Este é o comando deadwood que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
deadwood - Um resolvedor DNS de cache totalmente recursivo
DESCRIÇÃO
Deadwood é um cache DNS totalmente recursivo. Este é um servidor DNS com os seguintes recursos:
* Suporte total para recursão DNS e cache de encaminhamento de DNS
* Tamanho pequeno e pegada de memória adequada para sistemas embarcados
* Base de código simples e limpa
* Design seguro
* Proteção contra falsificação: criptografia forte usada para determinar o ID da consulta e a porta de origem
* Capacidade de ler e gravar o cache em um arquivo
* Cache dinâmico que exclui entradas não usadas recentemente
* Capacidade de usar entradas expiradas no cache quando é impossível entrar em contato com o upstream
Servidores DNS.
* O suporte IPv6 pode ser compilado se desejado
* Tanto DNS-over-UDP quanto DNS-over-TCP são controlados pelo mesmo daemon
* Funcionalidade dnswall integrada
COMANDO LINHA ARGUMENTOS
Deadwood tem um único argumento opcional de linha de comando: A localização da configuração
arquivo que Deadwood usa, especificado com o sinalizador "-f". Se isso não for definido, Deadwood
usa o arquivo "/ etc / maradns / deadwood / dwood3rc" como arquivo de configuração.
Em outras palavras, invocar Deadwood como madeira morta fará com que Deadwood use
/ etc / maradns / deadwood / dwood3rc como o arquivo de configuração; invocando Deadwood como madeira morta -f
foobar fará com que Deadwood use o arquivo "foobar" no diretório de trabalho atual (o
o diretório um está ao iniciar Deadwood) como o arquivo de configuração.
CONFIGURAÇÃO ARQUIVO FORMATO
O arquivo de configuração Deadwood é modelado de acordo com a sintaxe do Python 2. Qualquer Deadwood válido
O arquivo de configuração também deve ser analisado corretamente no Python 2.4.3 e no Python 2.6.6. Se
qualquer arquivo de configuração analisa corretamente em Deadwood, mas levanta um erro de sintaxe em
Python, este é um bug que deve ser corrigido.
Tendo isso em mente, o espaço em branco é significativo; Os parâmetros de madeira morta devem estar no canto esquerdo
coluna sem espaço em branco à esquerda. Esta é uma linha válida (desde que não haja espaços para
sua esquerda):
recursive_acl = "127.0.0.1/16"
A linha a seguir, no entanto, gerará um erro de análise:
recursive_acl = "127.0.0.1/16"
Observe o espaço à esquerda da string "recusive_acl" na formatação incorreta
linha.
PARÂMETRO TIPOS
Deadwood tem três tipos de parâmetros diferentes:
* Parâmetros numéricos. Os parâmetros numéricos não devem ser colocados entre aspas, como este
exemplo:
filtro_rfc1918 = 0
Se um parâmetro numérico estiver entre aspas, a mensagem de erro "Unknown dwood3rc
parâmetro string "aparecerá.
* Parâmetros de string. Os parâmetros de string devem estar entre aspas, como neste
exemplo:
bind_address = "127.0.0.1"
* Parâmetros de dicionário. Todos os parâmetros do dicionário devem ser inicializados antes do uso, e
os parâmetros do dicionário devem ter tanto o índice do dicionário quanto o valor para o referido índice
entre aspas, como neste exemplo:
servidores_upstream = {}
upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
Todos os parâmetros dwood3rc exceto os seguintes são parâmetros numéricos:
* endereço_de_ligação (string)
* arquivo_cache (string)
* chroot_dir (string)
* ip_blacklist (string)
* ipv4_bind_addresses (string)
* random_seed_file (string)
* recursivo_acl (string)
* root_servers (dicionário)
* upstream_servers (dicionário)
SUPORTADOS PARÂMETROS
O arquivo de configuração Deadwood suporta os seguintes parâmetros:
endereço_de ligação
Este é o endereço IP (ou possivelmente IPv6) ao qual nos ligamos.
arquivo_cache
Este é o nome do arquivo usado para ler e gravar o cache no disco; isto
string pode ter letras minúsculas, o símbolo '-', o símbolo '_' e o símbolo '/' (para
colocar o cache em um subdiretório). Todos os outros símbolos se tornam um símbolo '_'.
