Dies ist der Befehl Deadwood, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
deadwood – Ein vollständig rekursiver Caching-DNS-Resolver
BESCHREIBUNG
Deadwood ist ein vollständig rekursiver DNS-Cache. Dies ist ein DNS-Server mit den folgenden Funktionen:
* Volle Unterstützung sowohl für DNS-Rekursion als auch für DNS-Weiterleitungs-Caching
* Geringe Größe und Speicherbedarf, geeignet für eingebettete Systeme
* Einfache und saubere Codebasis
* Sicheres Design
* Spoof-Schutz: Starke Kryptografie zur Ermittlung der Abfrage-ID und des Quellports
* Möglichkeit, den Cache in eine Datei zu lesen und zu schreiben
* Dynamischer Cache, der nicht zuletzt verwendete Einträge löscht
* Möglichkeit, abgelaufene Einträge im Cache zu verwenden, wenn es unmöglich ist, den Upstream zu kontaktieren
DNS-Server.
* IPv6-Unterstützung kann auf Wunsch integriert werden
* Sowohl DNS-über-UDP als auch DNS-über-TCP werden vom selben Daemon verwaltet
* Integrierte DNS-Funktionalität
COMMAND LINE ARGUMENTE
Deadwood verfügt über ein einziges optionales Befehlszeilenargument: Den Speicherort der Konfiguration
Datei, die Deadwood verwendet, angegeben mit dem Flag „-f“. Wenn dies nicht definiert ist, Deadwood
verwendet die Datei „/etc/maradns/deadwood/dwood3rc“ als Konfigurationsdatei.
Mit anderen Worten: Deadwood anrufen als Totholz wird dazu führen, dass Deadwood verwendet wird
/etc/maradns/deadwood/dwood3rc als Konfigurationsdatei; unter Berufung auf Deadwood als Totholz -f
foobar führt dazu, dass Deadwood die Datei „foobar“ im aktuellen Arbeitsverzeichnis (
Verzeichnis, in dem man sich beim Starten von Deadwood befindet) als Konfigurationsdatei.
CONFIGURATION FILE FORMAT
Die Deadwood-Konfigurationsdatei ist der Syntax von Python 2 nachempfunden. Jedes gültige Deadwood
Die Konfigurationsdatei sollte auch in Python 2.4.3 und Python 2.6.6 korrekt analysiert werden. Wenn
Jede Konfigurationsdatei wird in Deadwood korrekt analysiert, löst jedoch einen Syntaxfehler aus
Python, das ist ein Fehler, der behoben werden sollte.
Vor diesem Hintergrund sind Leerzeichen von Bedeutung. Deadwood-Parameter müssen ganz links stehen
Spalte ohne führendes Leerzeichen. Dies ist eine gültige Zeile (solange keine Leerzeichen vorhanden sind).
es ist links):
recursive_acl = "127.0.0.1/16"
Die folgende Zeile löst jedoch einen Analysefehler aus:
recursive_acl = "127.0.0.1/16"
Beachten Sie das Leerzeichen links neben der Zeichenfolge „recusive_acl“ in der falsch formatierten Datei
Linie.
PARAMETER TYPES
Deadwood verfügt über drei verschiedene Parametertypen:
* Numerische Parameter. Numerische Parameter dürfen nicht in Anführungszeichen wie dieses eingeschlossen werden
Beispiel:
filter_rfc1918 = 0
Wenn ein numerischer Parameter in Anführungszeichen gesetzt ist, wird die Fehlermeldung „Unbekannter dwood3rc
„String-Parameter“ wird angezeigt.
* String-Parameter. String-Parameter müssen in Anführungszeichen gesetzt werden, wie hier
Beispiel:
bind_address = „127.0.0.1“
* Wörterbuchparameter. Alle Wörterbuchparameter müssen vor der Verwendung initialisiert werden
Wörterbuchparameter müssen sowohl den Wörterbuchindex als auch den Wert für diesen Index haben
umgeben von Anführungszeichen, wie in diesem Beispiel:
upstream_servers = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Alle dwood3rc-Parameter ausgeschlossen Folgendes sind numerische Parameter:
* bind_address (Zeichenfolge)
* Cachedatei (Zeichenfolge)
* chroot_dir (Zeichenfolge)
* ip_blacklist (Zeichenfolge)
* ipv4_bind_addresses (Zeichenfolge)
* random_seed_file (Zeichenfolge)
* recursive_acl (Zeichenfolge)
* root_servers (Wörterbuch)
* upstream_servers (Wörterbuch)
UNTERSTÜTZT PARAMETER
Die Deadwood-Konfigurationsdatei unterstützt die folgenden Parameter:
bind_adresse
Dies ist die IP-Adresse (oder möglicherweise IPv6-Adresse), an die wir uns binden.
