deadwood - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

deadwood - Trình phân giải DNS bộ nhớ đệm đệ quy hoàn toàn

MÔ TẢ

Deadwood là bộ đệm DNS đệ quy hoàn toàn. Đây là máy chủ DNS có các tính năng sau:

* Hỗ trợ đầy đủ cho cả bộ đệm đệ quy DNS và bộ nhớ đệm chuyển tiếp DNS

* Kích thước nhỏ và dung lượng bộ nhớ phù hợp cho các hệ thống nhúng

* Cơ sở mã đơn giản và rõ ràng

* Thiết kế an toàn

* Bảo vệ chống giả mạo: Mật mã mạnh được sử dụng để xác định ID truy vấn và cổng nguồn

* Khả năng đọc và ghi bộ đệm vào một tập tin

* Bộ đệm động xóa các mục không được sử dụng gần đây

* Khả năng sử dụng các mục đã hết hạn trong bộ đệm khi không thể liên lạc ngược dòng
Máy chủ DNS.

* Hỗ trợ IPv6 có thể được biên dịch nếu muốn

* Cả DNS-over-UDP và DNS-over-TCP đều được xử lý bởi cùng một daemon

* Chức năng dnswall tích hợp

COMMAND ĐƯỜNG DÂY TRANH LUẬN

Deadwood có một đối số dòng lệnh tùy chọn duy nhất: Vị trí của cấu hình
tệp mà Deadwood sử dụng, được chỉ định bằng cờ "-f". Nếu điều này không được xác định, Deadwood
sử dụng tệp "/etc/maradns/deadwood/dwood3rc" làm tệp cấu hình.

Nói cách khác, gọi Deadwood là gỗ chết sẽ khiến Deadwood sử dụng
/etc/maradns/deadwood/dwood3rc làm tệp cấu hình; gọi Deadwood là gỗ chết -f
foobar sẽ khiến Deadwood sử dụng tệp "foobar" trong thư mục làm việc hiện tại (tệp
thư mục một khi khởi động Deadwood) làm tệp cấu hình.

CẤU HÌNH FILE FORMAT

Tệp cấu hình Deadwood được mô hình hóa theo cú pháp của Python 2. Bất kỳ Deadwood hợp lệ nào
tệp cấu hình cũng phải phân tích cú pháp chính xác trong cả Python 2.4.3 và Python 2.6.6. Nếu như
bất kỳ tệp cấu hình nào đều phân tích cú pháp chính xác trong Deadwood nhưng lại gây ra lỗi cú pháp trong
Python, đây là một lỗi cần được sửa.

Hãy nhớ rằng, khoảng trắng rất quan trọng; Thông số Deadwood phải ở ngoài cùng bên trái
cột không có khoảng trắng ở đầu. Đây là một dòng hợp lệ (miễn là không có khoảng trắng để
bên trái của nó):

đệ quy_acl = "127.0.0.1/16"

Tuy nhiên, dòng sau sẽ gây ra lỗi phân tích cú pháp:

đệ quy_acl = "127.0.0.1/16"

Quan sát khoảng trắng ở bên trái của chuỗi "recusive_acl" ở định dạng không chính xác
hàng.

PARAMETER LOẠI

Deadwood có ba loại tham số khác nhau:

* Thông số số. Các tham số số không được bao quanh bởi dấu ngoặc kép, chẳng hạn như thế này
thí dụ:

filter_rfc1918 = 0

Nếu tham số số được bao quanh bởi dấu ngoặc kép, thông báo lỗi "Không xác định dwood3rc
tham số chuỗi" sẽ xuất hiện.

* Tham số chuỗi. Các tham số chuỗi phải được bao quanh bởi dấu ngoặc kép, chẳng hạn như trong
thí dụ:

bind_address = "127.0.0.1"

* Thông số từ điển. Tất cả các tham số từ điển phải được khởi tạo trước khi sử dụng và
tham số từ điển phải có cả chỉ mục từ điển và giá trị cho chỉ mục đã nói
được bao quanh bởi dấu ngoặc kép, chẳng hạn như trong ví dụ này:

upstream_servers = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"

Tất cả các tham số dwood3rc ngoại trừ sau đây là các tham số số:

* bind_address (chuỗi)

* cache_file (chuỗi)

* chroot_dir (chuỗi)

* ip_blacklist (chuỗi)

* ipv4_bind_addresses (chuỗi)

* Random_seed_file (chuỗi)

* đệ quy_acl (chuỗi)

* root_servers (từ điển)

* upstream_servers (từ điển)

HPORT TRỢ THÔNG SỐ

Tệp cấu hình Deadwood hỗ trợ các tham số sau:

liên kết_địa chỉ

Đây là địa chỉ IP (hoặc có thể là IPv6) mà chúng tôi liên kết.

tập tin bộ nhớ cache

Đây là tên tệp của tệp được sử dụng để đọc và ghi bộ đệm vào đĩa; cái này
chuỗi có thể có các chữ cái viết thường, ký hiệu '-', ký hiệu '_' và ký hiệu '/' (đối với
đặt bộ đệm vào thư mục con). Tất cả các ký hiệu khác trở thành ký hiệu '_'.