Este arquivo é lido e gravado conforme o usuário Deadwood é executado.
chroot_dir
Este é o diretório a partir do qual o programa será executado.
entregar_todos
Isso afeta o comportamento em Deadwood 2.3, mas não tem efeito em Deadwood 3. Esta variável é
apenas aqui para que os arquivos rc do Deadwood 2 possam ser executados no Deadwood 3.
dns_port
Esta é a porta à qual Deadwood se conecta e escuta as conexões de entrada. O padrão
valor para isso é a porta DNS padrão: porta 53
filtro_rfc1918
Quando tem um valor de 1, vários intervalos de IP diferentes não podem estar no DNS A
respostas:
* 192.168.xx
* 172. [16-31] .xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Se um dos IPs acima for detectado em uma resposta DNS e filter_rfc1918 tiver o valor 1,
Deadwood retornará uma resposta sintética "este host não responde" (um registro SOA no
Seção NS) em vez do registro A.
A razão para isso é fornecer um "dnswall" que protege os usuários para alguns tipos de
ataques, conforme descrito em http://crypto.stanford.edu/dns/
Observe que Deadwood fornece apenas a funcionalidade IPv4 "dnswall" e não ajuda
proteger contra respostas IPv6. Se a proteção contra certos registros IPv6 AAAA for necessária,
desabilite todas as respostas AAAA configurando rejeitar_aaaa com o valor 1 ou use um
programa externo para filtrar respostas IPv4 indesejadas (como o programa dnswall).
O valor padrão para isso é 1
handle_noreply
Quando é definido como 0, Deadwood não envia nenhuma resposta de volta ao cliente (quando o cliente é um
Cliente TCP, Deadwood fecha a conexão TCP) quando uma consulta UDP é enviada upstream e o
o DNS upstream nunca envia uma resposta.
Quando é definido como 1, Deadwood envia uma FALHA DE SERVIDOR de volta para o cliente quando uma consulta UDP é
enviado upstream e o DNS upstream nunca envia uma resposta.
O valor padrão para isso é 1
handle_overload
Quando tem um valor de 0, Deadwood não envia nenhuma resposta quando uma consulta UDP é enviada e o
o servidor está sobrecarregado (tem muitas conexões pendentes); quando tem um valor de 1,
Deadwood envia um pacote SERVER FAIL de volta ao remetente da consulta UDP. O valor padrão
pois este é 1.
hash_número_mágico
Isso costumava ser usado para o gerador de hash interno Deadwood para manter o gerador de hash
um tanto aleatório e imune a certos tipos de ataques. Em Deadwood 3.0, entropia para o
A função hash é criada olhando o conteúdo de / dev / urandom (secret.txt no Windows
máquinas) e o carimbo de data / hora atual. Este parâmetro está aqui apenas para configuração mais antiga
os arquivos não quebram no Deadwood 3.0.
ip_lista negra
Esta é uma lista de IPs que não permitimos na resposta a uma solicitação de DNS. o
a razão para isso é neutralizar a prática de alguns ISPs de converter um "este site
não existe "resposta DNS em uma página controlada pelo ISP; isso resulta em possível
questões de segurança.
Este parâmetro aceita apenas IPs individuais e não usa máscaras de rede.
maradns_uid
O ID do usuário Deadwood é executado como. Pode ser qualquer número entre 10 e 65535; o padrão
o valor é 99 (ninguém em distribuições Linux derivadas de RedHat). Este valor não é usado em
Sistemas Windows.
maradns_gid
O id de grupo Deadwood é executado como. Pode ser qualquer número entre 10 e 65535; o padrão
o valor é 99. Este valor não é usado em sistemas Windows.
max_ar_chain
Se a rotação de registro de recurso está habilitada. Se este tiver um valor de 1, registro de recurso
a rotação é habilitada, caso contrário, a rotação do registro de recurso é desabilitada.
A rotação de registros de recursos é geralmente desejável, uma vez que permite que o DNS atue como um rude
balanceador de carga. No entanto, em sistemas muito carregados, pode ser desejável desativá-lo para
reduzir o uso da CPU.
O motivo do nome incomum para esta variável é para manter a compatibilidade com MaraDNS
arquivos mararc.