Cache_Datei
Dies ist der Dateiname der Datei, die zum Lesen und Schreiben des Caches auf die Festplatte verwendet wird. Das
Die Zeichenfolge kann Kleinbuchstaben, das Symbol „-“, das Symbol „_“ und das Symbol „/“ enthalten (z
den Cache in ein Unterverzeichnis legen). Alle anderen Symbole werden zu einem „_“-Symbol.
Diese Datei wird gelesen und geschrieben, wenn der Benutzer Deadwood ausführt.
chroot_dir
Dies ist das Verzeichnis, von dem aus das Programm ausgeführt wird.
liefer_alle
Dies wirkt sich auf das Verhalten in Deadwood 2.3 aus, hat jedoch keine Auswirkungen auf Deadwood 3. Diese Variable ist
nur hier, damit Deadwood 2 RC-Dateien in Deadwood 3 laufen können.
dns_port
Dies ist der Port, an den sich Deadwood bindet und auf dem er auf eingehende Verbindungen lauscht. Der Standard
Wert hierfür ist der Standard-DNS-Port: Port 53
filter_rfc1918
Wenn dieser den Wert 1 hat, dürfen sich in DNS A nicht mehrere verschiedene IP-Bereiche befinden
Antworten:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Wenn eine der oben genannten IPs in einer DNS-Antwort erkannt wird und filter_rfc1918 den Wert 1 hat,
Deadwood gibt eine synthetische Antwort „Dieser Host antwortet nicht“ zurück (einen SOA-Eintrag im
NS-Abschnitt) anstelle des A-Datensatzes.
Der Grund dafür ist die Bereitstellung einer „DNSwall“, die Benutzer vor einigen Arten von Angriffen schützt
Angriffe, wie unter beschrieben http://crypto.stanford.edu/dns/
Bitte beachten Sie, dass Deadwood nur IPv4-„DNSWall“-Funktionalität bietet und nicht hilft
Schutz vor IPv6-Antworten. Wenn Schutz vor bestimmten IPv6 AAAA-Einträgen erforderlich ist,
Deaktivieren Sie entweder alle AAAA-Antworten, indem Sie „reject_aaaa“ auf den Wert 1 setzen, oder verwenden Sie an
externes Programm zum Filtern unerwünschter IPv4-Antworten (z. B. das Programm dnswall).
Der Standardwert hierfür ist 1
handle_noreply
Wenn dies auf 0 gesetzt ist, sendet Deadwood keine Antwort an den Client zurück (wenn der Client ein
TCP-Client, Deadwood schließt die TCP-Verbindung), wenn eine UDP-Anfrage stromaufwärts gesendet wird und die
Upstream-DNS sendet niemals eine Antwort.
Wenn dies auf 1 gesetzt ist, sendet Deadwood bei einer UDP-Anfrage einen SERVER FAIL an den Client zurück
Upstream gesendet und der Upstream-DNS sendet niemals eine Antwort.
Der Standardwert hierfür ist 1
handle_overload
Wenn dieser den Wert 0 hat, sendet Deadwood keine Antwort, wenn eine UDP-Anfrage gesendet wird und die
Der Server ist überlastet (zu viele ausstehende Verbindungen). wenn es einen Wert von 1 hat,
Deadwood sendet ein SERVER FAIL-Paket zurück an den Absender der UDP-Anfrage. Der Standardwert
denn das ist 1.
hash_magic_number
Dies wurde früher für den internen Hash-Generator von Deadwood verwendet, um den Hash-Generator aufrechtzuerhalten
etwas zufällig und immun gegen bestimmte Arten von Angriffen. In Deadwood 3.0 ist die Entropie für die
Die Hash-Funktion wird erstellt, indem der Inhalt von /dev/urandom (secret.txt unter Windows) betrachtet wird
Maschinen) und den aktuellen Zeitstempel. Dieser Parameter ist hier nur eine ältere Konfiguration
Dateien werden in Deadwood 3.0 nicht beschädigt.
ip_blacklist
Dies ist eine Liste von IPs, deren Verwendung in der Antwort auf eine DNS-Anfrage nicht zulässig ist. Der
Der Grund dafür ist, der Praxis einiger ISPs entgegenzuwirken, eine „Diese Seite“ zu konvertieren
existiert nicht“-DNS-Antwort auf eine vom ISP kontrollierte Seite; dies ist möglich
Sicherheitsfragen.
