Este es el comando deadwood que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
deadwood: un solucionador de DNS de almacenamiento en caché completamente recursivo
DESCRIPCIÓN
Deadwood es una caché de DNS completamente recursiva. Este es un servidor DNS con las siguientes características:
* Soporte completo para la recursividad de DNS y el almacenamiento en caché de reenvío de DNS
* Tamaño pequeño y huella de memoria adecuada para sistemas integrados
* Código base simple y limpio
* Diseño seguro
* Protección contra falsificaciones: se utiliza criptografía sólida para determinar el ID de consulta y el puerto de origen
* Capacidad para leer y escribir el caché en un archivo
* Caché dinámico que elimina las entradas no utilizadas recientemente
* Posibilidad de utilizar entradas caducadas en la caché cuando es imposible contactar con el flujo ascendente
Servidores DNS.
* La compatibilidad con IPv6 se puede compilar si se desea
* Tanto DNS-over-UDP como DNS-over-TCP son manejados por el mismo demonio
* Funcionalidad dnswall incorporada
COMANDO LÍNEA ARGUMENTOS
Deadwood tiene un único argumento de línea de comando opcional: la ubicación de la configuración
archivo que usa Deadwood, especificado con la bandera "-f". Si esto no está definido, Deadwood
utiliza el archivo "/ etc / maradns / deadwood / dwood3rc" como archivo de configuración.
En otras palabras, invocar Deadwood como madera muerta hará que Deadwood utilice
/ etc / maradns / deadwood / dwood3rc como archivo de configuración; invocando Deadwood como madera muerta -f
Foobar hará que Deadwood use el archivo "foobar" en el directorio de trabajo actual (el
directorio en el que se encuentra al iniciar Deadwood) como el archivo de configuración.
CONFIGURACIÓN ARCHIVO FORMATO
El archivo de configuración de Deadwood se basa en la sintaxis de Python 2. Cualquier Deadwood válido
El archivo de configuración también debería analizar correctamente tanto en Python 2.4.3 como en Python 2.6.6. Si
cualquier archivo de configuración se analiza correctamente en Deadwood pero genera un error de sintaxis en
Python, este es un error que debería corregirse.
Teniendo esto en cuenta, los espacios en blanco son importantes; Los parámetros de Deadwood deben estar en el extremo izquierdo
columna sin espacios en blanco iniciales. Ésta es una línea válida (siempre que no haya espacios para
su izquierda):
recursive_acl = "127.0.0.1/16"
Sin embargo, la siguiente línea generará un error de análisis:
recursive_acl = "127.0.0.1/16"
Observe el espacio a la izquierda de la cadena "recusive_acl" en el formato incorrecto.
la línea.
PARÁMETRO TIPOS
Deadwood tiene tres tipos de parámetros diferentes:
* Parámetros numéricos. Los parámetros numéricos no deben estar entre comillas, como esta
ejemplo:
filtro_rfc1918 = 0
Si un parámetro numérico está entre comillas, el mensaje de error "Desconocido dwood3rc
parámetro de cadena "aparecerá.
* Parámetros de cadena. Los parámetros de cadena deben estar entre comillas, como en este
ejemplo:
bind_address = "127.0.0.1"
* Diccionario de parámetros. Todos los parámetros del diccionario deben inicializarse antes de su uso, y
Los parámetros del diccionario deben tener tanto el índice del diccionario como el valor de dicho índice.
entre comillas, como en este ejemplo:
servidores_upstream = {}
upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
Todos los parámetros de dwood3rc excepto los siguientes son parámetros numéricos:
* bind_address (cadena)
* cache_file (cadena)
* chroot_dir (cadena)
* ip_blacklist (cadena)
* ipv4_bind_addresses (cadena)
* archivo_seed_aleatorio (cadena)
* recursive_acl (cadena)
* root_servers (diccionario)
* upstream_servers (diccionario)
SOPORTADO PARÁMETROS
El archivo de configuración de Deadwood admite los siguientes parámetros:
dirección_vinculada
Esta es la dirección IP (o posiblemente IPv6) a la que nos vinculamos.
archivo_caché
Este es el nombre de archivo del archivo utilizado para leer y escribir el caché en el disco; esta
La cadena puede tener letras minúsculas, el símbolo '-', el símbolo '_' y el símbolo '/' (para
poner el caché en un subdirectorio). Todos los demás símbolos se convierten en un símbolo '_'.
