Aceasta este comanda deadwood care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
deadwood - Un rezolutor DNS de memorare în cache complet recursiv
DESCRIERE
Deadwood este un cache DNS complet recursiv. Acesta este un server DNS cu următoarele caracteristici:
* Suport complet atât pentru recursiunea DNS, cât și pentru redirecționarea în cache DNS
* Dimensiuni reduse și amprentă de memorie potrivite pentru sistemele încorporate
* Bază de cod simplă și curată
* Design sigur
* Protecție falsificare: criptografie puternică utilizată pentru a determina ID-ul de interogare și portul sursă
* Abilitatea de a citi și scrie memoria cache într-un fișier
* Cache dinamic care șterge intrările neutilizate recent
* Posibilitatea de a utiliza intrări expirate în cache atunci când este imposibil să contactați în amonte
Serverele DNS.
* Suportul IPv6 poate fi compilat dacă se dorește
* Atât DNS-over-UDP cât și DNS-over-TCP sunt gestionate de același demon
* Funcționalitate dnswall încorporată
COMMAND LINE ARGUMENTE
Deadwood are un singur argument opțional în linia de comandă: locația configurației
fișier pe care Deadwood îl folosește, specificat cu indicatorul „-f”. Dacă acest lucru nu este definit, Deadwood
folosește fișierul „/etc/maradns/deadwood/dwood3rc” ca fișier de configurare.
Cu alte cuvinte, invocând Deadwood ca lemn uscat va determina utilizarea Deadwood
/etc/maradns/deadwood/dwood3rc ca fișier de configurare; invocând Deadwood ca lemn uscat -f
foobar va determina Deadwood să folosească fișierul „foobar” în directorul de lucru curent (the
directorul unu se află la pornirea Deadwood) ca fișier de configurare.
CONFIGURARE FILE FORMAT
Fișierul de configurare Deadwood este modelat după sintaxa lui Python 2. Orice Deadwood valid
fișierul de configurare ar trebui să fie analizat corect atât în Python 2.4.3, cât și în Python 2.6.6. Dacă
orice fișier de configurare se analizează corect în Deadwood, dar generează o eroare de sintaxă în
Python, acesta este o eroare care ar trebui remediată.
În minte, spațiul alb este semnificativ; Parametrii lemnului mort trebuie să fie în partea din stânga
coloană fără spații albe de început. Aceasta este o linie validă (atâta timp cât nu există spații pentru
stânga e):
recursive_acl = "127.0.0.1/16"
Următoarea linie, totuși, va genera o eroare de analizare:
recursive_acl = "127.0.0.1/16"
Observați spațiul din stânga șirului „recusive_acl” în formatul incorect
linia.
PARAMETRI TIPURI
Deadwood are trei tipuri diferite de parametri:
* Parametri numerici. Parametrii numerici nu trebuie să fie înconjurați de ghilimele, cum ar fi acesta
exemplu:
filter_rfc1918 = 0
Dacă un parametru numeric este înconjurat de ghilimele, mesajul de eroare „Unknown dwood3rc
va apărea parametrul șir”.
* Parametri șiruri. Parametrii șirului de caractere trebuie să fie înconjurați de ghilimele, cum ar fi în aceasta
exemplu:
bind_address = "127.0.0.1"
* Parametrii dicționarului. Toți parametrii dicționarului trebuie inițializați înainte de utilizare și
parametrii dicționarului trebuie să aibă atât indexul dicționarului, cât și valoarea indicelui menționat
înconjurat de ghilimele, cum ar fi în acest exemplu:
upstream_servers = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Toți parametrii dwood3rc cu excepția următorii sunt parametri numerici:
* bind_address (șir)
* cache_file (șir)
* chroot_dir (șir)
* ip_blacklist (șir)
* ipv4_bind_addresses (șir)
* random_seed_file (șir)
* recursive_acl (șir)
* servere_rădăcină (dicționar)
* upstream_servers (dicționar)
SPRIJINIT PARAMETRI
Fișierul de configurare Deadwood acceptă următorii parametri:
adresa_bind
Aceasta este adresa IP (sau eventual IPv6) la care ne legăm.
cache_file
Acesta este numele fișierului utilizat pentru citirea și scrierea memoriei cache pe disc; acest
șirul poate avea litere mici, simbolul „-”, simbolul „_” și simbolul „/” (pentru
punerea cache-ului într-un subdirector). Toate celelalte simboluri devin simbol „_”.