Dieser Parameter akzeptiert nur einzelne IPs und verwendet keine Netzmasken.
maradns_uid
Die Benutzer-ID Deadwood wird ausgeführt als. Dies kann eine beliebige Zahl zwischen 10 und 65535 sein; der Standard
Der Wert ist 99 (niemand auf von RedHat abgeleiteten Linux-Distributionen). Dieser Wert wird nicht verwendet
Windows-Systeme.
maradns_gid
Die Gruppen-ID Deadwood läuft als. Dies kann eine beliebige Zahl zwischen 10 und 65535 sein; der Standard
Der Wert beträgt 99. Dieser Wert wird auf Windows-Systemen nicht verwendet.
max_ar_chain
Ob die Ressourcendatensatzrotation aktiviert ist. Wenn dieser den Wert 1 hat, Ressourceneintrag
Die Rotation ist aktiviert, andernfalls ist die Ressourcendatensatzrotation deaktiviert.
Die Rotation von Ressourceneinträgen ist normalerweise wünschenswert, da sie es dem DNS ermöglicht, sich wie ein Rohling zu verhalten
Lastenausgleicher. Auf stark ausgelasteten Systemen kann es jedoch wünschenswert sein, es zu deaktivieren
Reduzieren Sie die CPU-Auslastung.
Der Grund für den ungewöhnlichen Namen dieser Variable ist die Wahrung der Kompatibilität mit MaraDNS
Mararc-Dateien.
Der Standardwert ist 1: Ressourcendatensatzrotation aktiviert.
max_inflights
Die maximale Anzahl gleichzeitiger Clients, die wir gleichzeitig für dieselbe Abfrage verarbeiten.
Wenn während der Verarbeitung einer Abfrage nach beispielsweise „example.com“ ein anderer DNS-Client eine Nachricht an sendet
Deadwood eine weitere Abfrage für example.com, anstatt eine neue Abfrage zur Verarbeitung zu erstellen
example.com, Deadwood wird den neuen Client an dieselbe Abfrage anhängen, die bereits „in“ ist
Flug“ und senden Sie eine Antwort an beide Kunden, sobald wir eine Antwort für example.com haben.
Dies ist die Anzahl gleichzeitiger Clients, die eine bestimmte Abfrage haben kann. Wenn diese Grenze liegt
überschritten, werden nachfolgende Clients mit der gleichen Anfrage abgelehnt, bis eine Antwort gefunden wird. Wenn
Dies hat den Wert 1. Wir führen nicht mehrere Anfragen für dieselbe Abfrage zusammen, sondern geben sie jeweils weiter
eine eigene Verbindung anfordern.
Der Standardwert ist 8.
max_ttl
Die maximale Zeitspanne in Sekunden, in der wir einen Eintrag im Cache aufbewahren (auch „…“ genannt).
„Maximale TTL“).
Dies ist die längste Zeit, die wir einen Eintrag zwischenspeichern. Der Standardwert für diesen Parameter ist
86400 (ein Tag); Der Mindestwert beträgt 300 (5 Minuten) und der Höchstwert, den dieser annehmen kann
ist 7776000 (90 Tage).
Der Grund, warum dieser Parameter hier ist, besteht darin, Deadwood vor Angriffen zu schützen, die ausnutzen
Es befinden sich veraltete Daten im Cache, wie zum Beispiel beim „Ghost Domain Names“-Angriff.
Maximum_cache_elements
Die maximale Anzahl an Elementen, die unser Cache enthalten darf. Dies ist eine Zahl zwischen 32
und 16,777,216; Der Standardwert hierfür ist 1024. Beachten Sie dies, wenn Sie in den Cache schreiben
Wenn Sie den Cache auf der Festplatte lesen oder den Cache von der Festplatte lesen, verlangsamen höhere Werte den Cache
lesen Schreiben.
Die Menge an Speicher, die jeder Cache-Eintrag verwendet, ist je nach Betriebssystem unterschiedlich
verwendet und die Größe der zugewiesenen Speicherzuweisungsseiten. In Windows XP beispielsweise jeweils
Der Eintrag benötigt ungefähr vier Kilobyte Speicher und Deadwood hat einen Overhead von
ca. 512 Kilobyte. Wenn also 512 Cache-Elemente vorhanden sind, verwendet Deadwood
ca. 2.5 Megabyte Speicher, und wenn 1024 Cache-Elemente vorhanden sind, verwendet Deadwood
ca. 4.5 Megabyte Speicher. Auch diese Zahlen gelten für Windows XP und andere
Betriebssysteme haben unterschiedliche Speicherzuordnungsnummern.
