bois mort - En ligne dans le Cloud

PROGRAMME:

Nom

deadwood - Un résolveur DNS de mise en cache entièrement récursif

DESCRIPTION

Deadwood est un cache DNS entièrement récursif. Il s'agit d'un serveur DNS avec les fonctionnalités suivantes :

* Prise en charge complète de la récursivité DNS et de la mise en cache du transfert DNS

* Petite taille et empreinte mémoire adaptées aux systèmes embarqués

* Base de code simple et propre

* Conception sécurisée

* Protection contre l'usurpation : cryptographie forte utilisée pour déterminer l'ID de la requête et le port source

* Possibilité de lire et d'écrire le cache dans un fichier

* Cache dynamique qui supprime les entrées non utilisées récemment

* Possibilité d'utiliser des entrées expirées dans le cache lorsqu'il est impossible de contacter en amont
Serveurs DNS.

* Le support IPv6 peut être compilé si vous le souhaitez

* DNS-over-UDP et DNS-over-TCP sont gérés par le même démon

* Fonctionnalité dnswall intégrée

COMMAND LINE ARGUMENTS

Deadwood a un seul argument de ligne de commande facultatif : l'emplacement de la configuration
fichier que Deadwood utilise, spécifié avec l'indicateur "-f". Si cela n'est pas défini, Deadwood
utilise le fichier "/etc/maradns/deadwood/dwood3rc" comme fichier de configuration.

En d'autres termes, invoquer Deadwood comme bois morts provoquera l'utilisation de Deadwood
/etc/maradns/deadwood/dwood3rc comme fichier de configuration ; invoquer Deadwood comme bois morts -f
Foobar amènera Deadwood à utiliser le fichier "foobar" dans le répertoire de travail courant (le
répertoire un lors du démarrage de Deadwood) comme fichier de configuration.

CONFIGURATION DOSSIER Format

Le fichier de configuration Deadwood est calqué sur la syntaxe de Python 2. Tout bois mort valide
Le fichier de configuration doit également être correctement analysé dans Python 2.4.3 et Python 2.6.6. Si
tout fichier de configuration est correctement analysé dans Deadwood mais génère une erreur de syntaxe dans
Python, c'est un bug qui devrait être corrigé.

Ceci à l'esprit, les espaces blancs sont importants ; Les paramètres Deadwood doivent être à l'extrême gauche
colonne sans espace au début. Ceci est une ligne valide (tant qu'il n'y a pas d'espaces à
sa gauche):

recursive_acl = "127.0.0.1/16"

Cependant, la ligne suivante générera une erreur d'analyse :

recursive_acl = "127.0.0.1/16"

Observez l'espace à gauche de la chaîne "recusive_acl" dans le format incorrect
ligne.

PARAMÈTRE TYPES

Deadwood a trois types de paramètres différents :

* Paramètres numériques. Les paramètres numériques ne doivent pas être entourés de guillemets, comme celui-ci
Exemple:

filtre_rfc1918 = 0

Si un paramètre numérique est entouré de guillemets, le message d'erreur "Unknown dwood3rc
paramètre de chaîne" apparaîtra.

* Paramètres de chaîne. Les paramètres de chaîne doivent être entourés de guillemets, comme dans ce
Exemple:

bind_address = "127.0.0.1"

* Paramètres du dictionnaire. Tous les paramètres du dictionnaire doivent être initialisés avant utilisation, et
les paramètres du dictionnaire doivent avoir à la fois l'index du dictionnaire et la valeur dudit index
entouré de guillemets, comme dans cet exemple :

serveurs_amont = {}
serveurs_amont["."]="8.8.8.8, 8.8.4.4"

Tous les paramètres dwood3rc sauf les paramètres suivants sont numériques :

* bind_address (chaîne)

* fichier_cache (chaîne)

* chroot_dir (chaîne)

* ip_blacklist (chaîne)

* ipv4_bind_addresses (chaîne)

* random_seed_file (chaîne)

* recursive_acl (chaîne)

* root_servers (dictionnaire)

* amont_serveurs (dictionnaire)

PRISE EN CHARGE PARAMETRES

Le fichier de configuration Deadwood prend en charge les paramètres suivants :

adresse_liée

Il s'agit de l'adresse IP (ou éventuellement IPv6) à laquelle nous nous lions.

fichier_cache

Il s'agit du nom de fichier du fichier utilisé pour lire et écrire le cache sur le disque ; cette
chaîne peut avoir des lettres minuscules, le symbole '-', le symbole '_' et le symbole '/' (pour
mettre le cache dans un sous-répertoire). Tous les autres symboles deviennent un symbole '_'.