Acest fișier este citit și scris așa cum rulează utilizatorul Deadwood.
chroot_dir
Acesta este directorul din care va rula programul.
livra_toate
Acest lucru afectează comportamentul în Deadwood 2.3, dar nu are niciun efect în Deadwood 3. Această variabilă este
doar aici, astfel încât fișierele rc Deadwood 2 să poată rula în Deadwood 3.
dns_port
Acesta este portul la care se leagă Deadwood și îl ascultă pentru conexiunile de intrare. Implicit
valoarea pentru aceasta este portul DNS standard: portul 53
filter_rfc1918
Când aceasta are o valoare de 1, un număr de intervale IP diferite nu au voie să fie în DNS A
răspunsuri:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Dacă unul dintre IP-urile de mai sus este detectat într-un răspuns DNS și filter_rfc1918 are valoarea 1,
Deadwood va returna un răspuns sintetic „aceasta gazdă nu răspunde” (o înregistrare SOA în
secțiunea NS) în loc de înregistrarea A.
Motivul pentru aceasta este furnizarea unui „dnswall” care protejează utilizatorii pentru anumite tipuri de
atacuri, așa cum este descris la http://crypto.stanford.edu/dns/
Vă rugăm să rețineți că Deadwood oferă doar funcționalitatea „dnswall” IPv4 și nu ajută
protejați împotriva răspunsurilor IPv6. Dacă este necesară protecție împotriva anumitor înregistrări IPv6 AAAA,
fie dezactivați toate răspunsurile AAAA setând reject_aaaa să aibă o valoare de 1, fie utilizați un
program extern pentru a filtra răspunsurile IPv4 nedorite (cum ar fi programul dnswall).
Valoarea implicită pentru aceasta este 1
handle_noreply
Când acesta este setat la 0, Deadwood nu trimite niciun răspuns înapoi clientului (când clientul este un
Client TCP, Deadwood închide conexiunea TCP) când o interogare UDP este trimisă în amonte și
DNS în amonte nu trimite niciodată un răspuns.
Când acesta este setat la 1, Deadwood trimite un SERVER FAIL înapoi către client când o interogare UDP este
trimis în amonte și DNS-ul în amonte nu trimite niciodată un răspuns.
Valoarea implicită pentru aceasta este 1
mâner_supraîncărcare
Când aceasta are valoarea 0, Deadwood nu trimite niciun răspuns când este trimisă o interogare UDP și
serverul este supraîncărcat (are prea multe conexiuni în așteptare); când are valoarea 1,
Deadwood trimite un pachet SERVER FAIL înapoi expeditorului interogării UDP. Valoarea implicită
pentru că acesta este 1.
număr_magic_hash
Acesta era folosit pentru generatorul de hash intern al lui Deadwood pentru a păstra generatorul de hash
oarecum aleatoriu și imun la anumite tipuri de atacuri. În Deadwood 3.0, entropia pentru
Funcția hash este creată analizând conținutul /dev/urandom (secret.txt pe Windows
mașini) și marcajul de timp actual. Acest parametru este doar aici, deci configurația mai veche
fișierele nu se sparg în Deadwood 3.0.
ip_lista neagră
Aceasta este o listă de IP-uri pe care nu le permitem să fie în răspunsul la o solicitare DNS. The
Motivul pentru aceasta este acela de a contracara practica pe care o au unii ISP-uri de a converti un „acest site
nu există" răspunsul DNS într-o pagină controlată de ISP; acest lucru are ca rezultat posibil
probleme de securitate.
