay kapaki-pakinabang para sa mga taong nakakakuha ng mabagal na DNS timeout kapag sinusubukang magsagawa ng a
baligtarin ang mga paghahanap ng DNS sa mga IP.
Ito ay may default na halaga na 0. Sa madaling salita, ang mga query sa PTR ay normal na pinoproseso maliban kung
ito ay nakatakda.
muling pagkabuhay
Kung nakatakda ito sa 1, susubukan ng Deadwood na magpadala ng expired na record sa user bago magbigay
pataas. Kung ito ay 0, kami ay hindi. Default na halaga: 1
root_servers
Ito ay isang listahan ng mga root server; ang syntax nito ay kapareho ng upstream_servers (tingnan sa ibaba).
Ito ang uri ng serbisyo ng DNS na ICANN, halimbawa, ay tumatakbo. Ito ang mga server na ginagamit na ginagawa
hindi nagbibigay sa amin ng kumpletong mga sagot sa mga tanong sa DNS, ngunit sabihin lamang sa amin kung aling mga DNS server
kumonekta sa upang makakuha ng sagot na mas malapit sa aming nais na sagot.
Pakitandaan na ang bawat entry sa root_servers ay tumatagal ng espasyo sa cache ng Deadwood at iyon
maximum_cache_elements ay kailangang dagdagan upang mag-imbak ng malaking bilang ng mga entry na ito.
tcp_listen
Upang paganahin ang DNS-over-TCP, dapat na itakda ang variable na ito at may value na 1. Default
halaga: 0
timeout_segundo
Ganito katagal maghihintay ang Deadwood bago sumuko at itapon ang isang nakabinbing UDP DNS
sagot. Ang default na halaga para dito ay 1, tulad ng sa 1 segundo, maliban kung ang Deadwood ay pinagsama-sama
Pinagana ang FALLBACK_TIME.
timeout_seconds_tcp
Gaano katagal maghintay sa isang idle na koneksyon sa TCP bago ito i-drop. Ang default na halaga para dito
ay 4, tulad ng sa 4 na segundo.
ttl_age
Kung pinagana ang pagtanda ng TTL; kung ang mga entry sa cache ay nakatakda ang kanilang mga TTL na maging ang
dami ng oras na natitira ang mga entry sa cache.
Kung ito ay may halaga na 1, ang mga entry sa TTL ay nasa edad na. Kung hindi, hindi sila. Ang default
ang halaga para dito ay 1.
upstream_port
Ito ang port na ginagamit ng Deadwood para kumonekta o magpadala ng mga packet sa mga upstream server. Ang
default na halaga para dito ay 53; ang karaniwang DNS port.
upstream_servers
Ito ay isang listahan ng mga DNS server na susubukang kontakin ng load balancer. Ito ay
diksiyonaryo nagbabago (array na na-index ng isang string sa halip ng isang numero) sa halip ng isang simple
variable. Dahil ang upstream_servers ay isang variable ng diksyunaryo, kailangan itong masimulan
bago gamitin.
Titingnan ng Deadwood ang pangalan ng host na sinusubukan nitong hanapin ang upstream server
para sa, at tutugma laban sa pinakamahabang suffix na mahahanap nito.
Halimbawa, kung may nagpadala ng query para sa "www.foo.example.com" sa Deadwood, ang Deadwood ay
tingnan muna kung mayroong upstream_servers variable para sa "www.foo.example.com.", pagkatapos ay tumingin
para sa "foo.example.com.", pagkatapos ay hanapin ang "example.com.", pagkatapos ay "com.", at panghuli ".".
Narito ang isang halimbawa ng upstream_servers:
upstream_servers = {} # Magsimula sa variable ng diksyunaryo
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
Sa halimbawang ito, anumang bagay na nagtatapos sa "foo.example.com" ay niresolba ng DNS server sa
192.168.42.1; anumang bagay na nagtatapos sa "example.com" ay naresolba ng 192.168.99.254; at
anumang hindi nagtatapos sa "example.com" ay nireresolba ng alinman sa 10.1.2.3 o 10.1.2.4.