Bitte beachten Sie, dass jeder root_servers- und upstream_servers-Eintrag Platz in Deadwoods belegt
Cache und dass „maximum_cache_elements“ erhöht werden muss, um eine große Anzahl davon zu speichern
diese Einträge.
maxprocs
Dies ist die maximale Anzahl ausstehender Remote-UDP-Verbindungen, die Deadwood haben kann. Der
Der Standardwert hierfür ist 1024.
max_tcp_procs
Dies ist die Anzahl der zulässigen offenen TCP-Verbindungen. Standardwert: 8
Anzahl_Wiederholungen
Die Häufigkeit, mit der wir erneut versuchen, eine Anfrage an den Upstream zu senden, bevor wir aufgeben. Wenn dieser 0 ist, wir
Versuchen Sie es nur einmal. Wenn dieser Wert 1 ist, versuchen wir es zweimal usw., bis zu 32 Wiederholungen. Beachten Sie, dass jeder
Der erneute Versuch dauert timeout_seconds Sekunden, bevor wir es erneut versuchen. Standardwert: 5
ns_glueless_type
Der RR-Typ, den wir senden, um kleberlose Datensätze aufzulösen. Bei hauptsächlicher Verwendung sollte dieser Wert 1 (A) sein
IPv4 zum Auflösen von Datensätzen. Wenn leimlose NS-Einträge AAAA-, aber keine A-Einträge haben und IPv6 vorhanden ist
aktiviert ist, kann es sinnvoll sein, diesem einen Wert von 255 (ANY) zu geben. Falls IPv4 jemals aufhört zu existieren
Wenn es in großem Maßstab verwendet wird, könnte es irgendwann möglich sein, einen Wert von 28 zu erreichen
(AAAA).
Der Standardwert ist 1: Ein A-Eintrag (IPv4-IP). Dieser Parameter hat nicht wurde getestet; verwenden bei
Ihr eigenes Risiko.
random_seed_file
Dies ist eine Datei, die Zufallszahlen enthält und als Startwert für verwendet wird
kryptografisch starker Zufallszahlengenerator. Deadwood wird versuchen, 256 Bytes zu lesen
aus dieser Datei (der von Deadwood verwendete RNG kann einen Stream beliebiger Länge akzeptieren).
Beachten Sie, dass die Hash-Komprimierungsfunktion einen Teil ihrer Entropie erhält, bevor sie analysiert wird
mararc-Datei und ist fest codiert, um Entropie aus /dev/urandom (secret.txt unter Windows) abzurufen
Systeme). Die meisten anderen von Deadwood verwendeten Entropien stammen aus der Datei, auf die von verwiesen wird
random_seed_file.
recurse_min_bind_port
Der Port mit der niedrigsten Nummer darf Deadwood binden; Hierbei handelt es sich um eine zufällig verwendete Portnummer
für den Quellport ausgehender Abfragen und ist nicht 53 (siehe dns_port oben). Das ist ein
Die Nummer liegt zwischen 1025 und 32767 und hat einen Standardwert von 15000. Dies wird zur Erstellung von DNS verwendet
Spoofing-Angriffe werden erschwert.
recurse_number_ports
Die Anzahl der Ports, an die Deadwood als Quellport für ausgehende Verbindungen bindet; Das
ist eine Potenz von 2 zwischen 256 und 32768. Dies wird verwendet, um DNS-Spoofing-Angriffe zu verstärken
schwierig. Der Standardwert ist 4096.
recursive_acl
Dies ist eine Liste der Personen, die Deadwood zur Durchführung einer DNS-Rekursion verwenden dürfen, in „ip/mask“.
Format. Die Maske muss eine Zahl zwischen 0 und 32 sein (für IPv6 zwischen 0 und 128). Zum Beispiel,
„127.0.0.1/8“ ermöglicht lokale Verbindungen.
ablehnen_aaaa
Wenn dies den Wert 1 hat, wird bei jeder AAAA-Anfrage eine gefälschte SOA-Antwort „nicht da“ gesendet
nach Deadwood geschickt. Mit anderen Worten: Jedes Mal, wenn ein Programm Deadwood nach einer IPv6-IP fragt
Adresse, anstatt zu versuchen, die Anfrage zu verarbeiten, wenn diese auf 1 gesetzt ist, Deadwood
gibt vor, dass der betreffende Hostname keine IPv6-Adresse hat.
Dies ist nützlich für Leute, die IPv6 nicht verwenden, aber Anwendungen verwenden (normalerweise *NIX-Befehl).
wie Anwendungen wie „Telnet“), die die Suche nach einer IPv6-Adresse verlangsamen.
Der Standardwert ist 0. Mit anderen Worten: AAAA-Abfragen werden normal verarbeitet, sofern nicht
das ist eingestellt.