Este archivo se lee y se escribe cuando el usuario se ejecuta Deadwood.
chroot_dir
Este es el directorio desde el que se ejecutará el programa.
entregar_todos
Esto afecta el comportamiento en Deadwood 2.3, pero no tiene ningún efecto en Deadwood 3. Esta variable es
solo aquí para que los archivos rc de Deadwood 2 puedan ejecutarse en Deadwood 3.
puerto_dns
Este es el puerto al que Deadwood se une y escucha las conexiones entrantes. El valor por defecto
El valor para esto es el puerto DNS estándar: puerto 53
filtro_rfc1918
Cuando tiene un valor de 1, no se permite que haya varios rangos de IP diferentes en el DNS A
responde:
* 192.168.xx
* 172. [16-31] .xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Si se detecta una de las direcciones IP anteriores en una respuesta de DNS y filter_rfc1918 tiene un valor de 1,
Deadwood devolverá una respuesta sintética "este host no responde" (un registro SOA en el
Sección NS) en lugar del registro A.
El motivo de esto es proporcionar un "dnswall" que proteja a los usuarios para algunos tipos de
ataques, como se describe en http://crypto.stanford.edu/dns/
Tenga en cuenta que Deadwood solo proporciona la funcionalidad "dnswall" IPv4 y no ayuda
proteger contra respuestas IPv6. Si se necesita protección contra ciertos registros AAAA IPv6,
deshabilite todas las respuestas AAAA configurando accept_aaaa para que tenga un valor de 1, o use un
programa externo para filtrar respuestas IPv4 no deseadas (como el programa dnswall).
El valor predeterminado para esto es 1
manejar_noreply
Cuando se establece en 0, Deadwood no envía ninguna respuesta al cliente (cuando el cliente es un
Cliente TCP, Deadwood cierra la conexión TCP) cuando se envía una consulta UDP en sentido ascendente y el
El DNS ascendente nunca envía una respuesta.
Cuando se establece en 1, Deadwood envía un SERVER FAIL de nuevo al cliente cuando se realiza una consulta UDP.
enviado en sentido ascendente y el DNS ascendente nunca envía una respuesta.
El valor predeterminado para esto es 1
manejar_sobrecarga
Cuando tiene un valor de 0, Deadwood no envía respuesta cuando se envía una consulta UDP y el
el servidor está sobrecargado (tiene demasiadas conexiones pendientes); cuando tiene un valor de 1,
Deadwood envía un paquete SERVER FAIL al remitente de la consulta UDP. El valor predeterminado
porque esto es 1.
número_mágico_hash
Esto solía usarse para el generador de hash interno de Deadwood para mantener el generador de hash
algo aleatorio e inmune a ciertos tipos de ataques. En Deadwood 3.0, la entropía para el
La función hash se crea mirando el contenido de / dev / urandom (secret.txt en Windows
máquinas) y la marca de tiempo actual. Este parámetro solo está aquí, por lo que la configuración anterior
los archivos no se rompen en Deadwood 3.0.
ip_lista negra
Esta es una lista de direcciones IP que no permitimos que estén en la respuesta a una solicitud de DNS. los
El motivo de esto es contrarrestar la práctica que tienen algunos ISP de convertir un "este sitio
no existe "respuesta DNS en una página controlada por el ISP; esto da como resultado una posible
temas de seguridad.
Este parámetro solo acepta IP individuales y no usa máscaras de red.
maradns_uid
El identificador de usuario Deadwood se ejecuta como. Puede ser cualquier número entre 10 y 65535; el valor por defecto
el valor es 99 (nadie en distribuciones de Linux derivadas de RedHat). Este valor no se usa en
Sistemas Windows.
maradns_gid
El identificador de grupo Deadwood se ejecuta como. Puede ser cualquier número entre 10 y 65535; el valor por defecto
el valor es 99. Este valor no se utiliza en sistemas Windows.
max_ar_cadena
Si la rotación de registros de recursos está habilitada. Si tiene un valor de 1, registro de recursos
la rotación está habilitada; de lo contrario, la rotación de registros de recursos está deshabilitada.
La rotación de registros de recursos suele ser deseable, ya que permite que el DNS actúe como un burdo
equilibrador de carga. Sin embargo, en sistemas muy cargados, puede ser conveniente deshabilitarlo para
reducir el uso de la CPU.
El motivo del nombre inusual de esta variable es mantener la compatibilidad con MaraDNS
archivos mararc.