O valor padrão é 1: rotação de registro de recurso habilitada.
max_inflights
O número máximo de clientes simultâneos que processamos ao mesmo tempo para a mesma consulta.
Se, durante o processamento de uma consulta para, digamos, "example.com.", Outro cliente DNS enviar para
Deadwood outra consulta para example.com, em vez de criar uma nova consulta para processar
example.com, Deadwood anexará o novo cliente à mesma consulta que já está "em
flight ", e enviaremos uma resposta a ambos os clientes assim que tivermos uma resposta para example.com.
Este é o número de clientes simultâneos que uma determinada consulta pode ter. Se este limite for
excedido, clientes subsequentes com a mesma consulta são recusados até que uma resposta seja encontrada. Se
isso tem um valor de 1, não mesclamos várias solicitações para a mesma consulta, mas fornecemos a cada
solicitar sua própria conexão.
O valor padrão é 8.
max_ttl
O tempo máximo que manteremos uma entrada no cache, em segundos (também chamado
"TTL máximo").
Este é o máximo que manteremos uma entrada em cache. O valor padrão para este parâmetro é
86400 (um dia); o valor mínimo é 300 (5 minutos) e o valor máximo que isso pode ter
é 7776000 (90 dias).
A razão pela qual este parâmetro está aqui é para proteger Deadwood de ataques que exploram
havendo dados desatualizados no cache, como o ataque "Ghost Domain Names".
máximo_cache_elements
O número máximo de elementos que nosso cache pode ter. Este é um número entre 32
e 16,777,216; o valor padrão para isso é 1024. Observe que, se gravar o cache para
disco ou lendo o cache do disco, valores mais altos disso irão desacelerar o cache
leitura / escrita.
A quantidade de memória que cada entrada de cache usa é variável dependendo do sistema operacional
usado e o tamanho das páginas de alocação de memória atribuídas. No Windows XP, por exemplo, cada
entrada usa aproximadamente quatro kilobytes de memória e Deadwood tem uma sobrecarga de
aproximadamente 512 kilobytes. Então, se houver 512 elementos de cache, Deadwood usa
aproximadamente 2.5 megabytes de memória, e se houver 1024 elementos de cache, Deadwood usa
aproximadamente 4.5 megabytes de memória. Novamente, esses números são para Windows XP e outros
os sistemas operacionais terão diferentes números de alocação de memória.
Observe que cada entrada root_servers e upstream_servers ocupa espaço no Deadwood's
cache e que maximum_cache_elements precisarão ser aumentados para armazenar um grande número de
essas entradas.
maxprocs
Este é o número máximo de conexões UDP remotas pendentes que Deadwood pode ter. o
o valor padrão para isso é 1024.
max_tcp_procs
Este é o número de conexões TCP abertas permitidas. Valor padrão: 8
num_retries
O número de vezes que tentamos enviar uma consulta upstream antes de desistir. Se for 0, nós
tente apenas uma vez; se for 1, tentamos duas vezes e assim por diante, até 32 tentativas. Observe que cada
a nova tentativa leva timeout_seconds segundos antes de tentarmos novamente. Valor padrão: 5
ns_glueless_type
O tipo RR que enviamos para resolver registros sem cola. Deve ser 1 (A) ao usar principalmente
IPv4 para resolver registros. Se os registros NS sem cola tiverem AAAA, mas não registros A, e o IPv6 for
habilitado, pode fazer sentido dar a isso um valor de 255 (QUALQUER). Se o IPv4 algum dia deixar de ser
usado em grande escala, pode eventualmente ser possível fazer com que este tenha um valor de 28
(AAAA).
O valor padrão é 1: um registro A (IP IPv4). Este parâmetro tem não foi testado; usar em
seu próprio risco.
arquivo_semente_aleatória
Este é um arquivo que contém números aleatórios e é usado como uma semente para o
gerador de números aleatórios criptograficamente forte. Deadwood tentará ler 256 bytes
deste arquivo (o RNG Deadwood usa pode aceitar um fluxo de qualquer comprimento arbitrário).