Acest parametru acceptă numai IP-uri individuale și nu utilizează măști de rețea.
maradns_uid
ID-ul utilizatorului Deadwood rulează ca. Acesta poate fi orice număr între 10 și 65535; implicit
valoarea este 99 (nimeni în distribuțiile Linux derivate din RedHat). Această valoare nu este utilizată pe
sisteme Windows.
maradns_gid
Grupul-id Deadwood rulează ca. Acesta poate fi orice număr între 10 și 65535; implicit
valoarea este 99. Această valoare nu este utilizată pe sistemele Windows.
max_ar_chain
Dacă este activată rotația înregistrărilor de resurse. Dacă aceasta are valoarea 1, înregistrarea resursei
rotația este activată, în caz contrar, rotația înregistrărilor de resurse este dezactivată.
Rotația înregistrărilor de resurse este de obicei de dorit, deoarece permite DNS să acționeze ca un brut
echilibrarea greutății. Cu toate acestea, pe sistemele puternic încărcate, poate fi de dorit să îl dezactivați
reduce utilizarea procesorului.
Motivul pentru numele neobișnuit pentru această variabilă este păstrarea compatibilității cu MaraDNS
fișiere mararc.
Valoarea implicită este 1: Rotația înregistrărilor de resurse este activată.
max_inflights
Numărul maxim de clienți simultan pe care îi procesăm în același timp pentru aceeași interogare.
Dacă, în timpul procesării unei interogări pentru, de exemplu, „example.com.”, un alt client DNS trimite la
Deadwood o altă interogare pentru example.com, în loc să creeze o nouă interogare de procesat
example.com, Deadwood va atașa noul client la aceeași interogare care este deja „în
zbor”, și trimiteți un răspuns ambilor clienți odată ce avem un răspuns de exemplu.com.
Acesta este numărul de clienți simultani pe care îi poate avea o anumită interogare. Dacă această limită este
depășit, clienții următori cu aceeași interogare sunt refuzați până la găsirea unui răspuns. Dacă
aceasta are valoarea 1, nu îmbinăm mai multe cereri pentru aceeași interogare, ci le dăm pe fiecare
cere propria conexiune.
Valoarea implicită este 8.
max_ttl
Durata maximă de timp pe care o vom păstra o intrare în cache, în secunde (numită și
„TTL maxim”).
Acesta este cel mai lung timp în care vom păstra o intrare în cache. Valoarea implicită pentru acest parametru este
86400 (o zi); valoarea minima este 300 (5 minute) si valoarea maxima pe care aceasta o poate avea
este 7776000 (90 de zile).
Motivul pentru care acest parametru este aici este pentru a proteja Deadwood de atacurile care exploatează
există date învechite în cache, cum ar fi atacul „Ghost Domain Names”.
maximum_cache_elements
Numărul maxim de elemente pe care îl poate avea cache-ul nostru. Acesta este un număr între 32
şi 16,777,216; valoarea implicită pentru aceasta este 1024. Rețineți că, dacă scrieți memoria cache în
disc sau citirea memoriei cache de pe disc, valorile mai mari ale acestuia vor încetini memoria cache
citind, scriind.
Cantitatea de memorie utilizată de fiecare intrare în cache este variabilă în funcție de sistemul de operare
utilizate și dimensiunea paginilor de alocare a memoriei atribuite. În Windows XP, de exemplu, fiecare
intrarea folosește aproximativ patru kiloocteți de memorie și Deadwood are o suprasarcină de
aproximativ 512 kiloocteți. Deci, dacă există 512 elemente cache, Deadwood folosește
aproximativ 2.5 megaocteți de memorie și, dacă există 1024 de elemente cache, Deadwood folosește
aproximativ 4.5 megaocteți de memorie. Din nou, aceste numere sunt pentru Windows XP și altele
sistemele de operare vor avea numere diferite de alocare a memoriei.