Tệp này được đọc và ghi khi người dùng Deadwood chạy.

chroot_dir

Đây là thư mục mà chương trình sẽ chạy.

giao_tất cả

Điều này ảnh hưởng đến hành vi trong Deadwood 2.3, nhưng không có tác dụng trong Deadwood 3. Biến này là
chỉ có ở đây nên các tập tin RC Deadwood 2 có thể chạy trong Deadwood 3.

dns_port

Đây là cổng mà Deadwood liên kết và lắng nghe các kết nối đến. Mặc định
giá trị cho đây là cổng DNS tiêu chuẩn: cổng 53

bộ lọc_rfc1918

Khi giá trị này có giá trị là 1, một số dải IP khác nhau không được phép nằm trong DNS A
trả lời:

* 192.168.xx

* 172.[16-31].xx

* 10.xxx

* 127.xxx

* 169.254.xx

* 224.xxx

* 0.0.xx

Nếu một trong các IP trên được phát hiện trong phản hồi DNS và filter_rfc1918 có giá trị là 1,
Deadwood sẽ trả về phản hồi tổng hợp "máy chủ này không trả lời" (một bản ghi SOA trong
phần NS) thay vì bản ghi A.

Lý do cho việc này là để cung cấp một "dnswall" bảo vệ người dùng khỏi một số loại
các cuộc tấn công, như được mô tả tại http://crypto.stanford.edu/dns/

Xin lưu ý rằng Deadwood chỉ cung cấp chức năng "dnswall" IPv4 và không giúp ích gì
bảo vệ chống lại các câu trả lời IPv6. Nếu cần bảo vệ khỏi các bản ghi IPv6 AAAA nhất định,
hoặc vô hiệu hóa tất cả các câu trả lời AAAA bằng cách đặt từ chối_aaaa có giá trị là 1 hoặc sử dụng
chương trình bên ngoài để lọc các câu trả lời IPv4 không mong muốn (chẳng hạn như chương trình dnswall).

Giá trị mặc định cho điều này là 1

xử lý_noreply

Khi giá trị này được đặt thành 0, Deadwood sẽ không gửi phản hồi lại cho khách hàng (khi khách hàng là một
Máy khách TCP, Deadwood đóng kết nối TCP) khi một truy vấn UDP được gửi ngược dòng và
DNS ngược dòng không bao giờ gửi phản hồi.

Khi giá trị này được đặt thành 1, Deadwood sẽ gửi LỖI MÁY CHỦ trở lại máy khách khi có truy vấn UDP.
được gửi ngược dòng và DNS ngược dòng không bao giờ gửi phản hồi.

Giá trị mặc định cho điều này là 1

xử lý_overload

Khi giá trị này có giá trị là 0, Deadwood sẽ không gửi phản hồi khi truy vấn UDP được gửi và
máy chủ bị quá tải (có quá nhiều kết nối đang chờ xử lý); khi nó có giá trị là 1,
Deadwood gửi gói LỖI MÁY CHỦ trở lại người gửi truy vấn UDP. Giá trị mặc định
vì đây là 1.

số băm_magic_number

Điều này từng được sử dụng cho trình tạo băm nội bộ của Deadwood để duy trì trình tạo băm
hơi ngẫu nhiên và miễn nhiễm với một số loại tấn công. Trong Deadwood 3.0, entropy cho
hàm băm được tạo bằng cách xem nội dung của /dev/urandom (secret.txt trên Windows
máy) và dấu thời gian hiện tại. Thông số này chỉ có ở đây nên cấu hình cũ hơn
các tập tin không bị hỏng trong Deadwood 3.0.

danh sách đen ip_black

Đây là danh sách IP mà chúng tôi không cho phép đưa vào câu trả lời cho yêu cầu DNS. Các
lý do cho điều này là để chống lại thông lệ mà một số ISP thực hiện trong việc chuyển đổi "trang này
không tồn tại" Câu trả lời DNS vào một trang do ISP kiểm soát; điều này có thể dẫn đến
vấn đề an ninh.