Ce fichier est lu et écrit par l'utilisateur sous lequel Deadwood s'exécute.

chroot_dir

Il s'agit du répertoire à partir duquel le programme s'exécutera.

livrer_tout

Cela affecte le comportement dans Deadwood 2.3, mais n'a aucun effet dans Deadwood 3. Cette variable est
seulement ici pour que les fichiers rc de Deadwood 2 puissent s'exécuter dans Deadwood 3.

port_dns

Il s'agit du port auquel Deadwood se lie et écoute les connexions entrantes. Le défaut
la valeur pour ceci est le port DNS standard : port 53

filtre_rfc1918

Lorsque cela a une valeur de 1, un certain nombre de plages d'adresses IP différentes ne sont pas autorisées à être dans DNS A
réponses:

* 192.168.xx

* 172.[16-31].xx

* 10.xxx

* 127.xxx

* 169.254.xx

* 224.xxx

* 0.0.xx

Si l'une des adresses IP ci-dessus est détectée dans une réponse DNS et que filter_rfc1918 a la valeur 1,
Deadwood renverra une réponse synthétique "cet hôte ne répond pas" (un enregistrement SOA dans le
section NS) au lieu de l'enregistrement A.

La raison en est de fournir un "dnswall" qui protège les utilisateurs pour certains types de
attaques, comme décrit à http://crypto.stanford.edu/dns/

Veuillez noter que Deadwood ne fournit que la fonctionnalité IPv4 "dnswall" et n'aide pas
protéger contre les réponses IPv6. Si une protection contre certains enregistrements IPv6 AAAA est nécessaire,
soit désactiver toutes les réponses AAAA en définissant rejet_aaaa pour avoir une valeur de 1, ou utiliser un
programme externe pour filtrer les réponses IPv4 indésirables (comme le programme dnswall).

La valeur par défaut pour ceci est 1

handle_noreply

Lorsqu'il est défini sur 0, Deadwood ne renvoie aucune réponse au client (lorsque le client est un
client TCP, Deadwood ferme la connexion TCP) lorsqu'une requête UDP est envoyée en amont et que le
DNS en amont n'envoie jamais de réponse.

Lorsqu'il est défini sur 1, Deadwood renvoie un SERVER FAIL au client lorsqu'une requête UDP est
envoyé en amont et le DNS en amont n'envoie jamais de réponse.

La valeur par défaut pour ceci est 1

handle_overload

Lorsque cela a une valeur de 0, Deadwood n'envoie aucune réponse lorsqu'une requête UDP est envoyée et le
le serveur est surchargé (a trop de connexions en attente) ; quand il vaut 1,
Deadwood renvoie un paquet SERVER FAIL à l'expéditeur de la requête UDP. La valeur par défaut
car c'est 1.

hash_magic_number

Ceci était utilisé pour le générateur de hachage interne de Deadwood pour garder le générateur de hachage
quelque peu aléatoire et immunisé contre certains types d'attaques. Dans Deadwood 3.0, l'entropie pour le
la fonction de hachage est créée en regardant le contenu de /dev/urandom (secret.txt sous Windows
machines) et l'horodatage actuel. Ce paramètre n'est ici que si ancienne configuration
les fichiers ne se cassent pas dans Deadwood 3.0.

ip_listenoire

Il s'agit d'une liste d'adresses IP que nous n'autorisons pas à figurer dans la réponse à une requête DNS. Les
La raison en est de contrecarrer la pratique de certains FAI de convertir un "ce site
n'existe pas" réponse DNS dans une page contrôlée par le FAI ; cela entraîne une éventuelle
les problèmes de sécurité.