Mahalaga: ang domain name na itinuturo ng upstream_servers ay dapat magtapos sa isang "." karakter. Ito ay
OK:
upstream_servers["example.com."] = "192.168.42.1"
Ngunit ito ay hindi OK:
upstream_servers["example.com"] = "192.168.42.1"
Ang dahilan nito ay dahil ang BIND ay nagsasagawa ng hindi inaasahang gawi kapag may pangalan ng host
ay hindi nagtatapos sa isang tuldok, at sa pamamagitan ng pagpilit ng tuldok sa dulo ng isang hostname, ang Deadwood ay walang
upang hulaan kung gusto ng user ang gawi ni BIND o ang "normal" na gawi.
Kung ang root_servers o upstream_servers ay hindi nakatakda, ang Deadwood ay nagtatakda ng root_servers na gagamitin
ang default na ICANN root server, tulad ng sumusunod:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)
Ang listahang ito ay kasalukuyan noong Pebrero 9, 2015, at huling binago noong Enero 3, 2013.
Pakitandaan na ang bawat upstream_servers entry ay kumukuha ng espasyo sa cache ng Deadwood at iyon
maximum_cache_elements ay kailangang dagdagan upang mag-imbak ng malaking bilang ng mga entry na ito.
verbose_level
Tinutukoy nito kung gaano karaming mga mensahe ang naka-log sa karaniwang output; mas malalaking halaga mag-log pa
mga mensahe. Ang default na halaga para dito ay 3.
ip/mask format of IPs
Gumagamit ang Deadwood ng karaniwang mga format ng ip/netmask upang tukuyin ang mga IP. Ang isang ip ay nasa dotted-decimal
format, hal. "10.1.2.3" (o sa IPv6 na format kapag ang suporta ng IPv6 ay pinagsama-sama).
Ang netmask ay ginagamit upang tukuyin ang isang hanay ng mga IP. Ang netmask ay isang solong numero sa pagitan ng 1
at 32 (128 kapag ang suporta ng IPv6 ay pinagsama-sama), na nagpapahiwatig ng bilang ng nangungunang "1"
bits sa netmask.
10.1.1.1/24 ay nagpapahiwatig na ang anumang ip mula 10.1.1.0 hanggang 10.1.1.255 ay magtutugma.
10.2.3.4/16 ay nagpapahiwatig na ang anumang ip mula 10.2.0.0 hanggang 10.2.255.255 ay magtutugma.
127.0.0.0/8 ay nagpapahiwatig na ang anumang ip na may "127" bilang unang octet (numero) ay magtutugma.
Ang netmask ay opsyonal, at, kung hindi naroroon, ay nagpapahiwatig na isang IP lamang ang tutugma.
DNS sa ibabaw TCP
Kailangang tahasang paganahin ang DNS-over-TCP sa pamamagitan ng pagtatakda ng tcp_listen sa 1.
Kinukuha ng Deadwood ang kapaki-pakinabang na impormasyon mula sa mga packet ng UDP DNS na minarkahang pinutol na halos
palaging inaalis ang pangangailangan na magkaroon ng DNS-over-TCP. Gayunpaman, hindi ini-cache ng Deadwood ang mga DNS packet
mas malaki sa 512 bytes ang laki na kailangang ipadala gamit ang TCP. Bilang karagdagan, ang DNS-over-TCP
mga packet na "hindi kumpleto" na mga tugon sa DNS (mga tugon na hindi magagamit ng isang stub solver,
na maaaring alinman sa isang referral ng NS o isang hindi kumpletong tugon ng CNAME) ay hindi pinangangasiwaan nang tama
ni Deadwood.
May suporta ang Deadwood para sa parehong DNS-over-UDP at DNS-over-TCP; ang parehong daemon ay nakikinig
parehong UDP at TCP DNS port.
UDP DNS query lang ang naka-cache. Hindi sinusuportahan ng Deadwood ang pag-cache sa TCP; hinahawakan nito
TCP upang lutasin ang bihirang pinutol na tugon nang walang anumang kapaki-pakinabang na impormasyon o magagamit
napakabihirang non-RFC-compliant TCP-only DNS resolvers. Sa totoong mundo, ang DNS-over-TCP ay
halos hindi nagamit.