Reject_mx
Wenn dieser den Standardwert 1 hat, werden MX-Abfragen mit ihrer IP stillschweigend verworfen
protokolliert. Eine MX-Abfrage ist eine Abfrage, die von einer Maschine nur durchgeführt wird, wenn sie ihre eigene sein möchte
Mailserver, der E-Mails an Computer im Internet sendet. Dies ist eine Abfrage für einen durchschnittlichen Desktop
Maschine (einschließlich einer Maschine, die Outlook oder einen anderen E-Mail-Benutzeragenten zum Lesen und Senden verwendet).
E-Mail) wird niemals erstellt.
Wenn eine Maschine versucht, eine MX-Abfrage durchzuführen, wird sie höchstwahrscheinlich von ihr gesteuert
eine Remote-Quelle zum Versenden unerwünschter „Spam“-E-Mails. Dies im Hinterkopf wird Deadwood nicht zulassen
Es müssen MX-Abfragen durchgeführt werden, es sei denn, „reject_mx“ ist explizit auf den Wert 0 festgelegt.
Bevor Sie dies deaktivieren, bedenken Sie bitte, dass Deadwood für die Verwendung im Internet optimiert ist
Surfen, nicht als DNS-Server für einen Mail-Hub. Insbesondere die IPs für MX-Einträge
aus Deadwoods Antworten entfernt und Deadwood muss zusätzliche DNS-Abfragen durchführen
Erhalten Sie die IPs, die den MX-Einträgen entsprechen, und Deadwoods Tests sind eher auf das Web ausgerichtet
Surfen (nahezu 100 % A-Record-Suche) und nicht für den Mailversand (umfangreicher MX-Record).
Schau hoch).
Reject_ptr
Wenn dies den Wert 1 hat, wird bei jeder PTR-Anfrage eine gefälschte SOA-Antwort „nicht da“ gesendet
nach Deadwood geschickt. Mit anderen Worten, jedes Mal, wenn ein Programm Deadwood nach „Reverse DNS“ fragt
lookup“ – den Hostnamen für eine bestimmte IP-Adresse – anstatt zu versuchen, den zu verarbeiten
Anfrage, wenn dieser auf 1 gesetzt ist, gibt Deadwood vor, dass die betreffende IP-Adresse nicht vorhanden ist
ein Hostname.
Dies ist nützlich für Personen, die beim Versuch, eine auszuführen, langsame DNS-Zeitüberschreitungen bekommen
Reverse-DNS-Lookups für IPs.
Der Standardwert ist 0. Mit anderen Worten: PTR-Abfragen werden normal verarbeitet, sofern nicht
das ist eingestellt.
Auferstehungen
Wenn dies auf 1 gesetzt ist, versucht Deadwood, vor der Übergabe einen abgelaufenen Datensatz an den Benutzer zu senden
hoch. Wenn es 0 ist, tun wir es nicht. Standardwert: 1
root_servers
Dies ist eine Liste der Root-Server. seine Syntax ist identisch mit upstream_servers (siehe unten).
Dies ist die Art von DNS-Dienst, den beispielsweise ICANN ausführt. Dabei handelt es sich um Server, die dies tun
Geben Sie uns keine vollständigen Antworten auf DNS-Fragen, sondern teilen Sie uns lediglich mit, welche DNS-Server verwendet werden sollen
Verbinden Sie sich mit, um eine Antwort zu erhalten, die unserer gewünschten Antwort näher kommt.
Bitte beachten Sie, dass jeder root_servers-Eintrag Platz im Cache von Deadwood beansprucht
Maximum_cache_elements muss erhöht werden, um eine große Anzahl dieser Einträge zu speichern.
tcp_listen
Um DNS-over-TCP zu aktivieren, muss diese Variable festgelegt sein und den Wert 1 haben. Standardeinstellung
Wert: 0
timeout_seconds
So lange wird Deadwood warten, bevor es aufgibt und einen ausstehenden UDP-DNS verwirft
Antwort. Der Standardwert hierfür ist 1, also 1 Sekunde, es sei denn, Deadwood wurde mit kompiliert
FALLBACK_TIME aktiviert.
timeout_seconds_tcp
Wie lange soll auf eine inaktive TCP-Verbindung gewartet werden, bevor diese getrennt wird? Der Standardwert dafür
ist 4, also 4 Sekunden.
ttl_age
Ob TTL-Alterung aktiviert ist; ob die TTLs der Einträge im Cache auf den eingestellt sind
wie lange die Einträge noch im Cache verbleiben.
