Это команда deadwood, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
deadwood - полностью рекурсивный кеширующий DNS-преобразователь
ОПИСАНИЕ
Deadwood - это полностью рекурсивный DNS-кеш. Это DNS-сервер со следующими функциями:
* Полная поддержка как рекурсии DNS, так и кэширования переадресации DNS.
* Малый размер и занимаемая память подходят для встроенных систем.
* Простая и чистая кодовая база
* Безопасный дизайн
* Защита от спуфинга: сильная криптография, используемая для определения идентификатора запроса и порта источника.
* Возможность читать и записывать кеш в файл
* Динамический кеш, который удаляет записи, которые не использовались недавно
* Возможность использовать просроченные записи в кеше, когда невозможно связаться с апстримом
DNS-серверы.
* При желании может быть добавлена поддержка IPv6.
* И DNS-over-UDP, и DNS-over-TCP обрабатываются одним и тем же демоном.
* Встроенная функциональность dnswall
КОМАНДА ЛИНИЯ АРГУМЕНТЫ
У Deadwood есть единственный необязательный аргумент командной строки: расположение конфигурации.
файл, который использует Deadwood, указанный с флагом "-f". Если это не определено, Deadwood
использует файл "/ etc / maradns / deadwood / dwood3rc" в качестве файла конфигурации.
Другими словами, обращение к Дедвуду как сухостой заставит Дедвуд использовать
/ etc / maradns / deadwood / dwood3rc в качестве файла конфигурации; вызывая Дедвуд как сухостой -f
Foobar заставит Deadwood использовать файл "foobar" в текущем рабочем каталоге (
каталог, в котором находится при запуске Deadwood) в качестве файла конфигурации.
КОНФИГУРАЦИЯ ФАЙЛОВ ФОРМАТ
Файл конфигурации Deadwood смоделирован по синтаксису Python 2. Любой действующий Дедвуд
файл конфигурации также должен правильно анализироваться как в Python 2.4.3, так и в Python 2.6.6. Если
любой файл конфигурации правильно разбирается в Deadwood, но вызывает синтаксическую ошибку в
Python, это ошибка, которую нужно исправить.
Имея это в виду, пробелы имеют большое значение; Параметры Deadwood должны быть в крайнем левом
столбец без начальных пробелов. Это допустимая строка (если нет пробелов для
его слева):
рекурсивный_acl = "127.0.0.1/16"
Однако следующая строка вызовет ошибку синтаксического анализа:
рекурсивный_acl = "127.0.0.1/16"
Обратите внимание на пробел слева от строки recusive_acl в неправильно отформатированном
линии.
ПАРАМЕТР ВИДЫ
Дедвуд имеет три разных типа параметров:
* Числовые параметры. Числовые параметры не должны заключаться в кавычки, например, этот
пример:
filter_rfc1918 = 0
Если числовой параметр заключен в кавычки, появится сообщение об ошибке «Неизвестный dwood3rc.
строковый параметр ».
* Строковые параметры. Строковые параметры должны быть заключены в кавычки, как в этом
пример:
bind_address = "127.0.0.1"
* Параметры словаря. Все параметры словаря должны быть инициализированы перед использованием, и
параметры словаря должны иметь как индекс словаря, так и значение для указанного индекса
в кавычках, как в этом примере:
upstream_servers = {}
upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
Все параметры dwood3rc кроме следующие числовые параметры:
* bind_address (строка)
* cache_file (строка)
* chroot_dir (строка)
* ip_blacklist (строка)
* ipv4_bind_addresses (строка)
* random_seed_file (строка)
* recursive_acl (строка)
* root_servers (словарь)
* upstream_servers (словарь)
ПОДДЕРЖКА ПАРАМЕТРЫ
Файл конфигурации Deadwood поддерживает следующие параметры:
привязка_адрес
Это IP-адрес (или, возможно, IPv6), к которому мы привязываемся.
кэш_файл
Это имя файла, используемого для чтения и записи кеша на диск; это
строка может содержать строчные буквы, символ '-', символ '_' и символ '/' (для
поместив кеш в подкаталог). Все остальные символы становятся символом «_».
Этот файл читается и записывается от имени пользователя Deadwood.
chroot_dir
Это каталог, из которого будет запускаться программа.
Delivery_all
Это влияет на поведение в Deadwood 2.3, но не влияет на Deadwood 3. Эта переменная
только здесь, чтобы файлы Deadwood 2 rc могли запускаться в Deadwood 3.
DNS_port
Это порт, к которому Deadwood привязывается и прослушивает входящие соединения. По умолчанию
значение для этого - стандартный порт DNS: порт 53
filter_rfc1918
Когда он имеет значение 1, несколько различных диапазонов IP-адресов не могут быть в DNS A.
ответы:
* 192.168.xx
* 172. [16-31] .xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Если один из вышеуказанных IP-адресов обнаружен в ответе DNS, а filter_rfc1918 имеет значение 1,
Deadwood вернет синтетический ответ «этот хост не отвечает» (запись SOA в
Раздел NS) вместо записи A.
Причина в том, чтобы предоставить "dnswall", который защищает пользователей от некоторых видов
атаки, как описано в http://crypto.stanford.edu/dns/
Обратите внимание, что Deadwood предоставляет только функциональность IPv4 «dnswall» и не помогает
защитить от ответов IPv6. Если требуется защита от определенных записей IPv6 AAAA,
либо отключите все ответы AAAA, установив для reject_aaaa значение 1, либо используйте
внешняя программа для фильтрации нежелательных ответов IPv4 (например, программа dnswall).