Observe que a função de compressão de hash obtém parte de sua entropia antes de analisar o
arquivo mararc, e é codificado para obter entropia de / dev / urandom (secret.txt no Windows
sistemas). A maioria das outras entropia usadas por Deadwood vem do arquivo apontado por
arquivo_seed_aleatório.
recurse_min_bind_port
A porta de menor numeração Deadwood tem permissão para vincular; este é um número de porta aleatório usado
para a porta de origem das consultas de saída, e não é 53 (consulte dns_port acima). Isto é um
número entre 1025 e 32767, e tem um valor padrão de 15000. Isso é usado para fazer DNS
ataques de spoofing mais difíceis.
recurse_number_ports
O número de portas às quais Deadwood se liga para a porta de origem para conexões de saída; isto
é uma potência de 2 entre 256 e 32768. Isso é usado para tornar os ataques de spoofing de DNS mais
difícil. O valor padrão é 4096.
recursiva_acl
Esta é uma lista de quem tem permissão para usar Deadwood para realizar recursão DNS, em "ip / mask"
formato. A máscara deve ser um número entre 0 e 32 (para IPv6, entre 0 e 128). Por exemplo,
"127.0.0.1/8" permite conexões locais.
rejeitar_aaaa
Se tiver um valor de 1, uma falsa resposta SOA "não existe" é enviada sempre que uma consulta AAAA é
enviado para Deadwood. Em outras palavras, toda vez que um programa pede a Deadwood um IP IPv6
endereço, em vez de tentar processar a solicitação, quando é definido como 1, Deadwood
finge que o nome do host em questão não tem um endereço IPv6.
Isso é útil para pessoas que não usam IPv6, mas usam aplicativos (geralmente o comando * NIX
como aplicativos como "telnet"), que tornam as coisas mais lentas ao tentar encontrar um endereço IPv6.
Tem um valor padrão de 0. Em outras palavras, as consultas AAAA são processadas normalmente, a menos que
isso está definido.
rejeitar_mx
Quando tem o valor padrão de 1, as consultas MX são descartadas silenciosamente com seu IP
registrado. Uma consulta MX é uma consulta que só é feita por uma máquina se ela deseja ser sua
servidor de correio que envia correio para máquinas na Internet. Esta é uma consulta de um desktop médio
máquina (incluindo uma que usa Outlook ou outro agente de usuário de e-mail para ler e enviar
e-mail) nunca fará.
Provavelmente, se uma máquina está tentando fazer uma consulta MX, ela está sendo controlada por
uma fonte remota para enviar e-mails de "spam" indesejados. Tendo isso em mente, Deadwood não permitirá
Consultas MX a serem feitas, a menos que rejeite_mx seja explicitamente definido com um valor 0.
Antes de desativar isso, lembre-se de que Deadwood é otimizado para ser usado na web
navegar, não como um servidor DNS para um hub de e-mail. Em particular, os IPs para registros MX são
removido das respostas de Deadwood e Deadwood precisa realizar consultas DNS adicionais para
obter os IPs correspondentes aos registros MX, e o teste de Deadwood é mais voltado para web
navegar (quase 100% de pesquisa de registro A) e não para entrega de e-mail (registro MX extenso
olho para cima).
rejeitar_ptr
Se tiver um valor de 1, uma falsa resposta SOA "não existe" é enviada sempre que uma consulta PTR é
enviado para Deadwood. Em outras palavras, toda vez que um programa pede a Deadwood por "DNS reverso
lookup "- o nome do host para um determinado endereço IP - em vez de tentar processar o
solicitação, quando é definido como 1, Deadwood finge que o endereço IP em questão não tem
um nome de host.
Isso é útil para pessoas que estão obtendo tempos limite de DNS lentos ao tentar realizar um
pesquisas reversas de DNS em IPs.
Tem um valor padrão de 0. Em outras palavras, as consultas PTR são processadas normalmente, a menos que
isso está definido.
ressurreições
Se for definido como 1, Deadwood tentará enviar um registro expirado ao usuário antes de fornecer
acima. Se for 0, não o fazemos. Valor padrão: 1
servidores_raiz
Esta é uma lista de servidores raiz; sua sintaxe é idêntica a upstream_servers (veja abaixo).
Este é o tipo de serviço DNS executado pela ICANN, por exemplo. Estes são os servidores usados que fazem
não nos dá respostas completas às perguntas de DNS, mas apenas nos diz quais servidores DNS devemos
conecte-se a para obter uma resposta mais próxima de nossa resposta desejada.