El valor predeterminado es 1: Rotación de registros de recursos habilitada.
max_invuelos
El número máximo de clientes simultáneos que procesamos al mismo tiempo para la misma consulta.
Si, mientras procesa una consulta para, digamos, "example.com.", Otro cliente DNS envía a
Deadwood otra consulta para example.com, en lugar de crear una nueva consulta para procesar
example.com, Deadwood adjuntará el nuevo cliente a la misma consulta que ya está "en
vuelo ", y enviar una respuesta a ambos clientes una vez que tengamos una respuesta para example.com.
Este es el número de clientes simultáneos que puede tener una consulta determinada. Si este límite es
excedido, los clientes subsiguientes con la misma consulta se rechazan hasta que se encuentra una respuesta. Si
esto tiene un valor de 1, no fusionamos varias solicitudes para la misma consulta, pero damos a cada
solicitar su propia conexión.
El valor predeterminado es 8.
max_ttl
La cantidad máxima de tiempo que mantendremos una entrada en la caché, en segundos (también llamado
"TTL máximo").
Este es el tiempo más largo que mantendremos una entrada en caché. El valor predeterminado para este parámetro es
86400 (un día); el valor mínimo es 300 (5 minutos) y el valor máximo que puede tener
es 7776000 (90 días).
La razón por la que este parámetro está aquí es para proteger Deadwood de ataques que explotan
hay datos obsoletos en la caché, como el ataque "Nombres de dominio fantasma".
elementos_caché_máximos
El número máximo de elementos que puede tener nuestra caché. Este es un número entre 32
y 16,777,216; el valor predeterminado para esto es 1024. Tenga en cuenta que, si escribe la caché en
disco o leyendo el caché del disco, valores más altos de esto ralentizarán el caché
leyendo escribiendo.
La cantidad de memoria que utiliza cada entrada de caché es variable según el sistema operativo
utilizado y el tamaño de las páginas de asignación de memoria asignadas. En Windows XP, por ejemplo, cada
La entrada utiliza aproximadamente cuatro kilobytes de memoria y Deadwood tiene una sobrecarga de
aproximadamente 512 kilobytes. Entonces, si hay 512 elementos de caché, Deadwood usa
aproximadamente 2.5 megabytes de memoria, y si hay 1024 elementos de caché, Deadwood usa
aproximadamente 4.5 megabytes de memoria. Nuevamente, estos números son para Windows XP y otros
Los sistemas operativos tendrán diferentes números de asignación de memoria.
Tenga en cuenta que cada entrada root_servers y upstream_servers ocupa espacio en Deadwood
caché y que maximum_cache_elements deberá aumentarse para almacenar una gran cantidad de
estas entradas.
maxprocs
Este es el número máximo de conexiones UDP remotas pendientes que puede tener Deadwood. los
el valor predeterminado para esto es 1024.
max_tcp_procs
Este es el número de conexiones TCP abiertas permitidas. Valor predeterminado: 8
num_intentos
La cantidad de veces que intentamos enviar una consulta en sentido ascendente antes de darnos por vencidos. Si esto es 0, nosotros
solo intente una vez; si es 1, lo intentamos dos veces, y así sucesivamente, hasta 32 reintentos. Tenga en cuenta que cada
reintentar toma timeout_seconds segundos antes de volver a intentarlo. Valor predeterminado: 5
ns_tipo_sin_pegamento
El tipo de RR que enviamos para resolver registros sin cola. Debe ser 1 (A) cuando se usa principalmente
IPv4 para resolver registros. Si los registros NS sin cola tienen registros AAAA pero no A, e IPv6 es
habilitado, puede tener sentido darle un valor de 255 (CUALQUIERA). Si IPv4 deja de ser
utilizado a gran escala, eventualmente puede ser posible hacer que esto tenga un valor de 28
(AAAA).
El valor predeterminado es 1: un registro A (IPv4). Este parámetro tiene no ha sido probado; usar en
tu propio riesgo
archivo_seed_aleatorio
Este es un archivo que contiene números aleatorios y se utiliza como semilla para
generador de números aleatorios criptográficamente fuerte. Deadwood intentará leer 256 bytes
de este archivo (los usos de RNG Deadwood pueden aceptar una secuencia de cualquier longitud arbitraria).