Wenn dieser den Wert 1 hat, sind TTL-Einträge veraltet. Ansonsten sind sie es nicht. Der Standard
Der Wert hierfür ist 1.
upstream_port
Dies ist der Port, den Deadwood verwendet, um eine Verbindung zu den Upstream-Servern herzustellen oder Pakete an diese zu senden. Der
Der Standardwert hierfür ist 53; der Standard-DNS-Port.
upstream_server
Dies ist eine Liste von DNS-Servern, die der Load Balancer zu kontaktieren versucht. Das ist ein
Wörterbuch Variable (Array, indiziert durch einen String statt durch eine Zahl) anstelle eines einfachen
Variable. Da upstream_servers eine Wörterbuchvariable ist, muss sie initialisiert werden
bevor es verwendet wird.
Deadwood sucht anhand des Namens des Hosts, auf dem es den Upstream-Server finden möchte
für und wird mit dem längsten Suffix abgeglichen, das gefunden werden kann.
Wenn beispielsweise jemand eine Anfrage nach „www.foo.example.com“ an Deadwood sendet, wird Deadwood dies tun
Überprüfen Sie zunächst, ob es eine upstream_servers-Variable für „www.foo.example.com“ gibt, und schauen Sie dann nach
für „foo.example.com.“ suchen Sie dann nach „example.com.“, dann nach „com.“ und schließlich nach „.“
Hier ist ein Beispiel für upstream_servers:
upstream_servers = {} # Wörterbuchvariable initialisieren
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
In diesem Beispiel wird alles, was auf „foo.example.com“ endet, vom DNS-Server unter aufgelöst
192.168.42.1; alles andere, was auf „example.com“ endet, wird durch 192.168.99.254 aufgelöst; Und
Alles, was nicht auf „example.com“ endet, wird entweder durch 10.1.2.3 oder 10.1.2.4 gelöst.
Wichtig: Der Domänenname, auf den upstream_servers verweist, muss mit einem „.“ enden. Charakter. Das ist
OK:
upstream_servers["example.com."] = "192.168.42.1"
Aber das ist nicht OK:
upstream_servers["example.com"] = "192.168.42.1"
Der Grund dafür liegt darin, dass BIND bei der Eingabe eines Hostnamens ein unerwartetes Verhalten zeigt
endet nicht mit einem Punkt, und durch das Erzwingen eines Punkts am Ende eines Hostnamens hat Deadwood dies auch nicht getan
um zu erraten, ob der Benutzer das Verhalten von BIND oder das „normale“ Verhalten wünscht.
Wenn weder root_servers noch upstream_servers festgelegt sind, legt Deadwood die zu verwendenden root_servers fest
die standardmäßigen ICANN-Root-Server wie folgt:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD-NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Ressourcen)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)
Diese Liste hat den Stand vom 9. Februar 2015 und wurde zuletzt am 3. Januar 2013 geändert.
Bitte beachten Sie, dass jeder upstream_servers-Eintrag Platz im Cache von Deadwood beansprucht
Maximum_cache_elements muss erhöht werden, um eine große Anzahl dieser Einträge zu speichern.
verbose_level
Dadurch wird bestimmt, wie viele Nachrichten in der Standardausgabe protokolliert werden. Größere Werte protokollieren mehr
Mitteilungen. Der Standardwert hierfür ist 3.
IP/Maske Format of IPs
Deadwood verwendet ein Standard-IP-/Netzmaskenformat zur Angabe von IPs. Eine IP wird im Punkt-Dezimal-Format angegeben
Format, z. B. „10.1.2.3“ (oder im IPv6-Format, wenn die IPv6-Unterstützung einkompiliert ist).
Die Netzmaske wird verwendet, um einen Bereich von IPs anzugeben. Die Netzmaske ist eine einzelne Zahl zwischen 1
und 32 (128, wenn IPv6-Unterstützung einkompiliert ist), was die Anzahl der führenden „1“ angibt.
Bits in der Netzmaske.
10.1.1.1/24 gibt an, dass jede IP von 10.1.1.0 bis 10.1.1.255 übereinstimmt.
10.2.3.4/16 gibt an, dass jede IP von 10.2.0.0 bis 10.2.255.255 übereinstimmt.
127.0.0.0/8 gibt an, dass jede IP mit „127“ als erstem Oktett (Nummer) übereinstimmt.
Die Netzmaske ist optional und zeigt, wenn sie nicht vorhanden ist, an, dass nur eine einzelne IP übereinstimmt.
DNS übrig TCP
DNS-over-TCP muss explizit aktiviert werden, indem tcp_listen auf 1 gesetzt wird.
Deadwood extrahiert nützliche Informationen aus UDP-DNS-Paketen, die fast als abgeschnitten markiert sind
macht DNS-over-TCP immer überflüssig. Allerdings speichert Deadwood keine DNS-Pakete zwischen
größer als 512 Bytes, die über TCP gesendet werden müssen. Darüber hinaus DNS-over-TCP
Pakete, die „unvollständige“ DNS-Antworten sind (Antworten, die ein Stub-Resolver nicht verwenden kann,
(bei denen es sich entweder um einen NS-Verweis oder eine unvollständige CNAME-Antwort handeln kann) werden nicht korrekt behandelt
von Deadwood.