Tham số này chỉ chấp nhận các IP riêng lẻ và không sử dụng mặt nạ mạng.

maradns_uid

Id người dùng Deadwood chạy dưới dạng. Đây có thể là bất kỳ số nào từ 10 đến 65535; mặc định
giá trị là 99 (không có ai trên các bản phân phối Linux có nguồn gốc từ RedHat). Giá trị này không được sử dụng trên
Hệ thống Windows.

maradns_gid

Deadwood có id nhóm chạy dưới dạng. Đây có thể là bất kỳ số nào từ 10 đến 65535; mặc định
giá trị là 99. Giá trị này không được sử dụng trên hệ thống Windows.

max_ar_chain

Cho dù xoay vòng bản ghi tài nguyên có được bật hay không. Nếu giá trị này có giá trị là 1, bản ghi tài nguyên
xoay được bật, nếu không xoay bản ghi tài nguyên sẽ bị tắt.

Việc luân chuyển bản ghi tài nguyên thường được mong muốn vì nó cho phép DNS hoạt động giống như một bản ghi thô.
cân bằng tải. Tuy nhiên, trên các hệ thống được tải nặng, có thể nên tắt nó để
giảm mức sử dụng CPU.

Lý do cho cái tên bất thường của biến này là để duy trì khả năng tương thích với MaraDNS
tập tin marrc.

Giá trị mặc định là 1: Đã bật xoay vòng bản ghi tài nguyên.

max_inflights

Số lượng khách hàng đồng thời tối đa mà chúng tôi xử lý cùng lúc cho cùng một truy vấn.

Nếu trong khi xử lý một truy vấn, chẳng hạn như "example.com.", một máy khách DNS khác sẽ gửi tới
Deadwood một truy vấn khác cho example.com, thay vì tạo một truy vấn mới để xử lý
example.com, Deadwood sẽ đính kèm ứng dụng khách mới vào cùng một truy vấn đã có "trong
chuyến bay" và gửi trả lời cho cả hai khách hàng sau khi chúng tôi có câu trả lời cho example.com.

Đây là số lượng khách hàng đồng thời mà một truy vấn nhất định có thể có. Nếu giới hạn này là
vượt quá, các khách hàng tiếp theo có cùng truy vấn sẽ bị từ chối cho đến khi tìm thấy câu trả lời. Nếu như
giá trị này có giá trị là 1, chúng tôi không hợp nhất nhiều yêu cầu cho cùng một truy vấn mà cung cấp cho mỗi yêu cầu
yêu cầu kết nối của chính nó.

Giá trị mặc định là 8.

max_ttl

Khoảng thời gian tối đa chúng tôi sẽ giữ một mục trong bộ đệm, tính bằng giây (còn gọi là
"TTL tối đa").

Đây là thời gian dài nhất chúng tôi sẽ lưu giữ một mục trong bộ nhớ đệm. Giá trị mặc định cho tham số này là
86400 (một ngày); giá trị tối thiểu là 300 (5 phút) và giá trị tối đa có thể có
là 7776000 (90 ngày).

Lý do tại sao tham số này ở đây là để bảo vệ Deadwood khỏi các cuộc tấn công khai thác
có dữ liệu cũ trong bộ đệm, chẳng hạn như cuộc tấn công "Tên miền ma".

tối đa_cache_elements

Số phần tử tối đa mà bộ đệm của chúng tôi được phép có. Đây là một số giữa 32
và 16,777,216; giá trị mặc định cho giá trị này là 1024. Lưu ý rằng, nếu ghi bộ đệm vào
đĩa hoặc đọc bộ đệm từ đĩa, giá trị này cao hơn sẽ làm chậm bộ đệm
đọc viết.

Dung lượng bộ nhớ mà mỗi mục bộ đệm sử dụng có thể thay đổi tùy thuộc vào hệ điều hành
được sử dụng và kích thước của các trang cấp phát bộ nhớ được chỉ định. Ví dụ, trong Windows XP, mỗi
mục này sử dụng khoảng bốn kilobyte bộ nhớ và Deadwood có tổng chi phí là
khoảng 512 kilobyte. Vì vậy, nếu có 512 phần tử bộ nhớ đệm, Deadwood sẽ sử dụng
khoảng 2.5 megabyte bộ nhớ và nếu có 1024 thành phần bộ đệm, Deadwood sẽ sử dụng
khoảng 4.5 megabyte bộ nhớ. Một lần nữa, những con số này dành cho Windows XP và các phiên bản khác
hệ điều hành sẽ có số cấp phát bộ nhớ khác nhau.