Tenga en cuenta que la función de compresión hash obtiene parte de su entropía antes de analizar el
mararc, y está codificado para obtener entropía de / dev / urandom (secret.txt en Windows
sistemas). La mayor parte de la otra entropía utilizada por Deadwood proviene del archivo al que apunta
archivo_semilla_aleatoria.
recurse_min_bind_port
El puerto con el número más bajo al que Deadwood puede enlazar; este es un número de puerto aleatorio usado
para el puerto de origen de las consultas salientes, y no es 53 (consulte dns_port más arriba). Esto es un
número entre 1025 y 32767, y tiene un valor predeterminado de 15000. Esto se utiliza para hacer DNS
ataques de suplantación de identidad más difíciles.
puertos_de_numero_recursivo
El número de puertos a los que Deadwood se une para el puerto de origen de las conexiones salientes; esta
es una potencia de 2 entre 256 y 32768. Se utiliza para hacer que los ataques de suplantación de DNS sean más
difícil. El valor predeterminado es 4096.
recursivo_acl
Esta es una lista de quiénes pueden usar Deadwood para realizar la recursividad de DNS, en "ip / mask"
formato. La máscara debe ser un número entre 0 y 32 (para IPv6, entre 0 y 128). Por ejemplo,
"127.0.0.1/8" permite conexiones locales.
rechazar_aaaa
Si tiene un valor de 1, se envía una falsa respuesta SOA "no existe" cada vez que se realiza una consulta AAAA.
enviado a Deadwood. En otras palabras, cada vez que un programa solicita a Deadwood una IP IPv6
dirección, en lugar de intentar procesar la solicitud, cuando se establece en 1, Deadwood
pretende que el nombre de host en cuestión no tiene una dirección IPv6.
Esto es útil para las personas que no usan IPv6 pero usan aplicaciones (generalmente el comando * NIX
como aplicaciones como "telnet") que ralentizan las cosas al intentar encontrar una dirección IPv6.
Tiene un valor predeterminado de 0. En otras palabras, las consultas AAAA se procesan normalmente a menos que
esto está configurado.
rechazar_mx
Cuando tiene el valor predeterminado de 1, las consultas MX se eliminan silenciosamente con su IP
registrado. Una consulta MX es una consulta que solo realiza una máquina si desea ser propia
servidor de correo que envía correo a máquinas en Internet. Esta es una consulta de un escritorio promedio.
máquina (incluida una que usa Outlook u otro agente de usuario de correo para leer y enviar
correo electrónico) nunca hará.
Lo más probable es que, si una máquina está intentando realizar una consulta MX, la máquina esté siendo controlada por
una fuente remota para enviar correo electrónico "spam" no deseado. Esto en mente, Deadwood no permitirá
Consultas MX que se realizarán a menos que accept_mx se establezca explícitamente con un valor de 0.
Antes de deshabilitar esto, tenga en cuenta que Deadwood está optimizado para su uso en la web.
navegar, no como un servidor DNS para un concentrador de correo. En particular, las IP de los registros MX son
eliminado de las respuestas de Deadwood y Deadwood necesita realizar consultas DNS adicionales para
obtener las direcciones IP correspondientes a los registros MX, y las pruebas de Deadwood están más orientadas a la web
navegar (casi el 100% de una búsqueda de registros) y no para la entrega de correo (registro MX extenso
buscar).
rechazar_ptr
Si tiene un valor de 1, se envía una falsa respuesta SOA "no está" cada vez que se realiza una consulta PTR.
enviado a Deadwood. En otras palabras, cada vez que un programa solicita a Deadwood "DNS inverso
lookup ", el nombre de host de una dirección IP determinada, en lugar de intentar procesar el
solicitud, cuando se establece en 1, Deadwood finge que la dirección IP en cuestión no tiene
un nombre de host.
Esto es útil para las personas que obtienen tiempos de espera de DNS lentos cuando intentan realizar una
búsquedas de DNS inversas en direcciones IP.
Tiene un valor predeterminado de 0. En otras palabras, las consultas PTR se procesan normalmente a menos que
esto está configurado.
resurrecciones
Si se establece en 1, Deadwood intentará enviar un registro caducado al usuario antes de dar
hasta. Si es 0, no lo hacemos. Valor predeterminado: 1
servidores_raíz
Ésta es una lista de servidores raíz; su sintaxis es idéntica a upstream_servers (ver más abajo).