Nagpaparada iba file
Posibleng magkaroon ng Deadwood, habang pini-parse ang dwood3rc file, basahin ang iba pang mga file at
i-parse ang mga ito na parang mga dwood3rc file.
Ginagawa ito gamit ang execfile. Upang gumamit ng execfile, maglagay ng linyang tulad nito sa dwood3rc
file:
execfile("path/to/filename")
Kung saan ang path/to/filename ay ang path sa file na i-parse tulad ng isang dwood3rc file.
Ang lahat ng mga file ay dapat nasa o sa ilalim ng direktoryo /etc/maradns/deadwood/execfile. Maaari ang mga filename
mayroon lamang maliliit na titik at ang salungguhit na karakter ("_"). Ang mga ganap na landas ay hindi
pinapayagan bilang argumento sa execfile; ang filename ay hindi maaaring magsimula sa isang slash ("/")
na karakter.
Kung mayroong error sa pag-parse sa file na itinuro ng execfile, iuulat ng Deadwood ang
error bilang nasa linya kasama ang execfile command sa pangunahing dwood3rc file. Hanapin
kung saan ang isang error sa pag-parse ay nasa sub-file, gumamit ng isang bagay tulad ng "Deadwood -f
/etc/maradns/deadwood/execfile/filename" upang mahanap ang error sa pag-parse sa nakakasakit na file,
kung saan ang "filename" ay ang file na na-parse sa pamamagitan ng execfile.
IPV6 suportahan
Ang server na ito ay maaari ding opsyonal na i-compile upang magkaroon ng suporta sa IPv6. Upang paganahin ang IPv6
suporta, idagdag ang '-DIPV6' sa mga flag ng compile-time. Halimbawa, upang i-compile ito upang makagawa ng isang
maliit na binary, at magkaroon ng suporta sa IPv6:
i-export ang FLAGS='-Os -DIPV6'
gumawa
SEGURIDAD
Ang Deadwood ay isang programa na isinulat na may iniisip na seguridad.
Bilang karagdagan sa paggamit ng buffer-overflow resistant string library at isang coding style at SQA
proseso na sumusuri para sa buffer overflows at memory leaks, Deadwood ay gumagamit ng isang malakas na
pseudo-random number generator (Ang 32-bit na bersyon ng RadioGatun) upang makabuo ng parehong
query ID at source port. Para maging secure ang random number generator, kailangan ng Deadwood a
magandang pinagmumulan ng entropy; bilang default, gagamitin ng Deadwood ang /dev/urandom para makuha ang entropy na ito. Kung
ikaw ay nasa isang system na walang suporta sa /dev/urandom, mahalagang tiyakin iyon
Ang Deadwood ay may magandang source ng entropy kaya mahirap makuha ang query ID at source port
hulaan (kung hindi, posible na pekein ang mga DNS packet).
Kasama sa Windows port ng Deadwood ang isang program na tinatawag na "mkSecretTxt.exe" na lumilikha ng isang
64-byte (512 bit) na random na file na tinatawag na "secret.txt" na maaaring gamitin ng Deadwood (sa pamamagitan ng
parameter na "random_seed_file"); Ang Deadwood ay nakakakuha din ng entropy mula sa timestamp kapag Deadwood
ay nagsimula at ang numero ng ID ng proseso ng Deadwood, kaya pareho ang paggamit ng parehong static
secret.txt file bilang random_seed_file para sa maraming invocation ng Deadwood.
Tandaan na ang Deadwood ay hindi protektado mula sa isang tao sa parehong network na tumitingin sa mga packet na ipinadala
sa pamamagitan ng Deadwood at pagpapadala ng mga pekeng packet bilang tugon.
Upang maprotektahan ang Deadwood mula sa ilang posibleng pag-atake sa pagtanggi sa serbisyo, pinakamainam kung
Ang pangunahing numero ng Deadwood na ginamit para sa pag-hash ng mga elemento sa cache ay isang random na 31-bit na prime
numero. Ang program na RandomPrime.c ay bumubuo ng random na prime na inilalagay sa file
DwRandPrime.h na na-regenerate sa tuwing pinagsama-sama ang program o mga bagay
nilinis ng make clean. Ang program na ito ay gumagamit ng /dev/urandom para sa entropy nito; ang file
Ang DwRandPrime.h ay hindi muling bubuo sa mga system na walang /dev/urandom.
