To jest polecenie deadwood, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
deadwood — w pełni rekurencyjny program do rozpoznawania nazw buforujących DNS
OPIS
Deadwood to w pełni rekursywna pamięć podręczna DNS. To jest serwer DNS z następującymi funkcjami:
* Pełna obsługa zarówno rekurencji DNS, jak i buforowania przekazywania DNS
* Mały rozmiar i zajmowana pamięć odpowiednia dla systemów wbudowanych
* Prosta i przejrzysta baza kodu
* Bezpieczna konstrukcja
* Ochrona przed fałszowaniem: silna kryptografia używana do określenia identyfikatora zapytania i portu źródłowego
* Możliwość odczytu i zapisu pamięci podręcznej do pliku
* Dynamiczna pamięć podręczna, która usuwa ostatnio nieużywane wpisy
* Możliwość korzystania z wygasłych wpisów w pamięci podręcznej, gdy nie można skontaktować się z upstream
Serwery DNS.
* W razie potrzeby można wbudować obsługę protokołu IPv6
* Zarówno DNS-over-UDP, jak i DNS-over-TCP są obsługiwane przez tego samego demona
* Wbudowana funkcjonalność dnswall
COMMAND LINE ARGUMENTY
Deadwood ma jeden opcjonalny argument wiersza poleceń: Lokalizacja konfiguracji
plik używany przez Deadwood, określony flagą „-f”. Jeśli nie jest to zdefiniowane, Deadwood
używa pliku „/etc/maradns/deadwood/dwood3rc” jako pliku konfiguracyjnego.
Innymi słowy, wywołanie Deadwood as balast spowoduje użycie Deadwood
/etc/maradns/deadwood/dwood3rc jako plik konfiguracyjny; przywołując Deadwood jako balast -f
foobar spowoduje, że Deadwood użyje pliku „foobar” w bieżącym katalogu roboczym (the
katalog, w którym znajduje się pierwszy plik podczas uruchamiania Deadwood) jako plik konfiguracyjny.
KONFIGURACJA FILE FORMAT
Plik konfiguracyjny Deadwood jest wzorowany na składni Pythona 2. Każdy ważny Deadwood
plik konfiguracyjny powinien również poprawnie przeanalizować zarówno w Pythonie 2.4.3, jak i Pythonie 2.6.6. Jeśli
każdy plik konfiguracyjny poprawnie analizuje w Deadwood, ale powoduje błąd składniowy
Python, to jest błąd, który należy naprawić.
Mając to na uwadze, białe znaki są znaczące; Parametry martwego drewna muszą znajdować się po lewej stronie
kolumna bez wiodących białych znaków. To jest poprawna linia (o ile nie ma spacji do
jest po lewej stronie):
recursive_acl = "127.0.0.1/16"
Jednak następujący wiersz zgłosi błąd analizy:
recursive_acl = "127.0.0.1/16"
Zwróć uwagę na spację po lewej stronie ciągu „recusive_acl” w niepoprawnie sformatowanym
Linia.
PARAMETR TYPY
Deadwood ma trzy różne typy parametrów:
* Parametry numeryczne. Parametry numeryczne nie mogą być otoczone cudzysłowami, takimi jak ten
przykład:
filtr_rfc1918 = 0
Jeśli parametr liczbowy jest otoczony cudzysłowami, zostanie wyświetlony komunikat o błędzie „Nieznany dwood3rc
pojawi się parametr ciągu.
* Parametry ciągu. Parametry ciągu muszą być ujęte w cudzysłowy, tak jak w tym przypadku
przykład:
adres_powiązania = "127.0.0.1"
* Parametry słownika. Wszystkie parametry słownika muszą zostać zainicjowane przed użyciem, oraz
Parametry słownika muszą mieć zarówno indeks słownika, jak i wartość tego indeksu
otoczone cudzysłowami, jak w tym przykładzie:
serwery_upstream = {}
serwery_upstream["."]="8.8.8.8, 8.8.4.4"
Wszystkie parametry dwood3rc z wyjątkiem poniżej znajdują się parametry numeryczne:
* adres_powiązania (string)
* plik_pamięci podręcznej (string)
* chroot_dir (ciąg)
* ip_blacklist (ciąg)
* adresy ipv4_bind_(ciąg)
* plik_nasienia_randomowego (string)
* recursive_acl (ciąg)
* root_servers (słownik)
* serwery_upstream (słownik)
UTRZYMANY PARAMETRY
Plik konfiguracyjny Deadwood obsługuje następujące parametry:
adres_powiązania
Jest to adres IP (lub ewentualnie IPv6), z którym się łączymy.
plik_pamięci podręcznej
Jest to nazwa pliku używanego do odczytu i zapisu pamięci podręcznej na dysku; Ten
ciąg może zawierać małe litery, symbol „-”, symbol „_” i symbol „/” (np
umieszczenie pamięci podręcznej w podkatalogu). Wszystkie pozostałe symbole stają się symbolami „_”.