Este es el tipo de servicio DNS que ICANN, por ejemplo, ejecuta. Estos son servidores utilizados que no
no darnos respuestas completas a las preguntas sobre el DNS, sino simplemente decirnos qué servidores DNS
conéctese para obtener una respuesta más cercana a nuestra respuesta deseada.
Tenga en cuenta que cada entrada de root_servers ocupa espacio en la caché de Deadwood y que
Es necesario aumentar los elementos_caché_máximos para almacenar una gran cantidad de estas entradas.
tcp_escuchar
Para habilitar DNS sobre TCP, esta variable debe estar configurada y tener un valor de 1. Predeterminado
valor: 0
tiempo de espera_segundos
Este es el tiempo que Deadwood esperará antes de darse por vencido y descartar un UDP DNS pendiente
respuesta. El valor predeterminado para esto es 1, como en 1 segundo, a menos que Deadwood se haya compilado con
FALLBACK_TIME habilitado.
tiempo de espera_segundos_tcp
Cuánto tiempo esperar en una conexión TCP inactiva antes de desconectarla. El valor predeterminado para esto
es 4, como en 4 segundos.
edad_ttl
Si el envejecimiento TTL está habilitado; si las entradas en la caché tienen sus TTL configurados para ser el
cantidad de tiempo que quedan las entradas en la caché.
Si tiene un valor de 1, las entradas TTL están envejecidas. De lo contrario, no lo son. El valor por defecto
el valor para esto es 1.
puerto_ascendente
Este es el puerto que usa Deadwood para conectarse o enviar paquetes a los servidores ascendentes. los
el valor predeterminado para esto es 53; el puerto DNS estándar.
servidores_upstream
Esta es una lista de servidores DNS con los que el equilibrador de carga intentará contactar. Esto es un
diccionario variable (matriz indexada por una cadena en lugar de por un número) en lugar de un simple
variable. Dado que upstream_servers es una variable de diccionario, debe inicializarse
antes de ser utilizado.
Deadwood buscará el nombre del host que está tratando de encontrar en el servidor ascendente.
para, y coincidirá con el sufijo más largo que pueda encontrar.
Por ejemplo, si alguien envía una consulta para "www.foo.example.com" a Deadwood, Deadwood
primero vea si hay una variable upstream_servers para "www.foo.example.com.", luego busque
para "foo.example.com.", luego busque "example.com.", luego "com." y finalmente ".".
Aquí hay un ejemplo de upstream_servers:
upstream_servers = {} # Inicializar variable de diccionario
upstream_servers ["foo.example.com."] = "192.168.42.1"
upstream_servers ["example.com."] = "192.168.99.254"
upstream_servers ["."] = "10.1.2.3, 10.1.2.4"
En este ejemplo, todo lo que termine en "foo.example.com" lo resuelve el servidor DNS en
192.168.42.1; cualquier otra cosa que termine en "example.com" se resuelve mediante 192.168.99.254; y
Todo lo que no termine en "example.com" se resuelve mediante 10.1.2.3 o 10.1.2.4.
Importante: el nombre de dominio al que apunta upstream_servers debe terminar en "." personaje. Este es
Aceptar:
upstream_servers ["example.com."] = "192.168.42.1"
Pero esto es no Aceptar:
upstream_servers ["example.com"] = "192.168.42.1"
La razón de esto es que BIND tiene un comportamiento inesperado cuando un nombre de host
no termina en un punto, y al forzar un punto al final de un nombre de host, Deadwood no tiene
para adivinar si el usuario quiere el comportamiento de BIND o el comportamiento "normal".
Si no se configuran root_servers ni upstream_servers, Deadwood configura root_servers para usar
los servidores raíz predeterminados de ICANN, de la siguiente manera:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Consistente)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (NIC del DOD)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (ANCHO)
Esta lista está actualizada al 9 de febrero de 2015 y se modificó por última vez el 3 de enero de 2013.
Tenga en cuenta que cada entrada de upstream_servers ocupa espacio en la caché de Deadwood y que
Es necesario aumentar los elementos_caché_máximos para almacenar una gran cantidad de estas entradas.
nivel_detallado
Esto determina cuántos mensajes se registran en la salida estándar; valores mayores log más
mensajes. El valor predeterminado para esto es 3.
ip / máscara formato of IPs
Deadwood utiliza formatos estándar de ip / netmask para especificar IP. Una ip está en decimal con puntos
formato, por ejemplo, "10.1.2.3" (o en formato IPv6 cuando se compila la compatibilidad con IPv6).