Observe que cada entrada root_servers ocupa espaço no cache do Deadwood e que
maximum_cache_elements precisará ser aumentado para armazenar um grande número dessas entradas.
tcp_listen
Para habilitar DNS-over-TCP, esta variável deve ser definida e ter um valor de 1. Padrão
valor: 0
tempo limite_segundos
Este é o tempo que Deadwood irá esperar antes de desistir e descartar um DNS UDP pendente
responder. O valor padrão para isso é 1, como em 1 segundo, a menos que Deadwood tenha sido compilado com
FALLBACK_TIME habilitado.
timeout_seconds_tcp
Quanto tempo esperar em uma conexão TCP ociosa antes de descartá-la. O valor padrão para este
é 4, como em 4 segundos.
ttl_idade
Se o envelhecimento TTL está habilitado; se as entradas no cache têm seus TTLs definidos para ser o
quantidade de tempo que as entradas permaneceram no cache.
Se tiver um valor de 1, as entradas TTL são antigas. Caso contrário, eles não são. O padrão
o valor para isso é 1.
porta_upstream
Esta é a porta que Deadwood usa para conectar ou enviar pacotes aos servidores upstream. o
o valor padrão para isso é 53; a porta DNS padrão.
servidores_upstream
Esta é uma lista de servidores DNS que o balanceador de carga tentará entrar em contato. Isto é um
dicionário variável (matriz indexada por uma string em vez de um número) em vez de um simples
variável. Como upstream_servers é uma variável de dicionário, ela precisa ser inicializada
antes de ser usado.
Deadwood irá olhar para o nome do host que está tentando encontrar o servidor upstream
para, e corresponderá ao sufixo mais longo que puder encontrar.
Por exemplo, se alguém enviar uma consulta de "www.foo.example.com" para Deadwood, Deadwood irá
primeiro veja se há uma variável upstream_servers para "www.foo.example.com.", depois olhe
para "foo.example.com.", em seguida, procure "example.com.", "com." e, finalmente, ".".
Aqui está um exemplo de upstream_servers:
upstream_servers = {} # Inicializar variável de dicionário
upstream_servers ["foo.example.com."] = "192.168.42.1"
upstream_servers ["example.com."] = "192.168.99.254"
upstream_servers ["."] = "10.1.2.3, 10.1.2.4"
Neste exemplo, tudo o que termina em "foo.example.com" é resolvido pelo servidor DNS em
192.168.42.1; qualquer outra coisa que termine em "example.com" é resolvida por 192.168.99.254; e
qualquer coisa que não termine em "example.com" é resolvida por 10.1.2.3 ou 10.1.2.4.
Importante: o nome de domínio para o qual upstream_servers aponta deve terminar com "." personagem. Isto é
OK:
upstream_servers ["example.com."] = "192.168.42.1"
Mas isso é não OK:
upstream_servers ["example.com"] = "192.168.42.1"
A razão para isso é porque o BIND se envolve em um comportamento inesperado quando um nome de host
não termina em um ponto, e ao forçar um ponto no final de um nome de host, Deadwood não tem
para adivinhar se o usuário deseja o comportamento do BIND ou o comportamento "normal".
Se nem root_servers nem upstream_servers forem definidos, Deadwood define root_servers para usar
os servidores raiz padrão da ICANN, conforme a seguir:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogente)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (NIC DOD)
128.63.2.53 h.root-servers.net (ExércitoRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (LARGO)
Esta lista foi atualizada em 9 de fevereiro de 2015 e foi alterada pela última vez em 3 de janeiro de 2013.
Observe que cada entrada upstream_servers ocupa espaço no cache do Deadwood e que
maximum_cache_elements precisará ser aumentado para armazenar um grande número dessas entradas.
nível_verbo
Isso determina quantas mensagens são registradas na saída padrão; valores maiores registram mais
mensagens. O valor padrão para isso é 3.
ip / máscara formato of IPs
Deadwood usa formatos de máscara de rede / ip padrão para especificar IPs. Um ip está em decimal com pontos
formato, por exemplo, "10.1.2.3" (ou no formato IPv6 quando o suporte IPv6 for compilado).