Ce paramètre accepte uniquement les adresses IP individuelles et n'utilise pas de masques de réseau.

maradns_uid

L'ID utilisateur Deadwood s'exécute en tant que. Il peut s'agir de n'importe quel nombre compris entre 10 et 65535 ; le défaut
la valeur est 99 (personne sur les distributions Linux dérivées de RedHat). Cette valeur n'est pas utilisée sur
Systèmes Windows.

maradns_gid

L'identifiant de groupe Deadwood s'exécute comme. Il peut s'agir de n'importe quel nombre compris entre 10 et 65535 ; le défaut
la valeur est 99. Cette valeur n'est pas utilisée sur les systèmes Windows.

max_ar_chain

Si la rotation des enregistrements de ressources est activée. Si cela a une valeur de 1, enregistrement de ressource
la rotation est activée, sinon la rotation des enregistrements de ressources est désactivée.

La rotation des enregistrements de ressources est généralement souhaitable, car elle permet au DNS d'agir comme un
équilibreur de charge. Cependant, sur les systèmes fortement chargés, il peut être souhaitable de le désactiver pour
réduire l'utilisation du processeur.

La raison du nom inhabituel de cette variable est de conserver la compatibilité avec MaraDNS
fichiers mararc.

La valeur par défaut est 1 : Rotation des enregistrements de ressources activée.

max_flights

Le nombre maximum de clients simultanés que nous traitons en même temps pour la même requête.

Si, lors du traitement d'une requête pour, disons, "example.com.", un autre client DNS envoie à
Deadwood une autre requête pour example.com, au lieu de créer une nouvelle requête à traiter
example.com, Deadwood attachera le nouveau client à la même requête qui est déjà "dans
flight", et envoyer une réponse aux deux clients une fois que nous avons une réponse pour example.com.

Il s'agit du nombre de clients simultanés qu'une requête donnée peut avoir. Si cette limite est
dépassé, les clients suivants avec la même requête sont refusés jusqu'à ce qu'une réponse soit trouvée. Si
cela a une valeur de 1, nous ne fusionnons pas plusieurs requêtes pour la même requête, mais donnons à chacune
demander sa propre connexion.

La valeur par défaut est 8.

max_ttl

La durée maximale pendant laquelle nous conserverons une entrée dans le cache, en secondes (également appelée
« TTL maximum »).

C'est le plus longtemps que nous garderons une entrée en cache. La valeur par défaut de ce paramètre est
86400 (un jour); la valeur minimale est 300 (5 minutes) et la valeur maximale que cela peut avoir
est 7776000 (90 jours).

La raison pour laquelle ce paramètre est là est de protéger Deadwood des attaques qui exploitent
il y a des données obsolètes dans le cache, comme l'attaque "Ghost Domain Names".

maximum_cache_elements

Le nombre maximum d'éléments que notre cache est autorisé à avoir. C'est un nombre entre 32
et 16,777,216 1024 XNUMX ; la valeur par défaut est XNUMX. Notez que, si vous écrivez le cache dans
disque ou en lisant le cache à partir du disque, des valeurs plus élevées ralentiront le cache
lecture écriture.

La quantité de mémoire utilisée par chaque entrée de cache est variable selon le système d'exploitation
utilisé et la taille des pages d'allocation de mémoire attribuées. Sous Windows XP, par exemple, chaque
L'entrée utilise environ quatre kilo-octets de mémoire et Deadwood a une surcharge de
environ 512 kilo-octets. Ainsi, s'il y a 512 éléments de cache, Deadwood utilise
environ 2.5 mégaoctets de mémoire, et s'il y a 1024 éléments de cache, Deadwood utilise
environ 4.5 mégaoctets de mémoire. Encore une fois, ces chiffres sont pour Windows XP et d'autres
les systèmes d'exploitation auront des numéros d'allocation de mémoire différents.