La máscara de red se utiliza para especificar un rango de direcciones IP. La máscara de red es un número único entre 1
y 32 (128 cuando se compila la compatibilidad con IPv6), que indica la cantidad de "1" iniciales
bits en la máscara de red.
10.1.1.1/24 indica que cualquier ip de 10.1.1.0 a 10.1.1.255 coincidirá.
10.2.3.4/16 indica que cualquier ip de 10.2.0.0 a 10.2.255.255 coincidirá.
127.0.0.0/8 indica que cualquier ip con "127" como primer octeto (número) coincidirá.
La máscara de red es opcional y, si no está presente, indica que solo una IP coincidirá.
DNS Más de TCP
El DNS sobre TCP debe habilitarse explícitamente configurando tcp_listen en 1.
Deadwood extrae información útil de los paquetes UDP DNS marcados como truncados que casi
siempre elimina la necesidad de tener DNS sobre TCP. Sin embargo, Deadwood no almacena en caché los paquetes DNS
de tamaño superior a 512 bytes que deben enviarse mediante TCP. Además, DNS sobre TCP
paquetes que son respuestas DNS "incompletas" (respuestas que un solucionador de stub no puede usar,
que pueden ser una referencia de NS o una respuesta CNAME incompleta) no se manejan correctamente
por Deadwood.
Deadwood tiene soporte para DNS-over-UDP y DNS-over-TCP; el mismo demonio escucha
tanto el puerto DNS UDP como el TCP.
Solo se almacenan en caché las consultas UDP DNS. Deadwood no admite el almacenamiento en caché a través de TCP; lo maneja
TCP para resolver la respuesta truncada rara sin ninguna información útil o para trabajar
solucionadores de DNS solo TCP que no cumplen con RFC y son muy infrecuentes. En el mundo real, DNS sobre TCP es
casi nunca se usa.
Parsing otros archivos
Es posible que Deadwood, mientras analiza el archivo dwood3rc, lea otros archivos y
analizarlos como si fueran archivos dwood3rc.
Esto se hace usando archivo ejecutable. Para usar execfile, coloque una línea como esta en el dwood3rc
archivo:
execfile ("ruta / a / nombre de archivo")
Donde ruta / a / nombre de archivo es la ruta al archivo que se analizará como un archivo dwood3rc.
Todos los archivos deben estar en o bajo el directorio / etc / maradns / deadwood / execfile. Los nombres de archivo pueden
solo tienen letras minúsculas y el carácter de subrayado ("_"). Los caminos absolutos no son
permitido como argumento para execfile; el nombre del archivo no puede comenzar con una barra ("/")
carácter.
Si hay un error de análisis en el archivo apuntado por execfile, Deadwood informará el
error por estar en la línea con el comando execfile en el archivo principal dwood3rc. Encontrar
donde hay un error de análisis en el subarchivo, use algo como "Deadwood -f
/ etc / maradns / deadwood / execfile / filename "para encontrar el error de análisis en el archivo ofensivo,
donde "nombre de archivo" es el archivo que se analizará mediante execfile.
IPV6 SOPORTE
Este servidor también se puede compilar opcionalmente para que sea compatible con IPv6. Para habilitar IPv6
soporte, agregue '-DIPV6' a los indicadores de tiempo de compilación. Por ejemplo, para compilar esto para hacer un
binario pequeño y tener soporte para IPv6:
exportar BANDERAS = '- Os -DIPV6'
para lograr
SEGURIDAD
Deadwood es un programa escrito pensando en la seguridad.
Además de utilizar una biblioteca de cadenas resistente al desbordamiento del búfer y un estilo de codificación y SQA
proceso que comprueba si hay desbordamientos de búfer y fugas de memoria, Deadwood utiliza un fuerte
generador de números pseudoaleatorios (la versión de 32 bits de RadioGatun) para generar tanto el
ID de consulta y puerto de origen. Para que el generador de números aleatorios sea seguro, Deadwood necesita un
buena fuente de entropía; por defecto, Deadwood usará / dev / urandom para obtener esta entropía. Si
está en un sistema sin soporte / dev / urandom, es importante asegurarse de que
Deadwood tiene una buena fuente de entropía, por lo que el ID de consulta y el puerto de origen son difíciles de identificar.
adivinar (de lo contrario, es posible falsificar paquetes DNS).