Ten plik jest odczytywany i zapisywany podczas działania użytkownika Deadwood.
chroot_dir
Jest to katalog, z którego będzie uruchamiany program.
dostarczyć_wszystko
Wpływa to na zachowanie w Deadwood 2.3, ale nie ma wpływu na Deadwood 3. Ta zmienna jest
tylko tutaj, aby pliki rc Deadwood 2 mogły działać w Deadwood 3.
port_dns
Jest to port, z którym Deadwood łączy się i nasłuchuje połączeń przychodzących. Domyślny
wartością jest standardowy port DNS: port 53
filtr_rfc1918
Jeśli ma wartość 1, w DNS A nie może znajdować się wiele różnych zakresów adresów IP
odpowiedzi:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Jeżeli w odpowiedzi DNS zostanie wykryty jeden z powyższych adresów IP, a filter_rfc1918 ma wartość 1,
Deadwood zwróci syntetyczną odpowiedź „ten host nie odpowiada” (rekord SOA w pliku
Sekcja NS) zamiast rekordu A.
Powodem tego jest zapewnienie „ściany DNS”, która chroni użytkowników przed niektórymi rodzajami
ataki, jak opisano w http://crypto.stanford.edu/dns/
Należy pamiętać, że Deadwood zapewnia jedynie funkcjonalność „dnswall” IPv4 i nie pomaga
chroń przed odpowiedziami IPv6. Jeśli potrzebna jest ochrona przed niektórymi rekordami AAAA IPv6,
albo wyłącz wszystkie odpowiedzi AAAA, ustawiając odrzucenie_aaaa na wartość 1, albo użyj an
zewnętrzny program do filtrowania niepożądanych odpowiedzi IPv4 (np. program dnswall).
Wartość domyślna to 1
handle_norodpowiedź
Gdy ta wartość jest ustawiona na 0, Deadwood nie wysyła żadnej odpowiedzi do klienta (kiedy klientem jest a
klienta TCP, Deadwood zamyka połączenie TCP), gdy zapytanie UDP jest wysyłane w górę i
Upstream DNS nigdy nie wysyła odpowiedzi.
Gdy ta opcja jest ustawiona na 1, Deadwood wysyła do klienta komunikat SERVER FAIL, gdy zostanie wysłane zapytanie UDP.
wysyłane w górę, a nadrzędny serwer DNS nigdy nie wysyła odpowiedzi.
Wartość domyślna to 1
handle_overload
Gdy ma wartość 0, Deadwood nie wysyła odpowiedzi na zapytanie UDP i
serwer jest przeciążony (ma zbyt wiele oczekujących połączeń); gdy ma wartość 1,
Deadwood wysyła pakiet SERVER FAIL z powrotem do nadawcy zapytania UDP. Wartość domyślna
bo to jest 1.
hash_magiczny_numer
Było to używane w wewnętrznym generatorze haszującym Deadwood do utrzymywania generatora haszującego
nieco losowy i odporny na niektóre typy ataków. W Deadwood 3.0 entropia dla
Funkcja skrótu jest tworzona poprzez sprawdzenie zawartości pliku /dev/urandom (secret.txt w systemie Windows
maszyny) i bieżący znacznik czasu. Ten parametr występuje tylko tutaj, więc w starszej konfiguracji
pliki nie pękają w Deadwood 3.0.
ip_czarna lista
To jest lista adresów IP, które nie są dozwolone w odpowiedzi na żądanie DNS. The
powodem tego jest przeciwdziałanie praktykom niektórych dostawców usług internetowych polegającym na konwertowaniu pliku „this site
nie istnieje” Odpowiedź DNS na stronę kontrolowaną przez dostawcę usług internetowych; powoduje to, że jest to możliwe
problemy bezpieczeństwa.