Vă rugăm să rețineți că fiecare intrare root_servers și upstream_servers ocupă spațiu în Deadwood's
cache și că maximum_cache_elements va trebui mărit pentru a stoca un număr mare de
aceste intrări.
maxprocs
Acesta este numărul maxim de conexiuni UDP la distanță în așteptare pe care Deadwood le poate avea. The
valoarea implicită pentru aceasta este 1024.
max_tcp_procs
Acesta este numărul de conexiuni TCP deschise permise. Valoare implicită: 8
num_retry
Numărul de ori în care încercăm din nou să trimitem o interogare în amonte înainte de a renunța. Dacă acesta este 0, noi
încercați o singură dată; dacă acesta este 1, încercăm de două ori și așa mai departe, până la 32 de reîncercări. Rețineți că fiecare
Reîncercarea durează timeout_seconds secunde înainte să încercăm din nou. Valoare implicită: 5
ns_glueless_type
Tipul RR pe care îl trimitem pentru a rezolva înregistrările fără lipici. Acesta ar trebui să fie 1 (A) atunci când se utilizează în principal
IPv4 pentru a rezolva înregistrările. Dacă înregistrările NS fără lipici au înregistrări AAAA, dar nu A, iar IPv6 este
activat, ar putea avea sens să îi atribuiți acesteia o valoare de 255 (ORICE). Dacă IPv4 încetează vreodată să fie
utilizat pe scară largă, poate deveni eventual posibil ca acesta să aibă o valoare de 28
(AAAA).
Valoarea implicită este 1: o înregistrare A (IPv4 IP). Acest parametru are nu fost testat; utilizați la
propriul risc.
fişier_seminţe_aleatoare
Acesta este un fișier care conține numere aleatorii și este folosit ca semințe pentru
generator de numere aleatoare puternic criptografic. Deadwood va încerca să citească 256 de octeți
din acest fișier (utilizările RNG Deadwood pot accepta un flux de orice lungime arbitrară).
Rețineți că funcția de compresie hash obține o parte din entropia sa înainte de a analiza
mararc și este codificat pentru a obține entropia din /dev/urandom (secret.txt pe Windows
sisteme). Cea mai mare parte a entropiei folosite de Deadwood provine din fișierul indicat de
fişier_seminţe_aleatoare.
recurse_min_bind_port
Portul cu cel mai mic număr de Deadwood este permis să se lege; acesta este un număr de port aleatoriu folosit
pentru portul sursă al interogărilor de ieșire și nu este 53 (vezi dns_port mai sus). Acesta este un
număr între 1025 și 32767 și are o valoare implicită de 15000. Acesta este folosit pentru a face DNS
atacurile de falsificare sunt mai dificile.
număr_de_porturi recurse
Numărul de porturi la care se leagă Deadwood pentru portul sursă pentru conexiunile de ieșire; acest
este o putere de 2 între 256 și 32768. Aceasta este folosită pentru a face mai multe atacuri de falsificare DNS.
dificil. Valoarea implicită este 4096.
recursive_acl
Aceasta este o listă a celor care au voie să folosească Deadwood pentru a efectua recursiunea DNS, în „ip/mask”
format. Masca trebuie să fie un număr între 0 și 32 (pentru IPv6, între 0 și 128). De exemplu,
„127.0.0.1/8” permite conexiuni locale.
respinge_aaaa
Dacă aceasta are valoarea 1, un răspuns fals SOA „nu există” este trimis ori de câte ori este o interogare AAAA
trimis la Deadwood. Cu alte cuvinte, de fiecare dată când un program îi cere lui Deadwood un IP IPv6
adresa, în loc să încercați să procesați cererea, când aceasta este setată la 1, Deadwood
pretinde că numele de gazdă în cauză nu are o adresă IPv6.
Acest lucru este util pentru persoanele care nu folosesc IPv6, dar folosesc aplicații (de obicei comanda *NIX
precum aplicații precum „telnet”) care încetinesc lucrurile încercând să găsească o adresă IPv6.
Aceasta are o valoare implicită de 0. Cu alte cuvinte, interogările AAAA sunt procesate normal dacă nu
acesta este setat.
reject_mx
Când aceasta are valoarea implicită de 1, interogările MX sunt eliminate silențios cu IP-ul lor
logat. O interogare MX este o interogare care este efectuată de o mașină numai dacă dorește să fie proprie
server de e-mail care trimite e-mail către mașini de pe internet. Aceasta este o interogare pentru un desktop mediu
mașină (inclusiv una care utilizează Outlook sau un alt agent de utilizator de e-mail pentru a citi și trimite
e-mail) nu va face niciodată.