Veuillez noter que chaque entrée root_servers et amont_servers prend de la place dans Deadwood's
cache et que maximum_cache_elements devra être augmenté pour stocker un grand nombre de
ces entrées.

maxprocs

Il s'agit du nombre maximal de connexions UDP distantes en attente que Deadwood peut avoir. Les
la valeur par défaut est 1024.

max_tcp_procs

Il s'agit du nombre de connexions TCP ouvertes autorisées. Valeur par défaut : 8

num_retries

Le nombre de fois où nous réessayons d'envoyer une requête en amont avant d'abandonner. Si c'est 0, on
n'essayez qu'une seule fois ; si c'est 1, nous essayons deux fois, et ainsi de suite, jusqu'à 32 tentatives. Notez que chaque
réessayer prend timeout_seconds secondes avant de réessayer. Valeur par défaut : 5

ns_glueless_type

Le type RR que nous envoyons pour résoudre les enregistrements sans colle. Cela devrait être 1 (A) lorsque vous utilisez principalement
IPv4 pour résoudre les enregistrements. Si les enregistrements NS sans colle ont des enregistrements AAAA mais pas A, et IPv6 est
activé, il peut être judicieux de lui donner une valeur de 255 (ANY). Si jamais IPv4 cesse d'être
utilisé à grande échelle, il peut devenir possible à terme de lui donner une valeur de 28
(AAAA).

La valeur par défaut est 1 : un enregistrement A (IPv4 IP). Ce paramètre a ne sauraient été testé ; utiliser à
vos propres risques.

fichier_seed_aléatoire

Il s'agit d'un fichier qui contient des nombres aléatoires et est utilisé comme
générateur de nombres aléatoires cryptographiquement fort. Deadwood essaiera de lire 256 octets
à partir de ce fichier (le RNG Deadwood peut accepter un flux de n'importe quelle longueur arbitraire).

Notez que la fonction de compression de hachage obtient une partie de son entropie avant d'analyser le
mararc, et est codé en dur pour obtenir l'entropie de /dev/urandom (secret.txt sous Windows
systèmes). La plupart des autres entropies utilisées par Deadwood proviennent du fichier pointé par
fichier_seed_random.

recurse_min_bind_port

Le port le plus petit auquel Deadwood est autorisé à se lier ; c'est un numéro de port aléatoire utilisé
pour le port source des requêtes sortantes, et n'est pas 53 (voir dns_port ci-dessus). C'est un
nombre compris entre 1025 et 32767, et a une valeur par défaut de 15000. Ceci est utilisé pour rendre DNS
les attaques d'usurpation d'identité sont plus difficiles.

recurse_number_ports

Le nombre de ports auxquels Deadwood se lie pour le port source pour les connexions sortantes ; cette
est une puissance de 2 entre 256 et 32768. Ceci est utilisé pour rendre les attaques d'usurpation DNS plus
difficile. La valeur par défaut est 4096.

récursif_acl

Ceci est une liste des personnes autorisées à utiliser Deadwood pour effectuer une récursivité DNS, dans "ip/mask"
format. Le masque doit être un nombre compris entre 0 et 32 ​​(pour IPv6, entre 0 et 128). Par exemple,
"127.0.0.1/8" autorise les connexions locales.

rejeter_aaaa

Si cela a une valeur de 1, une fausse réponse SOA "pas là" est envoyée chaque fois qu'une requête AAAA est
envoyé à Deadwood. En d'autres termes, chaque fois qu'un programme demande à Deadwood une adresse IP IPv6
adresse, au lieu d'essayer de traiter la demande, lorsqu'elle est définie sur 1, Deadwood
prétend que le nom d'hôte en question n'a pas d'adresse IPv6.

Ceci est utile pour les personnes qui n'utilisent pas IPv6 mais utilisent des applications (généralement la commande *NIX
comme des applications comme "telnet") qui ralentissent les choses en essayant de trouver une adresse IPv6.