Ten parametr akceptuje tylko indywidualne adresy IP i nie używa masek sieci.
maradns_uid
Identyfikator użytkownika Deadwood działa jako. Może to być dowolna liczba z zakresu od 10 do 65535; domyślny
wartość wynosi 99 (nikt w dystrybucjach Linuksa wywodzących się z RedHat). Ta wartość nie jest używana
Systemy Windows.
maradns_gid
Identyfikator grupy Deadwood działa jako. Może to być dowolna liczba z zakresu od 10 do 65535; domyślny
wartość wynosi 99. Ta wartość nie jest używana w systemach Windows.
max_ar_chain
Czy jest włączona rotacja rekordów zasobów. Jeśli ma wartość 1, rekord zasobu
rotacja jest włączona, w przeciwnym razie rotacja rekordów zasobów jest wyłączona.
Rotacja rekordów zasobów jest zwykle pożądana, ponieważ pozwala DNS działać jak prymityw
moduł równoważenia obciążenia. Jednak w mocno obciążonych systemach może być wskazane wyłączenie tej funkcji
zmniejszyć użycie procesora.
Powodem nietypowej nazwy tej zmiennej jest zachowanie kompatybilności z MaraDNS
pliki mararca.
Wartość domyślna to 1: Włączono rotację rekordów zasobów.
max_loty
Maksymalna liczba jednoczesnych klientów, których obsługujemy w tym samym czasie dla tego samego zapytania.
Jeśli podczas przetwarzania zapytania dotyczącego, powiedzmy, „example.com.”, inny klient DNS wysyła wiadomość do
Deadwood kolejne zapytanie dla example.com, zamiast tworzyć nowe zapytanie do przetworzenia
example.com, Deadwood dołączy nowego klienta do tego samego zapytania, które jest już „w
lot” i wyślij odpowiedź do obu klientów, gdy otrzymamy odpowiedź dla example.com.
Jest to liczba jednoczesnych klientów, których może dotyczyć dane zapytanie. Jeśli ten limit jest
przekroczony, kolejni klienci z tym samym zapytaniem są odrzucani do czasu znalezienia odpowiedzi. Jeśli
ma to wartość 1, nie łączymy wielu żądań dla tego samego zapytania, ale przekazujemy każde
zażądać własnego połączenia.
Wartość domyślna to 8.
max_ttl
Maksymalny czas przechowywania wpisu w pamięci podręcznej, w sekundach (tzw
„Maksymalny TTL”).
Jest to najdłuższy okres przechowywania wpisu w pamięci podręcznej. Domyślna wartość tego parametru to
86400 (jeden dzień); minimalna wartość to 300 (5 minut), a maksymalna wartość, jaką może mieć
wynosi 7776000 (90 dni).
Powodem, dla którego ten parametr jest tutaj, jest ochrona Deadwood przed atakami wykorzystującymi exploit
w pamięci podręcznej znajdują się nieaktualne dane, na przykład atak „Ghost Domain Names”.
maksymalna_elementy_pamięci podręcznej
Maksymalna liczba elementów, jakie może zawierać nasza pamięć podręczna. Jest to liczba z zakresu 32
i 16,777,216 1024 XNUMX; domyślna wartość to XNUMX. Pamiętaj, że jeśli zapisujesz pamięć podręczną do
dysku lub odczytywanie pamięci podręcznej z dysku, wyższe wartości spowodują spowolnienie pamięci podręcznej
czytanie/pisanie.
Ilość pamięci używanej przez każdy wpis pamięci podręcznej jest zmienna w zależności od systemu operacyjnego
używane i rozmiar przypisanych stron alokacji pamięci. Na przykład w systemie Windows XP każdy
wpis zużywa około czterech kilobajtów pamięci, a Deadwood ma narzut w wysokości
około 512 kilobajtów. Tak więc, jeśli istnieje 512 elementów pamięci podręcznej, Deadwood używa
około 2.5 megabajta pamięci, a jeśli jest 1024 elementów pamięci podręcznej, wykorzystuje Deadwood
około 4.5 megabajtów pamięci. Ponownie, liczby te dotyczą systemu Windows XP i innych
systemy operacyjne będą miały różne numery alokacji pamięci.