Xin lưu ý rằng mỗi mục root_servers và upstream_servers chiếm không gian trong Deadwood's
cache và max_cache_elements sẽ cần được tăng lên để lưu trữ một số lượng lớn
những mục này.

maxprocs

Đây là số lượng kết nối UDP từ xa đang chờ xử lý tối đa mà Deadwood có thể có. Các
giá trị mặc định cho điều này là 1024.

max_tcp_procs

Đây là số lượng kết nối TCP mở được phép. Giá trị mặc định: 8

num_retries

Số lần chúng tôi thử gửi lại truy vấn ngược dòng trước khi từ bỏ. Nếu đây là 0 thì chúng ta
chỉ thử một lần; nếu đây là 1, chúng tôi sẽ thử hai lần, v.v., tối đa 32 lần thử. Lưu ý rằng mỗi
thử lại mất timeout_seconds giây trước khi chúng tôi thử lại. Giá trị mặc định: 5

ns_glueless_type

Loại RR chúng tôi gửi để giải quyết các bản ghi không cần keo. Giá trị này phải là 1 (A) khi sử dụng chủ yếu
IPv4 để giải quyết hồ sơ. Nếu bản ghi NS không keo có bản ghi AAAA nhưng không có bản ghi A và IPv6 là
được bật, có thể hợp lý nếu đặt giá trị này là 255 (BẤT KỲ). Nếu IPv4 ngừng tồn tại
được sử dụng trên quy mô lớn, cuối cùng có thể làm cho giá trị này có giá trị là 28
(AAAA).

Giá trị mặc định là 1: Bản ghi A (IPv4). Thông số này có không đã được thử nghiệm; sử dụng tại
rủi ro của chính bạn.

tập tin ngẫu nhiên_seed_file

Đây là một tập tin chứa các số ngẫu nhiên và được sử dụng làm hạt giống cho
trình tạo số ngẫu nhiên mạnh về mặt mật mã. Deadwood sẽ cố đọc 256 byte
từ tệp này (việc sử dụng RNG Deadwood có thể chấp nhận luồng có độ dài tùy ý).

Lưu ý rằng hàm nén băm thu được một số entropy của nó trước khi phân tích cú pháp
mararc và được mã hóa cứng để lấy entropy từ /dev/urandom (secret.txt trên Windows
hệ thống). Hầu hết entropy khác được Deadwood sử dụng đều xuất phát từ tệp được chỉ ra bởi
Random_seed_file.

recurse_min_bind_port

Cổng được đánh số thấp nhất mà Deadwood được phép liên kết; đây là số cổng ngẫu nhiên được sử dụng
đối với cổng nguồn của các truy vấn gửi đi và không phải là 53 (xem dns_port ở trên). Đây là một
số từ 1025 đến 32767 và có giá trị mặc định là 15000. Giá trị này được sử dụng để tạo DNS
các cuộc tấn công giả mạo khó khăn hơn.

recurse_number_ports

Số lượng cổng Deadwood liên kết với cổng nguồn cho các kết nối đi; cái này
là lũy thừa của 2 trong khoảng từ 256 đến 32768. Điều này được sử dụng để thực hiện các cuộc tấn công giả mạo DNS nhiều hơn
khó. Giá trị mặc định là 4096.

đệ quy_acl

Đây là danh sách những người được phép sử dụng Deadwood để thực hiện đệ quy DNS, trong "ip/mask"
định dạng. Mặt nạ phải là số từ 0 đến 32 (đối với IPv6, từ 0 đến 128). Ví dụ,
"127.0.0.1/8" cho phép kết nối cục bộ.

từ chối_aaaa

Nếu giá trị này có giá trị là 1 thì một phản hồi SOA giả "không có ở đó" sẽ được gửi bất cứ khi nào một truy vấn AAAA được thực hiện.
gửi đến Deadwood. Nói cách khác, mỗi khi một chương trình yêu cầu Deadwood cấp IP IPv6
địa chỉ, thay vì cố gắng xử lý yêu cầu, khi địa chỉ này được đặt thành 1, Deadwood
giả vờ tên máy chủ được đề cập không có địa chỉ IPv6.

Điều này hữu ích cho những người không sử dụng IPv6 nhưng sử dụng các ứng dụng (thường là lệnh *NIX
như các ứng dụng như "telnet") làm chậm quá trình tìm địa chỉ IPv6.

Giá trị này có giá trị mặc định là 0. Nói cách khác, các truy vấn AAAA được xử lý bình thường trừ khi
cái này đã được thiết lập.

từ chối_mx

Khi giá trị này có giá trị mặc định là 1, các truy vấn MX sẽ bị loại bỏ âm thầm cùng với IP của chúng
đã đăng nhập. Truy vấn MX là truy vấn chỉ được thực hiện bởi máy nếu nó muốn là truy vấn của riêng nó
máy chủ thư gửi thư đến các máy trên internet. Đây là một truy vấn trên một máy tính để bàn trung bình
máy (bao gồm máy sử dụng Outlook hoặc tác nhân người dùng thư khác để đọc và gửi
email) sẽ không bao giờ thực hiện được.