Cela a une valeur par défaut de 0. En d'autres termes, les requêtes AAAA sont traitées normalement sauf si
c'est réglé.

rejet_mx

Lorsque cela a la valeur par défaut de 1, les requêtes MX sont supprimées en silence avec leur IP
connecté. Une requête MX est une requête qui n'est effectuée par une machine que si elle souhaite être la sienne
serveur de messagerie envoyant du courrier à des machines sur Internet. Ceci est une requête sur un ordinateur de bureau moyen
machine (y compris celle qui utilise Outlook ou un autre agent utilisateur de messagerie pour lire et envoyer
email) ne fera jamais.

Très probablement, si une machine essaie de faire une requête MX, la machine est contrôlée par
une source distante pour envoyer des e-mails « spam » indésirables. Ceci à l'esprit, Deadwood ne permettra pas
Requêtes MX à effectuer à moins que rejet_mx ne soit explicitement défini avec une valeur de 0.

Avant de désactiver cela, veuillez garder à l'esprit que Deadwood est optimisé pour être utilisé pour le Web.
surf, pas comme serveur DNS pour un hub de messagerie. En particulier, les IP des enregistrements MX sont
supprimé des réponses de Deadwood et Deadwood doit effectuer des requêtes DNS supplémentaires pour
obtenir les IP correspondant aux enregistrements MX, et les tests de Deadwood sont plus adaptés au Web
surf (presque 100 % de recherche d'enregistrement A) et non pour la livraison du courrier (enregistrement MX étendu
chercher).

rejet_ptr

Si cela a une valeur de 1, une fausse réponse SOA "pas là" est envoyée chaque fois qu'une requête PTR est
envoyé à Deadwood. En d'autres termes, chaque fois qu'un programme demande à Deadwood « reverse DNS
lookup" -- le nom d'hôte pour une adresse IP donnée -- au lieu d'essayer de traiter le
demande, lorsqu'il est défini sur 1, Deadwood prétend que l'adresse IP en question n'a pas
un nom d'hôte.

Ceci est utile pour les personnes qui obtiennent des délais d'attente DNS lents lorsqu'elles tentent d'effectuer un
recherches DNS inversées sur les adresses IP.

Cela a une valeur par défaut de 0. En d'autres termes, les requêtes PTR sont traitées normalement sauf si
c'est réglé.

résurrections

S'il est défini sur 1, Deadwood essaiera d'envoyer un enregistrement expiré à l'utilisateur avant de donner
en haut. Si c'est 0, nous ne le faisons pas. Valeur par défaut : 1

serveurs_racine

Il s'agit d'une liste de serveurs racine ; sa syntaxe est identique à amont_serveurs (voir ci-dessous).
C'est le type de service DNS que l'ICANN, par exemple, exécute. Ce sont des serveurs utilisés qui ne
pas de réponses complètes aux questions DNS, mais simplement nous dire quels serveurs DNS
connectez-vous à pour obtenir une réponse plus proche de notre réponse souhaitée.

Veuillez noter que chaque entrée root_servers prend de la place dans le cache de Deadwood et que
maximum_cache_elements devra être augmenté pour stocker un grand nombre de ces entrées.

tcp_écouter

Afin d'activer DNS-over-TCP, cette variable doit être définie et avoir la valeur 1. Par défaut
valeur : 0

timeout_secondes

C'est le temps que Deadwood attendra avant d'abandonner et de supprimer un DNS UDP en attente
répondre. La valeur par défaut pour ceci est 1, comme dans 1 seconde, sauf si Deadwood a été compilé avec
FALLBACK_TIME activé.

timeout_secondes_tcp

Combien de temps attendre sur une connexion TCP inactive avant de la supprimer. La valeur par défaut pour ce
est 4, comme dans 4 secondes.

ttl_age

Si le vieillissement TTL est activé ; si les entrées dans le cache ont leur TTL défini pour être le
le temps que les entrées ont laissé dans le cache.