Pamiętaj, że każdy wpis root_servers i upstream_servers zajmuje miejsce w Deadwood
cache i że maksymalna_cache_elements będzie musiała zostać zwiększona, aby przechowywać dużą liczbę
te wpisy.
maxprocs
Jest to maksymalna liczba oczekujących zdalnych połączeń UDP, jakie może mieć Deadwood. The
domyślna wartość to 1024.
max_tcp_procs
Jest to liczba dozwolonych otwartych połączeń TCP. Wartość domyślna: 8
liczba_prób
Liczba ponownych prób wysłania zapytania w górę strumienia, zanim się poddamy. Jeśli to jest 0, my
spróbuj tylko raz; jeśli wynosi 1, próbujemy dwa razy i tak dalej, aż do 32 ponownych prób. Pamiętaj, że każdy
ponowna próba zajmuje timeout_sekundy sekund, zanim spróbujemy ponownie. Wartość domyślna: 5
ns_bezklejowy_typ
Typ RR, który wysyłamy w celu rozwiązania zapisów bezklejowych. Powinno to być 1 (A), gdy używasz głównie
IPv4 do rozwiązywania rekordów. Jeśli bezklejowe rekordy NS mają rekordy AAAA, ale nie A, a IPv6 tak
włączone, sensowne może być nadanie tej wartości 255 (ANY). Jeśli IPv4 kiedykolwiek przestanie istnieć
stosowane na dużą skalę, może w końcu stanie się możliwe, aby miała ona wartość 28
(AAAA).
Wartość domyślna to 1: Rekord A (IPv4 IP). Ten parametr ma nie został przetestowany; używać o godz
własne ryzyko.
losowy_plik_ziarnowy
Jest to plik zawierający liczby losowe i służy jako materiał siewny dla pliku
silny kryptograficznie generator liczb losowych. Deadwood spróbuje odczytać 256 bajtów
z tego pliku (używane przez RNG Deadwood mogą przyjmować strumień o dowolnej długości).
Należy zauważyć, że funkcja kompresji skrótu uzyskuje część swojej entropii przed analizą
mararc i jest zakodowany tak, aby uzyskać entropię z /dev/urandom (secret.txt w systemie Windows
systemy). Większość innych entropii używanych przez Deadwood pochodzi z pliku wskazanego przez
plik_nasiona_randomowego.
recurse_min_bind_port
Port o najniższym numerze, z którym Deadwood może się łączyć; jest to używany losowy numer portu
dla portu źródłowego zapytań wychodzących i nie wynosi 53 (patrz dns_port powyżej). To jest
numer z zakresu od 1025 do 32767 i ma wartość domyślną 15000. Służy do ustawiania DNS
ataki spoofingowe są trudniejsze.
recurse_number_ports
Liczba portów, z którymi Deadwood łączy się z portem źródłowym dla połączeń wychodzących; Ten
to potęga liczby 2 z zakresu od 256 do 32768. Służy do zwiększenia liczby ataków polegających na fałszowaniu DNS
trudny. Wartość domyślna to 4096.
rekursywny_acl
To jest lista osób, które mogą używać Deadwood do wykonywania rekurencji DNS, w „ip/maska”
format. Maska musi być liczbą z zakresu od 0 do 32 (w przypadku protokołu IPv6 od 0 do 128). Na przykład,
„127.0.0.1/8” umożliwia połączenia lokalne.
odrzuć_aaaa
Jeśli ma wartość 1, przy każdym zapytaniu AAAA wysyłana jest fałszywa odpowiedź SOA „nie tam”.
wysłany do Deadwooda. Innymi słowy, za każdym razem, gdy program pyta Deadwood o adres IP IPv6
adres, zamiast próbować przetworzyć żądanie, jeśli jest ustawione na 1, Deadwood
udaje, że dana nazwa hosta nie ma adresu IPv6.
Jest to przydatne dla osób, które nie używają protokołu IPv6, ale korzystają z aplikacji (zwykle polecenia *NIX
jak aplikacje takie jak „telnet”), które spowalniają próbę znalezienia adresu IPv6.
Ma wartość domyślną 0. Innymi słowy, zapytania AAAA są przetwarzane normalnie, chyba że
to jest ustawione.
odrzucić_mx
Gdy ta wartość ma domyślną wartość 1, zapytania MX są dyskretnie odrzucane wraz z ich adresem IP
zalogowany. Zapytanie MX to zapytanie wykonywane przez maszynę tylko wtedy, gdy chce być własne
serwer pocztowy wysyłający pocztę do komputerów w Internecie. To jest zapytanie przeciętnego komputera stacjonarnego
komputerze (w tym takim, który do odczytu i wysyłania używa programu Outlook lub innego agenta użytkownika poczty).
e-mail) nigdy tego nie zrobi.