Sa mga system na walang direktang /dev/urandom na suporta, iminumungkahi na makita kung mayroong a
posibleng paraan upang bigyan ang system ng gumaganang /dev/urandom. Sa ganitong paraan, kapag Deadwood ay
pinagsama-sama, ang hash magic number ay magiging angkop na random.
Kung gumagamit ng precompiled binary ng Deadwood, pakitiyak na ang system ay may /dev/urandom
suporta (sa Windows system, pakitiyak na ang file na may pangalang secret.txt ay
nabuo ng kasamang mkSecretTxt.exe program); Deadwood, sa runtime, ay gumagamit
/dev/urandom (secret.txt sa Windows) bilang isang hardcoded path para makakuha ng entropy (kasama ang
timestamp) para sa hash algorithm.
DAEMONISASYON
Ang Deadwood ay walang anumang built-in na pasilidad ng daemonization; ito ay pinangangasiwaan ng
panlabas na programang Duende o anumang iba pang daemonizer.
halimbawa configuration file
Narito ang isang halimbawa ng dwood3rc configuration file:
# Ito ay isang halimbawa ng deadwood rc file
# Tandaan na ang mga komento ay sinimulan ng simbolo ng hash
bind_address="127.0.0.1" # IP na pinagbibigkisan namin
# Ang sumusunod na linya ay hindi pinagana sa pamamagitan ng pagkomento
#bind_address="::1" # Mayroon kaming opsyonal na suporta sa IPv6
# Direktoryo kung saan kami nagpapatakbo ng programa (hindi ginagamit sa Win32)
chroot_dir = "/etc/maradns/deadwood"
# Ang mga sumusunod na upstream DNS server ay sa Google
# (mula noong Disyembre 2009) mga pampublikong DNS server. Para sa
# higit pang impormasyon, tingnan ang pahina sa
# http://code.google.com/speed/public-dns/
#
# Kung hindi nakatakda ang root_servers o upstream_servers,
Gagamitin ng # Deadwood ang default na ICANN root server.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Sino ang pinapayagang gumamit ng cache. Ang linyang ito
# ay nagbibigay-daan sa sinumang may "127.0" bilang ang unang dalawa
# digit ng kanilang IP para magamit ang Deadwood
recursive_acl = "127.0.0.1/16"
# Pinakamataas na bilang ng mga nakabinbing kahilingan
maxprocs = 2048
# Ipadala ang SERVER FAIL kapag na-overload
handle_overload = 1
maradns_uid = 99 # UID Deadwood ay tumatakbo bilang
maradns_gid = 99 # GID Deadwood ay tumatakbo bilang
maximum_cache_elements = 60000
# Kung gusto mong basahin at isulat ang cache mula sa disk,
# siguraduhin na ang chroot_dir sa itaas ay nababasa at nasusulat
# sa pamamagitan ng maradns_uid/gid sa itaas, at alisin sa komento ang
# sumusunod na linya.
#cache_file = "dw_cache"
# Kung ang iyong upstream na DNS server ay nag-convert ng "wala doon" ang mga sagot sa DNS
# sa mga IP, pinapayagan ng parameter na ito ang Deadwood na mag-convert ng anumang tugon
# na may ibinigay na IP pabalik sa isang "wala doon" na IP. Kung alinman sa mga IP
# na nakalista sa ibaba ay nasa isang sagot sa DNS, kino-convert ng Deadwood ang sagot
# sa isang "wala doon"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Bilang default, para sa mga kadahilanang pangseguridad, hindi pinapayagan ng Deadwood na pumasok ang mga IP
# ang 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx, o 0.0.xx na saklaw. Kung gumagamit ng Deadwood
# upang malutas ang mga pangalan sa isang panloob na network, alisin sa komento ang
# sumusunod na linya:
#filter_rfc1918 = 0
Gumamit ng deadwood online gamit ang mga serbisyo ng onworks.net