Deadwood unterstützt sowohl DNS-over-UDP als auch DNS-over-TCP; derselbe Daemon lauscht mit
sowohl den UDP- als auch den TCP-DNS-Port.
Nur UDP-DNS-Anfragen werden zwischengespeichert. Deadwood unterstützt kein Caching über TCP; es geht
TCP, um die seltene abgeschnittene Antwort ohne nützliche Informationen aufzulösen oder damit zu arbeiten
sehr ungewöhnliche, nicht RFC-kompatible reine TCP-DNS-Resolver. In der realen Welt gilt DNS-over-TCP
fast nie benutzt.
Parsing Sonstiges Dateien
Es ist möglich, dass Deadwood beim Parsen der dwood3rc-Datei andere Dateien liest und
Analysieren Sie sie, als wären sie dwood3rc-Dateien.
Dies geschieht mit Exec-Datei. Um die Exec-Datei zu verwenden, fügen Sie eine Zeile wie diese in dwood3rc ein
Datei:
execfile("Pfad/zu/Dateiname")
Dabei ist path/to/filename der Pfad zu der Datei, die wie eine dwood3rc-Datei analysiert werden soll.
Alle Dateien müssen sich im oder unter dem Verzeichnis /etc/maradns/deadwood/execfile befinden. Dateinamen können
enthalten nur Kleinbuchstaben und den Unterstrich („_“). Absolute Pfade gibt es nicht
als Argument für execfile zulässig; Der Dateiname darf nicht mit einem Schrägstrich ("/") beginnen
Charakter.
Wenn in der Datei, auf die execfile verweist, ein Analysefehler auftritt, meldet Deadwood dies
Fehler, da er in der Zeile mit dem Befehl execfile in der Hauptdatei dwood3rc steht. Finden
Wenn in der Unterdatei ein Parse-Fehler vorliegt, verwenden Sie etwas wie „Deadwood -f
/etc/maradns/deadwood/execfile/filename“, um den Parse-Fehler in der betreffenden Datei zu finden,
Dabei ist „Dateiname“ die Datei, die per Exec-Datei analysiert werden soll.
IPV6 Support
Dieser Server kann optional auch so kompiliert werden, dass er IPv6-Unterstützung bietet. Um IPv6 zu aktivieren
Unterstützung, fügen Sie „-DIPV6“ zu den Flags zur Kompilierungszeit hinzu. Um dies beispielsweise zu kompilieren, um eine zu erstellen
kleine Binärdatei und um IPv6-Unterstützung zu haben:
export FLAGS='-Os -DIPV6'
um
SICHERHEIT
Deadwood ist ein Programm, das unter Berücksichtigung der Sicherheit geschrieben wurde.
Zusätzlich zur Verwendung einer Pufferüberlauf-resistenten String-Bibliothek sowie eines Codierungsstils und einer SQA
Deadwood verwendet einen starken Prozess, der auf Pufferüberläufe und Speicherlecks prüft
Pseudozufallszahlengenerator (die 32-Bit-Version von RadioGatun), um beides zu generieren
Abfrage-ID und Quellport. Damit der Zufallszahlengenerator sicher ist, benötigt Deadwood einen
gute Entropiequelle; Standardmäßig verwendet Deadwood /dev/urandom, um diese Entropie zu erhalten. Wenn
Wenn Sie sich auf einem System ohne /dev/urandom-Unterstützung befinden, ist es wichtig, dies sicherzustellen
Deadwood verfügt über eine gute Entropiequelle, sodass die Abfrage-ID und der Quellport schwer zu ermitteln sind
raten Sie mal (andernfalls ist es möglich, DNS-Pakete zu fälschen).
Die Windows-Portierung von Deadwood enthält ein Programm namens „mkSecretTxt.exe“, das eine erstellt
64-Byte (512 Bit) Zufallsdatei mit dem Namen „secret.txt“, die von Deadwood verwendet werden kann (über
Parameter „random_seed_file“); Deadwood erhält auch Entropie aus dem Zeitstempel, wenn Deadwood
gestartet wird, und die Prozess-ID-Nummer von Deadwood, daher ist es dasselbe, dieselbe statische Anzeige zu verwenden
Die Datei „secret.txt“ wird als „random_seed_file“ für mehrere Aufrufe von Deadwood verwendet.