Najprawdopodobniej, jeśli maszyna próbuje wykonać zapytanie MX, oznacza to, że jest ona kontrolowana przez
zdalne źródło do wysyłania niepożądanych wiadomości e-mail typu „spam”. Mając to na uwadze, Deadwood nie pozwoli
Należy wykonać zapytania MX, chyba że odrzucenie_mx jest jawnie ustawione na wartość 0.
Zanim wyłączysz tę opcję, pamiętaj, że Deadwood jest zoptymalizowany do użytku w Internecie
surfowanie, a nie jako serwer DNS dla centrum pocztowego. W szczególności adresy IP dla rekordów MX to
usunięty z odpowiedzi Deadwood, a Deadwood musi wykonać dodatkowe zapytania DNS
uzyskaj adresy IP odpowiadające rekordom MX, a testy Deadwood są bardziej dostosowane do sieci
surfowanie (prawie 100% wyszukiwania rekordów A), a nie dostarczanie poczty (obszerny rekord MX
spojrzeć w górę).
odrzucić_ptr
Jeśli ma wartość 1, przy każdym zapytaniu PTR wysyłana jest fałszywa odpowiedź SOA „nie tam”.
wysłany do Deadwooda. Innymi słowy, za każdym razem, gdy program pyta Deadwood o „odwrócenie DNS
lookup” – nazwa hosta dla danego adresu IP – zamiast próbować przetworzyć plik
request, gdy ta wartość jest ustawiona na 1, Deadwood udaje, że dany adres IP nie istnieje
nazwa hosta.
Jest to przydatne dla osób, u których występują powolne przekroczenia limitu czasu DNS podczas próby wykonania operacji
odwrotne wyszukiwanie DNS na adresach IP.
Ma domyślną wartość 0. Innymi słowy, zapytania PTR są przetwarzane normalnie, chyba że
to jest ustawione.
zmartwychwstania
Jeśli ta opcja jest ustawiona na 1, Deadwood spróbuje wysłać użytkownikowi wygasły rekord przed oddaniem
w górę. Jeśli wynosi 0, nie robimy tego. Wartość domyślna: 1
serwery_główne
To jest lista serwerów głównych; jego składnia jest identyczna z upstream_servers (patrz poniżej).
Jest to typ usługi DNS, którą obsługuje na przykład ICANN. Są to używane serwery, które to robią
nie udzielaj nam pełnych odpowiedzi na pytania dotyczące DNS, a jedynie informuj nas, do których serwerów DNS
połącz się z, aby uzyskać odpowiedź bliższą naszej pożądanej odpowiedzi.
Pamiętaj, że każdy wpis root_servers zajmuje miejsce w pamięci podręcznej Deadwood i tak dalej
Maximum_cache_elements będzie musiał zostać zwiększony, aby przechowywać dużą liczbę tych wpisów.
tcp_listen
Aby włączyć usługę DNS-over-TCP, zmienna ta musi być ustawiona i mieć wartość 1. Domyślnie
wartość: 0
limit czasu_sekund
Oto jak długo Deadwood będzie czekać, zanim zrezygnuje i odrzuci oczekujący DNS UDP
odpowiedź. Domyślną wartością jest 1, czyli 1 sekunda, chyba że skompilowano Deadwood
Włączono FALLBACK_TIME.
limit czasu_sekund_tcp
Jak długo należy czekać na bezczynne połączenie TCP przed jego zerwaniem. Wartość domyślna dla tego
wynosi 4, jak w ciągu 4 sekund.
ttl_wiek
Czy włączone jest starzenie TTL; czy wpisy w pamięci podręcznej mają ustawione TTL na
ilość czasu, jaką wpisy pozostały w pamięci podręcznej.
Jeśli ma wartość 1, wpisy TTL są przestarzałe. W przeciwnym razie nie są. Domyślny
wartość tego wynosi 1.
port_upstream
Jest to port, którego Deadwood używa do łączenia się lub wysyłania pakietów do serwerów nadrzędnych. The
domyślna wartość to 53; standardowy port DNS.
serwery_upstream
To jest lista serwerów DNS, z którymi moduł równoważenia obciążenia będzie próbował się skontaktować. To jest
słownik zmienna (tablica indeksowana ciągiem znaków zamiast liczbą) zamiast prostego
zmienny. Ponieważ upstream_servers jest zmienną słownikową, należy ją zainicjować
przed użyciem.