El puerto de Windows de Deadwood incluye un programa llamado "mkSecretTxt.exe" que crea un
Archivo aleatorio de 64 bytes (512 bits) llamado "secret.txt" que puede ser utilizado por Deadwood (a través del
parámetro "random_seed_file"); Deadwood también obtiene entropía de la marca de tiempo cuando Deadwood
se inicia y el número de identificación del proceso de Deadwood, por lo que es lo mismo usar la misma
secret.txt como el archivo random_seed_file para múltiples invocaciones de Deadwood.
Tenga en cuenta que Deadwood no está protegido de que alguien en la misma red vea los paquetes enviados
por Deadwood y enviando paquetes falsificados como respuesta.
Para proteger Deadwood de ciertos posibles ataques de denegación de servicio, es mejor si
El número primo de Deadwood utilizado para hash de elementos en la caché es un primo aleatorio de 31 bits
número. El programa RandomPrime.c genera un primo aleatorio que se coloca en el archivo
DwRandPrime.h que se regenera cada vez que se compila el programa o se
limpiado con make clean. Este programa usa / dev / urandom para su entropía; el archivo
DwRandPrime.h no se regenerará en sistemas sin / dev / urandom.
En sistemas sin soporte directo / dev / urandom, se sugiere ver si hay un
posible forma de darle al sistema un / dev / urandom funcional. De esta manera, cuando Deadwood es
compilado, el número mágico de hash será convenientemente aleatorio.
Si utiliza un binario precompilado de Deadwood, asegúrese de que el sistema tenga / dev / urandom
soporte (en el sistema Windows, asegúrese de que el archivo con el nombre secret.txt sea
generado por el programa mkSecretTxt.exe incluido); Deadwood, en tiempo de ejecución, usa
/ dev / urandom (secret.txt en Windows) como una ruta codificada para obtener entropía (junto con el
marca de tiempo) para el algoritmo hash.
DAEMONIZACIÓN
Deadwood no tiene ninguna función de demonización incorporada; esto es manejado por el
programa externo Duende o cualquier otro daemonizer.
Ejemplo configuración presentar
Aquí hay un ejemplo de archivo de configuración de dwood3rc:
# Este es un ejemplo de archivo rc deadwood
# Tenga en cuenta que los comentarios comienzan con el símbolo de almohadilla
bind_address = "127.0.0.1" # IP a la que nos vinculamos
# La siguiente línea está deshabilitada al ser comentada
#bind_address = ":: 1" # Tenemos soporte opcional IPv6
# Directorio desde el que ejecutamos el programa (no se usa en Win32)
chroot_dir = "/ etc / maradns / deadwood"
# Los siguientes servidores DNS ascendentes son de Google
# (a diciembre de 2009) servidores DNS públicos. Para
# más información, consulte la página en
# http://code.google.com/speed/public-dns/
#
# Si no se configuran root_servers ni upstream_servers,
# Deadwood utilizará los servidores raíz predeterminados de la ICANN.
#servidores_ascendentes = {}
#upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
# Quién puede usar la caché. Esta línea
# permite a cualquiera con "127.0" como los dos primeros
# dígitos de su IP para usar Deadwood
recursive_acl = "127.0.0.1/16"
# Número máximo de solicitudes pendientes
procesos máximos = 2048
# Enviar SERVER FAIL cuando está sobrecargado
manejar_sobrecarga = 1
maradns_uid = 99 # UID Deadwood se ejecuta como
maradns_gid = 99 # GID Deadwood se ejecuta como
elementos_caché_máximos = 60000
# Si desea leer y escribir la caché desde el disco,
# asegúrese de que el chroot_dir anterior sea legible y escribible
# por el maradns_uid / gid anterior, y descomente el
# línea siguiente.
#cache_file = "dw_cache"
# Si su servidor DNS ascendente convierte respuestas DNS "no existen"
# en IP, este parámetro permite a Deadwood convertir cualquier respuesta
# con una IP dada de vuelta a una IP "no allí". Si alguna de las IP
# enumerados a continuación están en una respuesta de DNS, Deadwood convierte la respuesta
# en un "no allí"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# De forma predeterminada, por razones de seguridad, Deadwood no permite direcciones IP en
# el 192.168.xx, 172. [16-31] .xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx o 0.0.xx rango. Si usa Deadwood
# para resolver nombres en una red interna, descomente el
# siguiente línea:
# filter_rfc1918 = 0
Use deadwood en línea usando los servicios de onworks.net