Rất có thể, nếu một máy đang cố gắng thực hiện truy vấn MX thì máy đó đang được điều khiển bởi
một nguồn từ xa để gửi email "thư rác" không mong muốn. Với suy nghĩ này, Deadwood sẽ không cho phép
Truy vấn MX sẽ được thực hiện trừ khi từ chối_mx được đặt rõ ràng bằng giá trị 0.

Trước khi tắt tính năng này, hãy nhớ rằng Deadwood được tối ưu hóa để sử dụng cho web
lướt web chứ không phải như một máy chủ DNS cho một trung tâm thư. Đặc biệt, IP cho bản ghi MX là
đã bị xóa khỏi các câu trả lời của Deadwood và Deadwood cần thực hiện các truy vấn DNS bổ sung để
lấy IP tương ứng với bản ghi MX và thử nghiệm của Deadwood hướng đến web nhiều hơn
lướt web (gần như 100% tra cứu bản ghi) chứ không phải để gửi thư (bản ghi MX mở rộng
tra cứu).

từ chối_ptr

Nếu giá trị này có giá trị là 1 thì một phản hồi SOA giả "không có ở đó" sẽ được gửi bất cứ khi nào một truy vấn PTR được thực hiện.
gửi đến Deadwood. Nói cách khác, mỗi khi một chương trình yêu cầu Deadwood cung cấp "đảo ngược DNS
tra cứu" -- tên máy chủ cho một địa chỉ IP nhất định -- thay vì cố gắng xử lý
yêu cầu, khi giá trị này được đặt thành 1, Deadwood sẽ giả vờ như địa chỉ IP được đề cập không có
một tên máy chủ.

Điều này hữu ích cho những người đang gặp phải tình trạng hết thời gian chờ DNS chậm khi cố gắng thực hiện một
tra cứu DNS ngược trên IP.

Giá trị này có giá trị mặc định là 0. Nói cách khác, các truy vấn PTR được xử lý bình thường trừ khi
cái này đã được thiết lập.

hồi sinh

Nếu giá trị này được đặt thành 1, Deadwood sẽ cố gắng gửi bản ghi đã hết hạn cho người dùng trước khi đưa ra
hướng lên. Nếu là 0 thì không. Giá trị mặc định: 1

root_servers

Đây là danh sách các máy chủ gốc; cú pháp của nó giống hệt với upstream_servers (xem bên dưới).
Ví dụ: đây là loại dịch vụ DNS mà ICANN chạy. Đây là những máy chủ được sử dụng để thực hiện
không cung cấp cho chúng tôi câu trả lời đầy đủ cho các câu hỏi về DNS mà chỉ cho chúng tôi biết nên sử dụng máy chủ DNS nào
kết nối để có câu trả lời gần hơn với câu trả lời mong muốn của chúng tôi.

Xin lưu ý rằng mỗi mục root_servers chiếm dung lượng trong bộ nhớ đệm của Deadwood và
Maximum_cache_elements sẽ cần được tăng lên để lưu trữ một số lượng lớn các mục này.

tcp_listen

Để bật DNS-over-TCP, biến này phải được đặt và có giá trị là 1. Mặc định
giá trị: 0

thời gian chờ_giây

Đây là khoảng thời gian Deadwood sẽ đợi trước khi từ bỏ và loại bỏ DNS UDP đang chờ xử lý
hồi đáp. Giá trị mặc định cho giá trị này là 1, tính bằng 1 giây, trừ khi Deadwood được biên dịch bằng
Đã bật FALLBACK_TIME.

hết thời gian_giây_tcp

Phải đợi bao lâu trên một kết nối TCP không hoạt động trước khi ngắt kết nối. Giá trị mặc định cho điều này
là 4, tức là trong 4 giây.

ttl_age

Liệu quá trình lão hóa TTL có được bật hay không; liệu các mục trong bộ đệm có đặt TTL của chúng là
lượng thời gian các mục còn lại trong bộ đệm.

Nếu giá trị này có giá trị là 1 thì các mục nhập TTL đã cũ. Nếu không thì không. Mặc định
giá trị cho điều này là 1.

upstream_port

Đây là cổng mà Deadwood sử dụng để kết nối hoặc gửi gói tin đến các máy chủ ngược dòng. Các
giá trị mặc định cho điều này là 53; cổng DNS tiêu chuẩn.

upstream_servers

Đây là danh sách các máy chủ DNS mà bộ cân bằng tải sẽ cố gắng liên hệ. Đây là một
từ điển biến (mảng được lập chỉ mục bằng một chuỗi thay vì một số) thay vì một mảng đơn giản
Biến đổi. Vì upstream_servers là một biến từ điển nên nó cần được khởi tạo
trước khi được sử dụng.