A máscara de rede é usada para especificar um intervalo de IPs. A máscara de rede é um único número entre 1
e 32 (128 quando o suporte IPv6 é compilado), que indica o número de "1" inicial
bits na máscara de rede.
10.1.1.1/24 indica que qualquer ip de 10.1.1.0 a 10.1.1.255 corresponderá.
10.2.3.4/16 indica que qualquer ip de 10.2.0.0 a 10.2.255.255 corresponderá.
127.0.0.0/8 indica que qualquer ip com "127" como o primeiro octeto (número) corresponderá.
A máscara de rede é opcional e, se não estiver presente, indica que apenas um único IP corresponderá.
DNS Acima de TCP
DNS-over-TCP precisa ser explicitamente habilitado configurando tcp_listen para 1.
Deadwood extrai informações úteis de pacotes DNS UDP marcados como truncados que quase
sempre elimina a necessidade de DNS sobre TCP. No entanto, Deadwood não armazena em cache pacotes DNS
maior que 512 bytes de tamanho que precisam ser enviados usando TCP. Além disso, DNS-over-TCP
pacotes que são respostas DNS "incompletas" (respostas que um resolvedor stub não pode usar,
que pode ser uma referência NS ou uma resposta CNAME incompleta) não são tratados corretamente
por Deadwood.
Deadwood tem suporte para DNS-over-UDP e DNS-over-TCP; o mesmo daemon escuta
ambas as portas UDP e TCP DNS.
Apenas as consultas UDP DNS são armazenadas em cache. Deadwood não suporta armazenamento em cache sobre TCP; lida com
TCP para resolver a rara resposta truncada sem qualquer informação útil ou para trabalhar com
muito incomuns resolvedores DNS não compatíveis com TCP somente para RFC. No mundo real, DNS-over-TCP é
quase nunca usado.
Análise de outros arquivos
É possível ter Deadwood, ao analisar o arquivo dwood3rc, ler outros arquivos e
analise-os como se fossem arquivos dwood3rc.
Isso é feito usando arquivo exec. Para usar execfile, coloque uma linha como esta no dwood3rc
arquivo:
execfile ("caminho / para / nome do arquivo")
Onde path / to / filename é o caminho para o arquivo a ser analisado como um arquivo dwood3rc.
Todos os arquivos devem estar no ou sob o diretório / etc / maradns / deadwood / execfile. Nomes de arquivos podem
tem apenas letras minúsculas e o caractere de sublinhado ("_"). Caminhos absolutos não são
permitido como o argumento para execfile; o nome do arquivo não pode começar com uma barra ("/")
personagem.
Se houver um erro de análise no arquivo apontado pelo execfile, Deadwood irá relatar o
erro como estando na linha com o comando execfile no arquivo principal dwood3rc. Encontrar
onde um erro de análise está no subarquivo, use algo como "Deadwood -f
/ etc / maradns / deadwood / execfile / filename "para encontrar o erro de análise no arquivo ofensivo,
onde "nome do arquivo" é o arquivo a ser analisado por meio de execfile.
IPV6 ajuda
Este servidor também pode ser opcionalmente compilado para ter suporte a IPv6. Para habilitar o IPv6
suporte, adicione '-DIPV6' aos sinalizadores de tempo de compilação. Por exemplo, para compilar isso para fazer um
binário pequeno e para ter suporte IPv6:
export FLAGS = '- Os -DIPV6'
fazer
SEGURANÇA
Deadwood é um programa escrito com a segurança em mente.
Além de usar uma biblioteca de string resistente a estouro de buffer e um estilo de codificação e SQA
processo que verifica se há estouros de buffer e vazamentos de memória, Deadwood usa um forte
gerador de números pseudo-aleatórios (a versão de 32 bits do RadioGatun) para gerar os
ID de consulta e porta de origem. Para que o gerador de números aleatórios seja seguro, Deadwood precisa de um
boa fonte de entropia; por padrão, Deadwood usará / dev / urandom para obter essa entropia. Se
você está em um sistema sem suporte / dev / urandom, é importante ter certeza de que
Deadwood tem uma boa fonte de entropia, de modo que o ID da consulta e a porta de origem são difíceis de
adivinhar (caso contrário, é possível forjar pacotes DNS).