Cel mai probabil, dacă o mașină încearcă să facă o interogare MX, mașina este controlată de
o sursă de la distanță pentru a trimite e-mailuri „spam” nedorite. Acest lucru în minte, Deadwood nu va permite
Interogările MX trebuie efectuate, cu excepția cazului în care reject_mx este setat în mod explicit cu o valoare de 0.
Înainte de a dezactiva aceasta, vă rugăm să rețineți că Deadwood este optimizat pentru a fi utilizat pentru web
navigare, nu ca server DNS pentru un hub de e-mail. În special, IP-urile pentru înregistrările MX sunt
eliminat din răspunsurile lui Deadwood și Deadwood trebuie să efectueze interogări DNS suplimentare pentru
obțineți IP-urile corespunzătoare înregistrărilor MX, iar testarea lui Deadwood este mai orientată pentru web
navigare (aproape 100% căutare de înregistrare) și nu pentru livrarea de e-mail (înregistrare MX extinsă
privește în sus).
reject_ptr
Dacă aceasta are valoarea 1, un răspuns fals SOA „nu există” este trimis ori de câte ori este o interogare PTR.
trimis la Deadwood. Cu alte cuvinte, de fiecare dată când un program îi cere lui Deadwood „DNS invers
căutare" -- numele de gazdă pentru o anumită adresă IP -- în loc să încerci să procesezi
cerere, când acesta este setat la 1, Deadwood pretinde că adresa IP în cauză nu are
un nume de gazdă.
Acest lucru este util pentru persoanele care obțin timeout-uri DNS lente atunci când încearcă să efectueze a
căutări inverse DNS pe IP-uri.
Aceasta are o valoare implicită de 0. Cu alte cuvinte, interogările PTR sunt procesate normal, cu excepția cazului în care
acesta este setat.
învieri
Dacă acesta este setat la 1, Deadwood va încerca să trimită utilizatorului o înregistrare expirată înainte de a da
sus. Dacă este 0, nu o facem. Valoare implicită: 1
servere_rădăcină
Aceasta este o listă de servere rădăcină; sintaxa sa este identică cu upstream_servers (vezi mai jos).
Acesta este tipul de serviciu DNS pe care îl rulează ICANN, de exemplu. Acestea sunt servere folosite care fac
nu ne dați răspunsuri complete la întrebările DNS, ci doar să ne spuneți la ce servere DNS
conectați-vă la pentru a obține un răspuns mai aproape de răspunsul dorit.
Vă rugăm să rețineți că fiecare intrare root_servers ocupă spațiu în memoria cache a lui Deadwood și asta
maximum_cache_elements va trebui mărit pentru a stoca un număr mare de aceste intrări.
tcp_ascultă
Pentru a activa DNS-over-TCP, această variabilă trebuie să fie setată și să aibă o valoare de 1. Implicit
valoare: 0
timeout_seconds
Acesta este cât timp va aștepta Deadwood înainte de a renunța și de a renunța la un DNS UDP în așteptare
răspuns. Valoarea implicită pentru aceasta este 1, ca într-o secundă, cu excepția cazului în care Deadwood a fost compilat
FALLBACK_TIME activată.
timeout_seconds_tcp
Cât timp să așteptați o conexiune TCP inactivă înainte de a o renunța. Valoarea implicită pentru aceasta
este 4, ca în 4 secunde.
ttl_varsta
Dacă îmbătrânirea TTL este activată; dacă intrările din cache au TTL-urile setate să fie
perioada de timp rămasă de intrările în cache.