Deadwood sẽ nhìn vào tên của máy chủ mà nó đang cố gắng tìm máy chủ ngược dòng
for và sẽ khớp với hậu tố dài nhất mà nó có thể tìm thấy.

Ví dụ: nếu ai đó gửi truy vấn "www.foo.example.com" tới Deadwood, Deadwood sẽ
trước tiên hãy xem liệu có biến upstream_servers cho "www.foo.example.com." không, sau đó tìm
cho "foo.example.com.", sau đó tìm "example.com.", rồi "com." và cuối cùng là ".".

Đây là một ví dụ về upstream_servers:

upstream_servers = {} # Khởi tạo biến từ điển
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"

Trong ví dụ này, mọi thứ kết thúc bằng "foo.example.com" đều được máy chủ DNS giải quyết tại
192.168.42.1; mọi điều khác kết thúc bằng "example.com" đều được giải quyết theo 192.168.99.254; Và
mọi điều không kết thúc bằng "example.com" sẽ được giải quyết bằng 10.1.2.3 hoặc 10.1.2.4.

Quan trọng: tên miền upstream_servers trỏ đến phải kết thúc bằng "." tính cách. Đây là
OK:

upstream_servers["example.com."] = "192.168.42.1"

Nhưng đây là không OK:

upstream_servers["example.com"] = "192.168.42.1"

Lý do cho điều này là do BIND có hành vi không mong muốn khi tên máy chủ
không kết thúc bằng dấu chấm và bằng cách buộc dấu chấm vào cuối tên máy chủ, Deadwood không có
để đoán xem người dùng muốn hành vi của BIND hay hành vi "bình thường".

Nếu cả root_servers và upstream_servers đều không được đặt, Deadwood sẽ đặt root_servers để sử dụng
máy chủ gốc ICANN mặc định, như sau:

198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (RỘNG)

Danh sách này hiện hành kể từ ngày 9 tháng 2015 năm 3 và được thay đổi lần cuối vào ngày 2013 tháng XNUMX năm XNUMX.

Xin lưu ý rằng mỗi mục nhập upstream_servers chiếm dung lượng trong bộ đệm của Deadwood và điều đó
Maximum_cache_elements sẽ cần được tăng lên để lưu trữ một số lượng lớn các mục này.

chi tiết_level

Điều này xác định có bao nhiêu tin nhắn được ghi vào đầu ra tiêu chuẩn; giá trị lớn hơn đăng nhập nhiều hơn
tin nhắn. Giá trị mặc định cho điều này là 3.

ip/mặt nạ định dạng of IP

Deadwood sử dụng định dạng ip/netmask tiêu chuẩn để chỉ định IP. Một ip ở dạng thập phân chấm
định dạng, ví dụ: "10.1.2.3" (hoặc ở định dạng IPv6 khi hỗ trợ IPv6 được biên dịch).

Netmask được sử dụng để chỉ định một phạm vi IP. Netmask là một số duy nhất trong khoảng từ 1
và 32 (128 khi hỗ trợ IPv6 được biên dịch), cho biết số lượng "1" đứng đầu
bit trong mặt nạ mạng.

10.1.1.1/24 chỉ ra rằng mọi ip từ 10.1.1.0 đến 10.1.1.255 sẽ khớp.

10.2.3.4/16 chỉ ra rằng mọi ip từ 10.2.0.0 đến 10.2.255.255 sẽ khớp.

127.0.0.0/8 chỉ ra rằng bất kỳ ip nào có "127" là octet (số) đầu tiên sẽ khớp.

Mặt nạ mạng là tùy chọn và nếu không có mặt nạ mạng sẽ cho biết rằng chỉ một IP duy nhất phù hợp.

DNS kết thúc TCP

DNS-over-TCP cần được bật rõ ràng bằng cách đặt tcp_listen thành 1.

Deadwood trích xuất thông tin hữu ích từ các gói DNS UDP được đánh dấu bị cắt bớt gần như
luôn loại bỏ nhu cầu phải có DNS-over-TCP. Tuy nhiên, Deadwood không lưu trữ các gói DNS
kích thước lớn hơn 512 byte cần được gửi bằng TCP. Ngoài ra, DNS-over-TCP
các gói trả lời DNS "không đầy đủ" (các câu trả lời mà trình phân giải sơ khai không thể sử dụng,
có thể là giới thiệu NS hoặc trả lời CNAME không đầy đủ) không được xử lý chính xác
của Deadwood.