Deadwood sprawdzi nazwę hosta, na którym próbuje znaleźć serwer nadrzędny
for i będzie dopasowywany do najdłuższego sufiksu, jaki może znaleźć.
Na przykład, jeśli ktoś wyśle zapytanie o „www.foo.example.com” do Deadwood, Deadwood to zrobi
najpierw sprawdź, czy istnieje zmienna upstream_servers dla „www.foo.example.com.”, a następnie spójrz
dla „foo.example.com.”, następnie wyszukaj „example.com.”, następnie „com.” i na końcu „.”.
Oto przykład upstream_servers:
upstream_servers = {} # Inicjuj zmienną słownikową
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
W tym przykładzie wszystko, co kończy się na „foo.example.com”, jest rozpoznawane przez serwer DNS pod adresem
192.168.42.1; wszystko inne kończące się na „example.com” jest rozwiązywane przez 192.168.99.254; I
wszystko, co nie kończy się na „example.com”, jest rozwiązywane przez 10.1.2.3 lub 10.1.2.4.
Ważne: nazwa domeny, na którą wskazuje upstream_servers, musi kończyć się na „.” postać. To jest
OK:
upstream_servers["example.com."] = "192.168.42.1"
Ale to jest nie OK:
upstream_servers["example.com"] = "192.168.42.1"
Powodem tego jest to, że BIND angażuje się w nieoczekiwane zachowanie, gdy nazwa hosta
nie kończy się kropką, a wstawiając kropkę na końcu nazwy hosta, Deadwood nie ma
odgadnąć, czy użytkownik chce zachowania BIND, czy „normalnego” zachowania.
Jeśli nie ustawiono ani serwerów root_servers, ani upstream_servers, Deadwood ustawia serwery root_servers do użycia
domyślne serwery główne ICANN w następujący sposób:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (karta sieciowa DOD)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (SZEROKI)
Ta lista jest aktualna na dzień 9 lutego 2015 r., a ostatnia zmiana miała miejsce 3 stycznia 2013 r.
Pamiętaj, że każdy wpis upstream_servers zajmuje miejsce w pamięci podręcznej Deadwood i tak dalej
Maximum_cache_elements będzie musiał zostać zwiększony, aby przechowywać dużą liczbę tych wpisów.
szczegółowy_poziom
Określa to, ile komunikatów jest rejestrowanych na standardowym wyjściu; większe wartości rejestrują więcej
wiadomości. Wartość domyślna to 3.
ip/maska format of IP
Deadwood używa standardowych formatów adresu IP/maski sieci do określenia adresów IP. Adres IP jest zapisany w postaci dziesiętnej z kropkami
formacie, np. „10.1.2.3” (lub w formacie IPv6, jeśli wkompilowana jest obsługa protokołu IPv6).
Maska sieci służy do określenia zakresu adresów IP. Maska sieci to pojedyncza liczba z zakresu 1
i 32 (128, gdy wkompilowana jest obsługa protokołu IPv6), co wskazuje liczbę wiodących „1”
bity w masce sieci.
10.1.1.1/24 wskazuje, że dowolny adres IP od 10.1.1.0 do 10.1.1.255 będzie pasował.
10.2.3.4/16 wskazuje, że dowolny adres IP od 10.2.0.0 do 10.2.255.255 będzie pasował.
127.0.0.0/8 wskazuje, że każdy adres IP z „127” jako pierwszym oktetem (liczbą) będzie zgodny.
Maska sieci jest opcjonalna i jeśli nie jest obecna, oznacza, że będzie pasować tylko jeden adres IP.
DNS koniec TCP
Należy jawnie włączyć usługę DNS-over-TCP, ustawiając tcp_listen na 1.
Deadwood wyodrębnia przydatne informacje z pakietów DNS UDP oznaczonych jako obcięte, które prawie
zawsze eliminuje potrzebę posiadania DNS-over-TCP. Jednak Deadwood nie buforuje pakietów DNS
o rozmiarze większym niż 512 bajtów, które należy przesłać przy użyciu protokołu TCP. Ponadto DNS-over-TCP
pakiety, które są „niekompletnymi” odpowiedziami DNS (odpowiedziami, których nie może użyć moduł rozpoznawania kodu pośredniczącego,
które może być skierowaniem do NS lub niekompletną odpowiedzią CNAME) nie są obsługiwane poprawnie
przez Deadwooda.