Si cela a une valeur de 1, les entrées TTL sont vieillies. Sinon, ils ne le sont pas. Le défaut
la valeur pour ceci est 1.

port_amont

C'est le port que Deadwood utilise pour se connecter ou envoyer des paquets aux serveurs en amont. Les
la valeur par défaut est 53 ; le port DNS standard.

serveurs_amont

Il s'agit d'une liste de serveurs DNS que l'équilibreur de charge tentera de contacter. C'est un
dictionnaire variable (tableau indexé par une chaîne au lieu d'un nombre) au lieu d'un simple
variable. Comme amont_serveurs est une variable de dictionnaire, elle doit être initialisée
avant d'être utilisé.

Deadwood regardera le nom de l'hôte qu'il essaie de trouver le serveur en amont
pour, et correspondra au suffixe le plus long qu'il puisse trouver.

Par exemple, si quelqu'un envoie une requête pour "www.foo.example.com" à Deadwood, Deadwood
voyez d'abord s'il existe une variable amont_serveurs pour "www.foo.example.com.", puis regardez
pour "foo.example.com.", puis recherchez "example.com.", puis "com.", et enfin ".".

Voici un exemple de serveurs_amont :

amont_serveurs = {} # Initialiser la variable du dictionnaire
serveurs_amont["foo.example.com."] = "192.168.42.1"
serveurs_amont["example.com."] = "192.168.99.254"
serveurs_amont["."] = "10.1.2.3, 10.1.2.4"

Dans cet exemple, tout ce qui se termine par "foo.example.com" est résolu par le serveur DNS à l'adresse
192.168.42.1 ; tout autre élément se terminant par "example.com" est résolu par 192.168.99.254 ; et
tout ce qui ne se termine pas par "example.com" est résolu par 10.1.2.3 ou 10.1.2.4.

Important: le nom de domaine en amont_serveurs doit se terminer par un "." personnage. C'est
OK:

serveurs_amont["example.com."] = "192.168.42.1"

Mais c'est ne sauraient OK:

serveurs_amont["example.com"] = "192.168.42.1"

La raison en est que BIND adopte un comportement inattendu lorsqu'un nom d'hôte
ne se termine pas par un point, et en forçant un point à la fin d'un nom d'hôte, Deadwood n'a pas
pour deviner si l'utilisateur veut le comportement de BIND ou le comportement "normal".

Si ni root_servers ni amont_servers ne sont définis, Deadwood définit root_servers à utiliser
les serveurs racines ICANN par défaut, comme suit :

198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (carte réseau DOD)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Réseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (LARGE)

Cette liste est à jour au 9 février 2015 et a été modifiée pour la dernière fois le 3 janvier 2013.

Veuillez noter que chaque entrée amont_serveurs occupe de l'espace dans le cache de Deadwood et que
maximum_cache_elements devra être augmenté pour stocker un grand nombre de ces entrées.

niveau_verbeux

Cela détermine le nombre de messages enregistrés sur la sortie standard ; des valeurs plus grandes enregistrent plus
messages. La valeur par défaut pour cela est 3.

ip/masque le format of IP

Deadwood utilise des formats IP/netmask standard pour spécifier les IP. Une ip est en décimal à point
format, par exemple "10.1.2.3" (ou au format IPv6 lorsque le support IPv6 est compilé).

Le masque de réseau est utilisé pour spécifier une plage d'adresses IP. Le masque de réseau est un nombre unique entre 1
et 32 ​​(128 lorsque le support IPv6 est compilé), ce qui indique le nombre de "1" de tête
bits dans le masque de réseau.

10.1.1.1/24 indique que toute IP de 10.1.1.0 à 10.1.1.255 correspondra.

10.2.3.4/16 indique que toute IP de 10.2.0.0 à 10.2.255.255 correspondra.

127.0.0.0/8 indique que toute adresse IP avec "127" comme premier octet (numéro) correspondra.

Le masque de réseau est facultatif et, s'il n'est pas présent, indique qu'une seule adresse IP correspondra.

DNS plus de TCP

DNS-over-TCP doit être explicitement activé en définissant tcp_listen sur 1.