A versão do Windows de Deadwood inclui um programa chamado "mkSecretTxt.exe" que cria um
Arquivo aleatório de 64 bytes (512 bits) chamado "secret.txt" que pode ser usado por Deadwood (através do
parâmetro "random_seed_file"); Deadwood também obtém entropia do registro de data e hora quando Deadwood
é iniciado e o número de identificação do processo Deadwood, então é o mesmo para usar o mesmo
arquivo secret.txt como o random_seed_file para várias invocações de Deadwood.
Observe que Deadwood não está protegido de alguém na mesma rede que visualiza os pacotes enviados
por Deadwood e enviando pacotes forjados como uma resposta.
Para proteger Deadwood de certos ataques de negação de serviço possíveis, é melhor se
O número primo de Deadwood usado para fazer hash de elementos no cache é um número primo aleatório de 31 bits
número. O programa RandomPrime.c gera um primo aleatório que é colocado no arquivo
DwRandPrime.h que é regenerado sempre que o programa é compilado ou as coisas são
limpo com make clean. Este programa usa / dev / urandom para sua entropia; o arquivo
DwRandPrime.h não será regenerado em sistemas sem / dev / urandom.
Em sistemas sem suporte direto / dev / urandom, sugere-se para ver se há um
possível forma de dar ao sistema um / dev / urandom funcional. Desta forma, quando Deadwood é
compilado, o número mágico de hash será adequadamente aleatório.
Se estiver usando um binário pré-compilado de Deadwood, certifique-se de que o sistema tenha / dev / urandom
suporte (no sistema Windows, certifique-se de que o arquivo com o nome secret.txt seja
gerado pelo programa mkSecretTxt.exe incluído); Deadwood, em tempo de execução, usa
/ dev / urandom (secret.txt no Windows) como um caminho codificado para obter entropia (junto com o
timestamp) para o algoritmo de hash.
DAEMONIZAÇÃO
Deadwood não tem nenhum recurso de daemonização embutido; isso é tratado pelo
programa externo Duende ou qualquer outro daemonizer.
Exemplo • Configuração lima
Aqui está um exemplo de arquivo de configuração dwood3rc:
# Este é um exemplo de arquivo deadwood rc
# Observe que os comentários são iniciados pelo símbolo de hash
bind_address = "127.0.0.1" # IP ao qual nos ligamos
# A linha a seguir foi desativada por ser comentada
#bind_address = ":: 1" # Temos suporte IPv6 opcional
# Diretório a partir do qual executamos o programa (não usado no Win32)
chroot_dir = "/ etc / maradns / deadwood"
# Os seguintes servidores DNS upstream são do Google
# (em dezembro de 2009) servidores DNS públicos. Para
# mais informações, consulte a página em
# http://code.google.com/speed/public-dns/
#
# Se nem root_servers nem upstream_servers estiverem definidos,
# Deadwood usará os servidores raiz padrão da ICANN.
#servidores_upstream = {}
#upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
# Quem tem permissão para usar o cache. Está linha
# permite qualquer pessoa com "127.0" como os dois primeiros
# dígitos de seu IP para usar Deadwood
recursive_acl = "127.0.0.1/16"
# Número máximo de solicitações pendentes
maxprocs = 2048
# Enviar FALHA DE SERVIDOR quando sobrecarregado
handle_overload = 1
maradns_uid = 99 # UID Deadwood é executado como
maradns_gid = 99 # GID Deadwood é executado como
máximo_cache_elements = 60000
# Se você quiser ler e gravar o cache do disco,
# certifique-se de que chroot_dir acima é legível e gravável
# pelo maradns_uid / gid acima, e descomente o
# linha seguinte.
#cache_file = "dw_cache"
# Se o seu servidor DNS upstream converter respostas DNS "não existem"
# em IPs, este parâmetro permite que Deadwood converta qualquer resposta
# com um determinado IP de volta a um IP "não existe". Se algum dos IPs
# listados abaixo estão em uma resposta DNS, Deadwood converte a resposta
# em um "não existe"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Por padrão, por razões de segurança, Deadwood não permite IPs em
# o 192.168.xx, 172. [16-31] .xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx ou intervalo de 0.0.xx. Se estiver usando Deadwood
# para resolver nomes em uma rede interna, descomente o
# linha seguinte:
# filter_rfc1918 = 0
Use deadwood online usando serviços onworks.net