Deadwood obsługuje zarówno DNS-over-UDP, jak i DNS-over-TCP; ten sam demon nasłuchuje
zarówno port UDP, jak i TCP DNS.
Buforowane są tylko zapytania DNS UDP. Deadwood nie obsługuje buforowania przez TCP; to sobie radzi
TCP, aby rozwiązać rzadką, obciętą odpowiedź bez żadnych przydatnych informacji lub z którymi można pracować
bardzo rzadkie, niezgodne z RFC programy rozpoznawania nazw DNS, obsługujące tylko protokół TCP. W prawdziwym świecie DNS-over-TCP jest
prawie nigdy nie używany.
Rozbiór gramatyczny zdania inny pliki
Możliwe jest, że Deadwood podczas analizowania pliku dwood3rc będzie czytał inne pliki i
przeanalizuj je tak, jakby były plikami dwood3rc.
Odbywa się to za pomocą plik exec. Aby użyć pliku exec, umieść taką linię w pliku dwood3rc
file:
execfile("ścieżka/do/nazwa pliku")
Gdzie ścieżka/do/nazwa pliku to ścieżka do pliku, który ma być analizowany jak plik dwood3rc.
Wszystkie pliki muszą znajdować się w katalogu /etc/maradns/deadwood/execfile lub w nim. Nazwy plików mogą
zawierać tylko małe litery i znak podkreślenia („_”). Ścieżki absolutne nie są
dozwolony jako argument pliku exec; nazwa pliku nie może zaczynać się od ukośnika („/”)
znaków.
Jeśli w pliku wskazanym przez execfile wystąpi błąd analizy, Deadwood zgłosi błąd
błąd jako znajdujący się w linii z poleceniem execfile w głównym pliku dwood3rc. Znaleźć
gdzie w podpliku występuje błąd analizy, użyj czegoś takiego jak „Deadwood -f
/etc/maradns/deadwood/execfile/filename”, aby znaleźć błąd analizy w nieprawidłowym pliku,
gdzie „nazwa pliku” to plik, który ma zostać przeanalizowany za pomocą pliku exec.
IPV6 wsparcie
Serwer ten można opcjonalnie skompilować tak, aby obsługiwał protokół IPv6. Aby włączyć protokół IPv6
wsparcie, dodaj „-DIPV6” do flag czasu kompilacji. Na przykład, aby to skompilować, aby utworzyć plik
mały plik binarny i obsługa protokołu IPv6:
eksportuj FLAGI='-Os -DIPV6'
robić
BEZPIECZEŃSTWO
Deadwood to program napisany z myślą o bezpieczeństwie.
Oprócz korzystania z biblioteki ciągów odpornej na przepełnienie bufora oraz stylu kodowania i SQA
proces sprawdzający przepełnienie bufora i wycieki pamięci, Deadwood używa silnego
generator liczb pseudolosowych (32-bitowa wersja RadioGatun) do generowania zarówno
identyfikator zapytania i port źródłowy. Aby generator liczb losowych był bezpieczny, Deadwood potrzebuje:
dobre źródło entropii; domyślnie Deadwood użyje /dev/urandom, aby uzyskać tę entropię. Jeśli
korzystasz z systemu bez obsługi /dev/urandom, ważne jest, aby się o tym upewnić
Deadwood ma dobre źródło entropii, więc identyfikator zapytania i port źródłowy są trudne
zgadnij (w przeciwnym razie możliwe jest sfałszowanie pakietów DNS).
Wersja Deadwood dla systemu Windows zawiera program o nazwie „mkSecretTxt.exe”, który tworzy plik
64-bajtowy (512-bitowy) losowy plik o nazwie „secret.txt”, który może zostać wykorzystany przez Deadwood (poprzez
parametr „random_seed_file”); Deadwood również pobiera entropię ze znacznika czasu, gdy Deadwood
jest uruchomiony i numer identyfikacyjny procesu Deadwood, więc użycie tego samego statycznego jest takie samo
plik secret.txt jako plik_random_seed_ dla wielokrotnych wywołań Deadwood.
Należy pamiętać, że Deadwood nie jest chroniony przed przeglądaniem wysyłanych pakietów przez osobę znajdującą się w tej samej sieci
przez Deadwood i w odpowiedzi wysyłając sfałszowane paczki.