Deadwood extrait des informations utiles des paquets DNS UDP marqués tronqués qui presque
supprime toujours le besoin d'avoir DNS-over-TCP. Cependant, Deadwood ne met pas en cache les paquets DNS
de plus de 512 octets qui doivent être envoyés via TCP. De plus, DNS sur TCP
les paquets qui sont des réponses DNS "incomplètes" (réponses qu'un résolveur de stub ne peut pas utiliser,
qui peut être soit une référence NS soit une réponse CNAME incomplète) ne sont pas gérées correctement
par Deadwood.

Deadwood prend en charge à la fois DNS-over-UDP et DNS-over-TCP ; le même démon écoute
les ports DNS UDP et TCP.

Seules les requêtes DNS UDP sont mises en cache. Deadwood ne prend pas en charge la mise en cache sur TCP ; il gère
TCP pour résoudre la rare réponse tronquée sans aucune information utile ou pour travailler avec
très rares résolveurs DNS TCP uniquement non conformes aux RFC. Dans le monde réel, DNS-over-TCP est
presque jamais utilisé.

Analyse autre fichiers

Il est possible d'avoir Deadwood, tout en analysant le fichier dwood3rc, lire d'autres fichiers et
les analyser comme s'il s'agissait de fichiers dwood3rc.

Cela se fait en utilisant fichier exec. Pour utiliser execfile, placez une ligne comme celle-ci dans le dwood3rc
fichier:

execfile("chemin/vers/nom de fichier")

Où path/to/filename est le chemin d'accès au fichier à analyser comme un fichier dwood3rc.

Tous les fichiers doivent se trouver dans ou sous le répertoire /etc/maradns/deadwood/execfile. Les noms de fichiers peuvent
n'ont que des lettres minuscules et le caractère de soulignement ("_"). Les chemins absolus ne sont pas
autorisé comme argument pour execfile ; le nom de fichier ne peut pas commencer par une barre oblique ("/")
caractère.

S'il y a une erreur d'analyse dans le fichier pointé par execfile, Deadwood signalera le
erreur comme étant sur la ligne avec la commande execfile dans le fichier dwood3rc principal. Trouver
où une erreur d'analyse se trouve dans le sous-fichier, utilisez quelque chose comme "Deadwood -f
/etc/maradns/deadwood/execfile/filename" pour trouver l'erreur d'analyse dans le fichier incriminé,
où "filename" est le fichier à analyser via execfile.

IPV6 Support

Ce serveur peut également être éventuellement compilé pour prendre en charge IPv6. Pour activer IPv6
support, ajoutez '-DIPV6' aux indicateurs de compilation. Par exemple, pour compiler ceci pour faire un
petit binaire, et pour avoir le support IPv6 :

export DRAPEAUX='-Os -DIPV6'
faire

SÛRETÉ

Deadwood est un programme écrit avec la sécurité à l'esprit.

En plus d'utiliser une bibliothèque de chaînes résistante au débordement de tampon et un style de codage et SQA
processus qui vérifie les débordements de tampon et les fuites de mémoire, Deadwood utilise un fort
générateur de nombres pseudo-aléatoires (La version 32 bits de RadioGatun) pour générer à la fois le
ID de requête et port source. Pour que le générateur de nombres aléatoires soit sécurisé, Deadwood a besoin d'un
bonne source d'entropie; par défaut Deadwood utilisera /dev/urandom pour obtenir cette entropie. Si
vous êtes sur un système sans support /dev/urandom, il est important de s'assurer que
Deadwood a une bonne source d'entropie, de sorte que l'ID de requête et le port source sont difficiles à identifier.
devinez (sinon il est possible de falsifier des paquets DNS).

Le port Windows de Deadwood comprend un programme appelé "mkSecretTxt.exe" qui crée un
Fichier aléatoire de 64 octets (512 bits) appelé "secret.txt" qui peut être utilisé par Deadwood (via le
paramètre "random_seed_file"); Deadwood obtient également l'entropie de l'horodatage lorsque Deadwood
est démarré et le numéro d'identification du processus de Deadwood, c'est donc la même chose d'utiliser le même statique
secret.txt en tant que random_seed_file pour les appels multiples de Deadwood.

Notez que Deadwood n'est pas protégé contre quelqu'un sur le même réseau qui regarde les paquets envoyés
par Deadwood et en envoyant des paquets falsifiés en réponse.