Deadwood hỗ trợ cả DNS-over-UDP và DNS-over-TCP; cùng một daemon lắng nghe
cả cổng DNS UDP và TCP.

Chỉ các truy vấn DNS UDP được lưu trữ. Deadwood không hỗ trợ bộ nhớ đệm qua TCP; nó xử lý
TCP để giải quyết câu trả lời bị cắt ngắn hiếm hoi mà không có bất kỳ thông tin hữu ích nào hoặc để làm việc với
các trình phân giải DNS chỉ TCP không tuân thủ RFC rất hiếm gặp. Trong thế giới thực, DNS-over-TCP là
hầu như không bao giờ được sử dụng.

Phân tích cú pháp khác các tập tin

Có thể có Deadwood, trong khi phân tích tệp dwood3rc, đọc các tệp khác và
phân tích chúng như thể chúng là các tệp dwood3rc.

Điều này được thực hiện bằng cách sử dụng tập tin thực thi. Để sử dụng execfile, hãy đặt một dòng như thế này trong dwood3rc
tập tin:

execfile("đường dẫn/đến/tên tệp")

Trong đó path/to/filename là đường dẫn đến tệp được phân tích cú pháp giống như tệp dwood3rc.

Tất cả các tệp phải nằm trong hoặc dưới thư mục /etc/maradns/deadwood/execfile. Tên tập tin có thể
chỉ có chữ cái viết thường và ký tự gạch dưới ("_"). Đường dẫn tuyệt đối không
được phép làm đối số cho execfile; tên tệp không thể bắt đầu bằng dấu gạch chéo ("/")
nhân vật.

Nếu có lỗi phân tích cú pháp trong tệp được chỉ ra bởi execfile, Deadwood sẽ báo cáo
lỗi xảy ra ở dòng lệnh execfile trong tệp dwood3rc chính. Để tìm
trong đó có lỗi phân tích cú pháp trong tệp phụ, hãy sử dụng cái gì đó như "Deadwood -f
/etc/maradns/deadwood/execfile/filename" để tìm lỗi phân tích cú pháp trong tệp vi phạm,
trong đó "tên tệp" là tệp được phân tích cú pháp thông qua execfile.

IPV6 hỗ trợ

Máy chủ này cũng có thể được biên dịch tùy chọn để hỗ trợ IPv6. Để kích hoạt IPv6
hỗ trợ, hãy thêm '-DIPV6' vào cờ thời gian biên dịch. Ví dụ, để biên dịch cái này thành một
nhị phân nhỏ và có hỗ trợ IPv6:

xuất FLAGS='-Os -DIPV6'
làm cho

AN NINH

Deadwood là một chương trình được viết với mục đích bảo mật.

Ngoài việc sử dụng thư viện chuỗi chống tràn bộ đệm và kiểu mã hóa và SQA
quá trình kiểm tra lỗi tràn bộ đệm và rò rỉ bộ nhớ, Deadwood sử dụng một công cụ mạnh mẽ
trình tạo số giả ngẫu nhiên (Phiên bản 32 bit của RadioGatun) để tạo cả
ID truy vấn và cổng nguồn. Để bộ tạo số ngẫu nhiên được an toàn, Deadwood cần một
nguồn entropy tốt; theo mặc định Deadwood sẽ sử dụng/dev/urandom để lấy entropy này. Nếu như
bạn đang sử dụng hệ thống không có hỗ trợ /dev/urandom, điều quan trọng là phải đảm bảo rằng
Deadwood có nguồn entropy tốt nên khó có thể truy vấn ID và cổng nguồn
đoán (nếu không có thể giả mạo các gói DNS).

Cổng Windows của Deadwood bao gồm một chương trình có tên "mkSecretTxt.exe" tạo ra một
Tệp ngẫu nhiên 64 byte (512 bit) có tên "secret.txt" có thể được Deadwood sử dụng (thông qua
tham số "random_seed_file"); Deadwood cũng nhận được entropy từ dấu thời gian khi Deadwood
được bắt đầu và số ID tiến trình của Deadwood, vì vậy việc sử dụng cùng một mã tĩnh cũng giống như vậy.
secret.txt dưới dạng Random_seed_file cho nhiều lệnh gọi Deadwood.

Lưu ý rằng Deadwood không được bảo vệ khỏi người nào đó trên cùng mạng xem các gói được gửi
bởi Deadwood và gửi các gói giả mạo để trả lời.