Aby chronić Deadwood przed pewnymi możliwymi atakami typu „odmowa usługi”, najlepiej jest jeśli
Liczba pierwsza Deadwooda używana do mieszania elementów w pamięci podręcznej to losowa 31-bitowa liczba pierwsza
numer. Program RandomPrime.c generuje losową liczbę pierwszą, która jest umieszczana w pliku
DwRandPrime.h, który jest regenerowany za każdym razem, gdy program jest kompilowany lub coś się dzieje
wyczyszczono za pomocą make clean. Ten program używa /dev/urandom do określenia entropii; plik
Plik DwRandPrime.h nie zostanie zregenerowany w systemach bez /dev/urandom.
W systemach bez bezpośredniego wsparcia /dev/urandom sugeruje się sprawdzenie, czy istnieje plik
możliwy sposób na zapewnienie systemowi działającego pliku /dev/urandom. W ten sposób, kiedy Deadwood jest
skompilowany, magiczna liczba skrótu będzie odpowiednio losowa.
Jeśli używasz prekompilowanego pliku binarnego Deadwood, upewnij się, że w systemie znajduje się plik /dev/urandom
support (w systemie Windows upewnij się, że plik o nazwie secret.txt to
wygenerowany przez dołączony program mkSecretTxt.exe); Deadwood w czasie wykonywania używa
/dev/urandom (secret.txt w Windows) jako zakodowana na stałe ścieżka do uzyskania entropii (wraz z
znacznik czasu) dla algorytmu mieszającego.
DEMONIZACJA
Deadwood nie ma żadnych wbudowanych narzędzi do demonizacji; zajmuje się tym
zewnętrzny program Duende lub inny demonizer.
Przykład konfiguracja filet
Oto przykładowy plik konfiguracyjny dwood3rc:
# To jest przykładowy plik rc martwego drewna
# Pamiętaj, że komentarze rozpoczynają się od symbolu skrótu
bind_address="127.0.0.1" # IP, z którym się łączymy
# Następujący wiersz jest wyłączony w wyniku zakomentowania
#bind_address="::1" # Opcjonalnie obsługujemy protokół IPv6
# Katalog, z którego uruchamiamy program (nieużywany w Win32)
chroot_dir = "/etc/maradns/martwe drewno"
# Następujące serwery DNS nadrzędne należą do Google
# (stan na grudzień 2009) publiczne serwery DNS. Dla
# więcej informacji znajdziesz na stronie pod adresem
# http://code.google.com/speed/public-dns/
#
# Jeśli nie ustawiono ani serwerów root_servers, ani upstream_servers,
# Deadwood użyje domyślnych serwerów głównych ICANN.
#upstream_servers = {}
#upstream_servers[."]="8.8.8.8, 8.8.4.4"
# Kto może korzystać z pamięci podręcznej. Ta linia
# pozwala każdemu, kto ma „127.0” jako pierwsze dwa
# cyfry ich adresu IP, aby móc korzystać z Deadwood
recursive_acl = "127.0.0.1/16"
# Maksymalna liczba oczekujących żądań
maxprocs = 2048
# Wyślij SERVER FAIL w przypadku przeciążenia
handle_overload = 1
maradns_uid = 99 # UID Deadwood działa jako
maradns_gid = 99 # GID Deadwood działa jako
maksymalna_elementy_pamięci podręcznej = 60000
# Jeśli chcesz czytać i zapisywać pamięć podręczną z dysku,
# upewnij się, że powyższy katalog chroot_dir jest czytelny i zapisywalny
# przez maradns_uid/gid powyżej i odkomentuj
# następna linia.
#cache_file = "dw_cache"
# Jeśli Twój nadrzędny serwer DNS konwertuje odpowiedzi DNS „nie tam”.
# na adresy IP, ten parametr pozwala firmie Deadwood na konwersję dowolnej odpowiedzi
# z danym adresem IP z powrotem na adres IP „nie tam”. Jeśli którykolwiek z adresów IP
# wymienione poniżej znajdują się w odpowiedzi DNS, Deadwood konwertuje odpowiedź
# w „nie tam”
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Domyślnie, ze względów bezpieczeństwa, Deadwood nie zezwala na dostęp do adresów IP
# 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# Zakres 169.254.xx, 224.xxx lub 0.0.xx. Jeśli używasz Deadwood
# aby rozwiązać nazwy w sieci wewnętrznej, odkomentuj
# następujący wiersz:
#filter_rfc1918 = 0
Korzystaj z martwego drewna online, korzystając z usług onworks.net