Dacă aceasta are o valoare de 1, intrările TTL sunt vechi. Altfel, nu sunt. Implicit
valoarea pentru aceasta este 1.
port_amonte
Acesta este portul pe care Deadwood îl folosește pentru a se conecta sau a trimite pachete către serverele din amonte. The
valoarea implicită pentru aceasta este 53; portul DNS standard.
servere_upstream
Aceasta este o listă de servere DNS pe care echilibratorul de încărcare va încerca să le contacteze. Acesta este un
dicţionar variabil (matrice indexată printr-un șir în loc de un număr) în loc de un simplu
variabil. Deoarece upstream_servers este o variabilă de dicționar, trebuie inițializată
înainte de a fi folosit.
Deadwood se va uita la numele gazdei pe care încearcă să găsească serverul din amonte
pentru și se va potrivi cu cel mai lung sufix pe care îl poate găsi.
De exemplu, dacă cineva trimite o interogare pentru „www.foo.example.com” către Deadwood, Deadwood va
vedeți mai întâi dacă există o variabilă upstream_servers pentru „www.foo.example.com.”, apoi căutați
pentru „foo.example.com.”, apoi căutați „example.com.”, apoi „com.”, și în final „.”.
Iată un exemplu de upstream_servers:
upstream_servers = {} # Inițializați variabila dicționar
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
În acest exemplu, orice se termină în „foo.example.com” este rezolvat de serverul DNS la
192.168.42.1; orice altceva care se termină în „example.com” este rezolvat prin 192.168.99.254; și
orice nu se termină în „example.com” este rezolvat fie de 10.1.2.3, fie de 10.1.2.4.
Important: numele de domeniu către care indică upstream_servers trebuie să se termine cu „.” caracter. Aceasta este
OK:
upstream_servers["example.com."] = "192.168.42.1"
Dar acesta este nu OK:
upstream_servers["example.com"] = "192.168.42.1"
Motivul pentru aceasta este că BIND se angajează într-un comportament neașteptat atunci când un nume de gazdă
nu se termină cu un punct și forțând un punct la sfârșitul unui nume de gazdă, Deadwood nu are
pentru a ghici dacă utilizatorul dorește comportamentul lui BIND sau comportamentul „normal”.
Dacă nici root_servers, nici upstream_servers nu sunt setate, Deadwood setează root_servers pentru a fi folosit
serverele rădăcină implicite ICANN, după cum urmează:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUNET)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)
Această listă este actuală din 9 februarie 2015 și a fost modificată ultima dată pe 3 ianuarie 2013.
Vă rugăm să rețineți că fiecare intrare upstream_servers ocupă spațiu în memoria cache a lui Deadwood și asta
maximum_cache_elements va trebui mărit pentru a stoca un număr mare de aceste intrări.
nivel_verbal
Aceasta determină câte mesaje sunt înregistrate pe ieșirea standard; valori mai mari înregistrează mai mult
mesaje. Valoarea implicită pentru aceasta este 3.
ip/mască format of IP-uri
Deadwood folosește un format standard de ip/mască de rețea pentru a specifica IP-uri. Un ip este în zecimală punctată
format, de exemplu, „10.1.2.3” (sau în format IPv6 când este compilat suportul IPv6).
Masca de rețea este utilizată pentru a specifica un interval de IP-uri. Masca de rețea este un singur număr între 1
și 32 (128 când este compilat suportul IPv6), care indică numărul de „1”
biți în masca de rețea.
10.1.1.1/24 indică faptul că orice ip de la 10.1.1.0 la 10.1.1.255 se va potrivi.
10.2.3.4/16 indică faptul că orice ip de la 10.2.0.0 la 10.2.255.255 se va potrivi.
127.0.0.0/8 indică faptul că orice ip cu „127” ca prim octet (număr) se va potrivi.
Masca de rețea este opțională și, dacă nu este prezentă, indică faptul că doar un singur IP se va potrivi.
DNS peste TCP
DNS-over-TCP trebuie activat în mod explicit setând tcp_listen la 1.
Deadwood extrage informații utile din pachetele UDP DNS marcate trunchiat, care aproape
elimină întotdeauna necesitatea de a avea DNS-over-TCP. Cu toate acestea, Deadwood nu memorează în cache pachetele DNS
mai mare de 512 octeți în dimensiune care trebuie trimise folosind TCP. În plus, DNS-over-TCP
pachete care sunt răspunsuri DNS „incomplete” (răspunsuri pe care un solutor stub nu le poate folosi,
care poate fi fie o trimitere NS, fie un răspuns CNAME incomplet) nu sunt tratate corect
de Deadwood.