Beachten Sie, dass Deadwood nicht davor geschützt ist, dass jemand im selben Netzwerk gesendete Pakete einsieht
von Deadwood und dem Versenden gefälschter Pakete als Antwort.
Um Deadwood vor bestimmten möglichen Denial-of-Service-Angriffen zu schützen, ist es am besten, wenn
Die Primzahl von Deadwood, die zum Hashen von Elementen im Cache verwendet wird, ist eine zufällige 31-Bit-Primzahl
Nummer. Das Programm RandomPrime.c generiert eine zufällige Primzahl, die in der Datei platziert wird
DwRandPrime.h, das immer dann neu generiert wird, wenn entweder das Programm kompiliert wird oder Dinge kompiliert werden
mit make clean aufgeräumt. Dieses Programm verwendet /dev/urandom für seine Entropie; die Datei
DwRandPrime.h wird auf Systemen ohne /dev/urandom nicht neu generiert.
Auf Systemen ohne direkte /dev/urandom-Unterstützung wird empfohlen, zu prüfen, ob eine vorhanden ist
Mögliche Möglichkeit, dem System ein funktionierendes /dev/urandom zu geben. Auf diese Weise, wenn Deadwood ist
Beim Kompilieren wird die Hash-Zauberzahl entsprechend zufällig sein.
Wenn Sie eine vorkompilierte Binärdatei von Deadwood verwenden, stellen Sie bitte sicher, dass das System über /dev/urandom verfügt
Unterstützung (auf Windows-Systemen stellen Sie bitte sicher, dass die Datei mit dem Namen Secret.txt ist
generiert durch das mitgelieferte Programm mkSecretTxt.exe); Deadwood verwendet zur Laufzeit
/dev/urandom (secret.txt in Windows) als fest codierter Pfad zum Abrufen der Entropie (zusammen mit
Zeitstempel) für den Hash-Algorithmus.
DÄMONISIERUNG
Deadwood verfügt über keine integrierten Dämonisierungsfunktionen; Dies wird von der erledigt
externes Programm Duende oder ein anderer Daemonizer.
Beispiel Konfiguration Datei
Hier ist ein Beispiel für eine dwood3rc-Konfigurationsdatei:
# Dies ist eine Beispiel-Deadwood-RC-Datei
# Beachten Sie, dass Kommentare mit dem Rautesymbol eingeleitet werden
bind_address="127.0.0.1" # IP, an die wir binden
# Die folgende Zeile wird durch Auskommentieren deaktiviert
#bind_address="::1" # Wir haben optionale IPv6-Unterstützung
# Verzeichnis, aus dem wir das Programm ausführen (wird in Win32 nicht verwendet)
chroot_dir = "/etc/maradns/deadwood"
# Die folgenden Upstream-DNS-Server stammen von Google
# (Stand Dezember 2009) öffentliche DNS-Server. Für
# Weitere Informationen finden Sie auf der Seite unter
# http://code.google.com/speed/public-dns/
#
# Wenn weder root_servers noch upstream_servers festgelegt sind,
# Deadwood verwendet die standardmäßigen ICANN-Root-Server.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Wer darf den Cache nutzen? Diese Linie
# erlaubt jedem mit „127.0“ als ersten beiden
# Ziffern ihrer IP, um Deadwood zu verwenden
recursive_acl = "127.0.0.1/16"
# Maximale Anzahl ausstehender Anfragen
maxprocs = 2048
# Bei Überlastung SERVER FAIL senden
handle_overload = 1
maradns_uid = 99 # UID Deadwood läuft als
maradns_gid = 99 # GID Deadwood läuft als
Maximum_cache_elements = 60000
# Wenn Sie den Cache von der Festplatte lesen und schreiben möchten,
# Stellen Sie sicher, dass das obige chroot_dir lesbar und beschreibbar ist
# durch die maradns_uid/gid oben und kommentieren Sie die aus
# folgende Zeile.
#cache_file = "dw_cache"
# Wenn Ihr Upstream-DNS-Server „nicht da“-DNS-Antworten umwandelt
# in IPs, dieser Parameter ermöglicht es Deadwood, jede Antwort umzuwandeln
# mit einer gegebenen IP zurück zu einer „nicht vorhandenen“ IP. Wenn eine der IPs
# unten aufgeführt sind in einer DNS-Antwort, Deadwood konvertiert die Antwort
# in ein „nicht da“
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Aus Sicherheitsgründen lässt Deadwood standardmäßig keine IPs zu
# die 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx oder 0.0.xx Bereich. Bei Verwendung von Deadwood
# Um Namen in einem internen Netzwerk aufzulösen, kommentieren Sie die aus
# folgende Zeile:
#filter_rfc1918 = 0
Nutzen Sie Deadwood online über die Dienste von onworks.net