Pour protéger Deadwood de certaines attaques par déni de service possibles, il est préférable de
Le nombre premier de Deadwood utilisé pour hacher les éléments dans le cache est un nombre premier aléatoire de 31 bits
numéro. Le programme RandomPrime.c génère un nombre premier aléatoire qui est placé dans le fichier
DwRandPrime.h qui est régénéré chaque fois que le programme est compilé ou que les choses sont
nettoyé avec make clean. Ce programme utilise /dev/urandom pour son entropie ; le fichier
DwRandPrime.h ne sera pas régénéré sur les systèmes sans /dev/urandom.

Sur les systèmes sans prise en charge directe de /dev/urandom, il est suggéré de voir s'il existe un
moyen possible de donner au système un /dev/urandom fonctionnel. De cette façon, quand Deadwood est
compilé, le nombre magique de hachage sera convenablement aléatoire.

Si vous utilisez un binaire précompilé de Deadwood, assurez-vous que le système a /dev/urandom
support (sur le système Windows, assurez-vous que le fichier avec le nom secret.txt est
généré par le programme mkSecretTxt.exe inclus); Deadwood, au moment de l'exécution, utilise
/dev/urandom (secret.txt sous Windows) comme chemin codé en dur pour obtenir l'entropie (avec le
timestamp) pour l'algorithme de hachage.

DÉMONISATION

Deadwood n'a pas d'installations de démonisation intégrées; cela est géré par le
programme externe Duende ou tout autre démonisateur.

Exemple paramétrage filet

Voici un exemple de fichier de configuration dwood3rc :

# Ceci est un exemple de fichier rc deadwood
# Notez que les commentaires commencent par le symbole dièse

bind_address="127.0.0.1" # IP à laquelle nous nous associons

# La ligne suivante est désactivée en étant commentée
#bind_address="::1" # Nous avons un support IPv6 optionnel

# Répertoire à partir duquel nous exécutons le programme (non utilisé dans Win32)
chroot_dir = "/etc/maradns/bois mort"

# Les serveurs DNS en amont suivants sont ceux de Google
# (en décembre 2009) serveurs DNS publics. Pour
# plus d'informations, voir la page à
# http://code.google.com/speed/public-dns/
#
# Si ni root_servers ni amont_servers ne sont définis,
# Deadwood utilisera les serveurs racine par défaut de l'ICANN.
#serveurs_amont = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"

# Qui est autorisé à utiliser le cache. Cette ligne
# autorise toute personne avec "127.0" comme les deux premiers
# chiffres de leur IP pour utiliser Deadwood
recursive_acl = "127.0.0.1/16"

# Nombre maximum de demandes en attente
maxprocs = 2048

# Envoyer SERVER FAIL en cas de surcharge
handle_overload = 1

maradns_uid = 99 # UID Deadwood s'exécute comme
maradns_gid = 99 # GID Deadwood s'exécute comme

maximum_cache_elements = 60000 XNUMX

# Si vous voulez lire et écrire le cache à partir du disque,
# assurez-vous que chroot_dir ci-dessus est lisible et inscriptible
# par le maradns_uid/gid ci-dessus, et décommentez le
# ligne suivante.
#cache_file = "dw_cache"

# Si votre serveur DNS en amont convertit les réponses DNS "pas là"
# en IP, ce paramètre permet à Deadwood de convertir n'importe quelle réponse
# avec une IP donnée vers une IP "pas là". Si l'une des IP
# répertoriés ci-dessous sont dans une réponse DNS, Deadwood convertit la réponse
# dans un "pas là"
#ip_blacklist = "10.222.33.44, 10.222.3.55"

# Par défaut, pour des raisons de sécurité, Deadwood n'autorise pas les IP dans
# les 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx ou plage 0.0.xx. Si vous utilisez Deadwood
# pour résoudre les noms sur un réseau interne, décommentez le
# ligne suivante :
#filter_rfc1918 = 0

Utilisez le bois mort en ligne en utilisant les services onworks.net