Deadwood are suport atât pentru DNS-over-UDP, cât și pentru DNS-over-TCP; același demon ascultă
atât portul DNS UDP cât și TCP.
Numai interogările UDP DNS sunt stocate în cache. Deadwood nu acceptă stocarea în cache peste TCP; se descurcă
TCP pentru a rezolva răspunsul trunchiat rar fără informații utile sau cu care să lucrați
foarte neobișnuite soluții DNS care nu sunt conforme cu RFC doar TCP. În lumea reală, DNS-over-TCP este
folosit aproape niciodată.
Analizare alte fișiere
Este posibil să aveți Deadwood, în timp ce analizați fișierul dwood3rc, citiți alte fișiere și
analizați-le ca și cum ar fi fișiere dwood3rc.
Acest lucru se face folosind execfile. Pentru a utiliza execfile, plasați o linie ca aceasta în dwood3rc
fișier:
execfile(„cale/la/nume fișier”)
Unde cale/la/nume fișier este calea către fișierul care urmează să fie analizat ca un fișier dwood3rc.
Toate fișierele trebuie să fie în sau sub directorul /etc/maradns/deadwood/execfile. Numele de fișiere pot
au doar litere mici și caracterul de subliniere ("_"). Căile absolute nu sunt
permis ca argument pentru execfile; numele fișierului nu poate începe cu o bară oblică ("/")
caracter.
Dacă există o eroare de analiză în fișierul indicat de execfile, Deadwood va raporta
eroare ca fiind pe linia cu comanda execfile din fișierul principal dwood3rc. A găsi
unde o eroare de analiză este în sub-fișier, utilizați ceva de genul „Deadwood -f
/etc/maradns/deadwood/execfile/filename" pentru a găsi eroarea de analiză în fișierul ofensator,
unde „nume fișier” este fișierul care trebuie analizat prin execfile.
IPV6 a sustine
Acest server poate fi, de asemenea, compilat opțional pentru a avea suport IPv6. Pentru a activa IPv6
suport, adăugați „-DIPV6” la steagurile de compilare. De exemplu, pentru a compila acest lucru pentru a face a
binar mic și să aibă suport IPv6:
export FLAGS='-Os -DIPV6'
face
SECURITATE
Deadwood este un program scris pentru securitate.
În plus, folosiți o bibliotecă de șiruri rezistentă la depășirea tamponului și un stil de codare și SQA
proces care verifică depășirile de memorie tampon și scurgerile de memorie, Deadwood folosește un puternic
generator de numere pseudo-aleatoare (Versiunea pe 32 de biți a RadioGatun) pentru a genera atât
ID-ul de interogare și portul sursă. Pentru ca generatorul de numere aleatorii să fie sigur, Deadwood are nevoie de a
sursă bună de entropie; implicit Deadwood va folosi /dev/urandom pentru a obține această entropie. Dacă
sunteți pe un sistem fără suport /dev/urandom, este important să vă asigurați că
Deadwood are o sursă bună de entropie, astfel încât ID-ul de interogare și portul sursă sunt greu de găsit
ghiciți (altfel este posibil să falsificați pachete DNS).
Portul Windows al Deadwood include un program numit „mkSecretTxt.exe” care creează un
Fișier aleatoriu de 64 de octeți (512 biți) numit „secret.txt” care poate fi utilizat de Deadwood (prin intermediul
parametrul „random_seed_file”); Deadwood primește, de asemenea, entropie din marcajul de timp când Deadwood
este pornit și numărul ID de proces al lui Deadwood, deci este același să folosiți aceeași statică
secret.txt ca fișier_random_seed_file pentru mai multe invocări ale Deadwood.
Rețineți că Deadwood nu este protejat de cineva din aceeași rețea care va vizualiza pachetele trimise
de Deadwood și trimiterea de pachete falsificate ca răspuns.