Để bảo vệ Deadwood khỏi một số cuộc tấn công từ chối dịch vụ có thể xảy ra, tốt nhất là nếu
Số nguyên tố của Deadwood được sử dụng để băm các phần tử trong bộ đệm là số nguyên tố 31 bit ngẫu nhiên
con số. Chương trình RandomPrime.c tạo một số nguyên tố ngẫu nhiên được đặt trong tệp
DwRandPrime.h được tạo lại bất cứ khi nào chương trình được biên dịch hoặc mọi thứ được
làm sạch bằng make clean. Chương trình này sử dụng /dev/urandom cho entropy của nó; tập tin
DwRandPrime.h sẽ không được tái tạo trên các hệ thống không có /dev/urandom.

Trên các hệ thống không có hỗ trợ trực tiếp /dev/urandom, bạn nên xem liệu có
cách khả thi để cung cấp cho hệ thống một /dev/urandom hoạt động. Bằng cách này, khi Deadwood
được biên dịch, số ma thuật băm sẽ ngẫu nhiên phù hợp.

Nếu sử dụng tệp nhị phân được biên dịch trước của Deadwood, vui lòng đảm bảo rằng hệ thống có /dev/urandom
hỗ trợ (trên hệ thống Windows, vui lòng đảm bảo rằng tệp có tên secret.txt là
được tạo bởi chương trình mkSecretTxt.exe đi kèm); Deadwood, trong thời gian chạy, sử dụng
/dev/urandom (secret.txt trong Windows) dưới dạng đường dẫn được mã hóa cứng để lấy entropy (cùng với
dấu thời gian) cho thuật toán băm.

DAEMONIZATION

Deadwood không có bất kỳ phương tiện daemon hóa tích hợp nào; việc này được xử lý bởi
chương trình bên ngoài Duende hoặc bất kỳ trình nền nào khác.

Ví dụ cấu hình hồ sơ

Đây là một ví dụ về tệp cấu hình dwood3rc:

# Đây là một ví dụ về tệp rc deadwood
# Lưu ý rằng các bình luận được bắt đầu bằng ký hiệu băm

bind_address="127.0.0.1" # IP chúng tôi liên kết

# Dòng sau bị vô hiệu hóa do bị nhận xét
#bind_address="::1" # Chúng tôi có hỗ trợ IPv6 tùy chọn

# Thư mục chạy chương trình (không dùng trong Win32)
chroot_dir = "/etc/maradns/deadwood"

# Các máy chủ DNS ngược dòng sau đây là của Google
# (tính đến tháng 2009 năm XNUMX) máy chủ DNS công cộng. Vì
# thêm thông tin, xem trang tại
# http://code.google.com/speed/public-dns/
#
# Nếu cả root_servers lẫn upstream_servers đều không được thiết lập,
# Deadwood sẽ sử dụng máy chủ gốc ICANN mặc định.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"

# Ai được phép sử dụng bộ đệm. Đường thẳng này
# cho phép bất kỳ ai có "127.0" là hai người đầu tiên
# chữ số IP của họ để sử dụng Deadwood
đệ quy_acl = "127.0.0.1/16"

# Số lượng yêu cầu đang chờ xử lý tối đa
maxprocs = 2048

# Gửi LỖI MÁY CHỦ khi quá tải
xử lý_overload = 1

maradns_uid = 99 # UID Deadwood chạy dưới dạng
maradns_gid = 99 # GID Deadwood chạy dưới dạng

tối đa_cache_elements = 60000

# Nếu bạn muốn đọc và ghi bộ đệm từ đĩa,
# đảm bảo chroot_dir ở trên có thể đọc và ghi được
# bởi maradns_uid/gid ở trên và bỏ ghi chú
#dòng sau.
#cache_file = "dw_cache"

# Nếu máy chủ DNS ngược dòng của bạn chuyển đổi các câu trả lời DNS "không có"
# vào IP, tham số này cho phép Deadwood chuyển đổi bất kỳ câu trả lời nào
# với một IP nhất định sẽ quay lại IP "không có". Nếu bất kỳ IP nào
# được liệt kê bên dưới nằm trong câu trả lời DNS, Deadwood chuyển đổi câu trả lời
# vào "không có"
#ip_danh sách đen = "10.222.33.44, 10.222.3.55"

# Theo mặc định, vì lý do bảo mật, Deadwood không cho phép IP truy cập
# 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
Phạm vi # 169.254.xx, 224.xxx hoặc 0.0.xx. Nếu sử dụng Deadwood
# để phân giải tên trên mạng nội bộ, bỏ ghi chú
#dòng sau:
#filter_rfc1918 = 0

Sử dụng deadwood trực tuyến bằng dịch vụ onworks.net