Pentru a proteja Deadwood de anumite posibile atacuri de refuz de serviciu, cel mai bine este dacă
Numărul prim al lui Deadwood folosit pentru hashingul elementelor din cache este un prim aleatoriu de 31 de biți
număr. Programul RandomPrime.c generează un prim aleator care este plasat în fișier
DwRandPrime.h care este regenerat ori de câte ori programul este compilat sau lucrurile sunt
curatat cu make clean. Acest program folosește /dev/urandom pentru entropia sa; fișierul
DwRandPrime.h nu va fi regenerat pe sistemele fără /dev/urandom.
Pe sistemele fără suport direct /dev/urandom, se recomandă să vedeți dacă există un
modalitate posibilă de a da sistemului un /dev/urandom funcțional. În acest fel, când Deadwood este
compilat, numărul hash magic va fi corespunzător aleatoriu.
Dacă utilizați un binar precompilat de Deadwood, vă rugăm să vă asigurați că sistemul are /dev/urandom
suport (pe sistemul Windows, vă rugăm să vă asigurați că fișierul cu numele secret.txt este
generat de programul mkSecretTxt.exe inclus); Deadwood, în timpul rulării, folosește
/dev/urandom (secret.txt în Windows) ca o cale hardcoded pentru a obține entropie (împreună cu
timestamp) pentru algoritmul hash.
DAEMONIZAREA
Deadwood nu are nicio facilitate de demonizare încorporată; aceasta se ocupă de
program extern Duende sau orice alt daemonizer.
Exemplu configuraţie fişier
Iată un exemplu de fișier de configurare dwood3rc:
# Acesta este un exemplu de fișier rc deadwood
# Rețineți că comentariile sunt începute cu simbolul hash
bind_address="127.0.0.1" # IP la care ne legăm
# Următoarea linie este dezactivată fiind comentată
#bind_address="::1" # Avem suport opțional IPv6
# Director din care rulăm programul (nu este folosit în Win32)
chroot_dir = "/etc/maradns/deadwood"
# Următoarele servere DNS din amonte sunt ale Google
# (din decembrie 2009) servere DNS publice. Pentru
# mai multe informații, consultați pagina la
# http://code.google.com/speed/public-dns/
#
# Dacă nu sunt setate nici servere_rădăcină, nici servere_upstream,
# Deadwood va folosi serverele rădăcină implicite ICANN.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Cine are voie să folosească memoria cache. Această linie
# permite oricui cu „127.0” ca primele două
# de cifre ale IP-ului lor pentru a utiliza Deadwood
recursive_acl = "127.0.0.1/16"
# Numărul maxim de solicitări în așteptare
maxprocs = 2048
# Trimiteți SERVER FAIL când este supraîncărcat
mâner_supraîncărcare = 1
maradns_uid = 99 # UID Deadwood rulează ca
maradns_gid = 99 # GID Deadwood rulează ca
maximum_cache_elements = 60000
# Dacă doriți să citiți și să scrieți memoria cache de pe disc,
# asigurați-vă că chroot_dir de mai sus poate fi citit și scris
# de maradns_uid/gid de mai sus și anulați comentariul
# următor rând.
#cache_file = "dw_cache"
# Dacă serverul DNS din amonte convertește răspunsurile DNS „nu acolo”.
# în IP-uri, acest parametru îi permite lui Deadwood să convertească orice răspuns
# cu un IP dat înapoi la un IP „nu există”. Dacă vreunul dintre IP-uri
# enumerate mai jos sunt într-un răspuns DNS, Deadwood convertește răspunsul
# într-un „nu acolo”
#ip_blacklist = „10.222.33.44, 10.222.3.55”
# În mod implicit, din motive de securitate, Deadwood nu permite accesul IP-urilor
# 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
Intervalul # 169.254.xx, 224.xxx sau 0.0.xx. Dacă utilizați Deadwood
# pentru a rezolva numele într-o rețea internă, anulați comentariul
# următoarea linie:
#filter_rfc1918 = 0
Utilizați deadwood online folosind serviciile onworks.net