Значение по умолчанию для этого - 1.
handle_noreply
Если установлено значение 0, Deadwood не отправляет ответ клиенту (когда клиент
TCP-клиент, Дедвуд закрывает TCP-соединение), когда UDP-запрос отправляется восходящим потоком и
восходящий DNS никогда не отправляет ответа.
Когда это установлено в 1, Deadwood отправляет СЕРВЕР ОТКАЗ обратно клиенту, когда UDP-запрос
отправлено восходящим потоком, и восходящий DNS никогда не отправляет ответа.
Значение по умолчанию для этого - 1.
handle_overload
Когда он имеет значение 0, Deadwood не отправляет ответа при отправке UDP-запроса и
сервер перегружен (слишком много незавершенных соединений); когда он имеет значение 1,
Deadwood отправляет пакет SERVER FAIL обратно отправителю UDP-запроса. Значение по умолчанию
для этого 1.
hash_magic_number
Раньше это использовалось для внутреннего хеш-генератора Дедвуда, чтобы поддерживать хеш-генератор.
несколько случайный и невосприимчивый к определенным типам атак. В Deadwood 3.0 энтропия для
хеш-функция создается путем просмотра содержимого / dev / urandom (secret.txt в Windows
машины) и текущую отметку времени. Этот параметр есть только здесь, поэтому более старая конфигурация
файлы не ломаются в Deadwood 3.0.
ip_blacklist
Это список IP-адресов, которым мы не разрешаем быть в ответе на DNS-запрос. В
причина этого в том, чтобы противодействовать практике некоторых интернет-провайдеров конвертировать "этот сайт
не существует "DNS-ответ на странице, контролируемой интернет-провайдером; это приводит к возможным
вопросы безопасности.
Этот параметр принимает только отдельные IP-адреса и не использует маски сети.
maradns_uid
Идентификатор пользователя Deadwood работает как. Это может быть любое число от 10 до 65535 XNUMX; по умолчанию
значение 99 (никто в дистрибутивах Linux, производных от RedHat). Это значение не используется на
Системы Windows.
maradns_gid
Идентификатор группы Deadwood работает как. Это может быть любое число от 10 до 65535 XNUMX; по умолчанию
значение 99. Это значение не используется в системах Windows.
max_ar_chain
Включена ли ротация записей ресурсов. Если он имеет значение 1, запись ресурса
ротация включена, в противном случае ротация записи ресурса отключена.
Ротация записей ресурсов обычно желательна, поскольку позволяет DNS действовать как грубая
балансировщик нагрузки. Однако в сильно загруженных системах может быть желательно отключить его, чтобы
снизить загрузку ЦП.
Причина необычного названия этой переменной - сохранение совместимости с MaraDNS.
mararc файлы.
Значение по умолчанию - 1: ротация записей ресурсов включена.
max_inflights
Максимальное количество одновременных клиентов, которые мы обрабатываем одновременно для одного и того же запроса.
Если при обработке запроса, скажем, "example.com.", Другой клиент DNS отправляет на
Deadwood другой запрос для example.com вместо создания нового запроса для обработки
example.com, Deadwood присоединит нового клиента к тому же запросу, который уже находится в
Flight ", и отправьте ответ обоим клиентам, как только мы получим ответ для example.com.
Это количество одновременных клиентов, которое может иметь данный запрос. Если этот предел
превышено, последующие клиенты с тем же запросом отклоняются до тех пор, пока не будет найден ответ. Если
это имеет значение 1, мы не объединяем несколько запросов для одного и того же запроса, но даем каждому
запросить собственное соединение.
Значение по умолчанию - 8.
max_ttl
Максимальное время, в течение которого мы будем хранить запись в кеше, в секундах (также называется
«Максимальный TTL»).
Это самый длительный срок хранения записи в кеше. Значение по умолчанию для этого параметра -
86400 (один день); минимальное значение - 300 (5 минут), а максимальное значение может иметь
7776000 (90 дней).
Причина, по которой этот параметр здесь, - защитить Дедвуд от атак, использующих
в кеше есть устаревшие данные, такие как атака «Призрачные доменные имена».
max_cache_elements
Максимальное количество элементов, которые может иметь наш кеш. Это число от 32
и 16,777,216 1024 XNUMX; значение по умолчанию - XNUMX. Обратите внимание, что при записи кеша в
диск или чтение кеша с диска, более высокие значения замедляют кеш
чтение / письмо.
Объем памяти, который использует каждая запись кэша, зависит от операционной системы.
используемый и размер назначенных страниц распределения памяти. В Windows XP, например, каждый
запись использует примерно четыре килобайта памяти, а у Дедвуда накладные расходы составляют
примерно 512 килобайт. Итак, если есть 512 элементов кеша, Дедвуд использует
примерно 2.5 мегабайта памяти, и если есть 1024 элемента кеша, Deadwood использует
примерно 4.5 мегабайта памяти. Опять же, эти числа для Windows XP и других
операционные системы будут иметь разные номера распределения памяти.
Обратите внимание, что каждая запись root_servers и upstream_servers занимает место в Deadwood.
cache, и этот параметр maximum_cache_elements необходимо увеличить для хранения большого количества
эти записи.
макспрокс
Это максимальное количество ожидающих удаленных UDP-соединений, которые может иметь Deadwood. В
значение по умолчанию - 1024.
max_tcp_procs
Это количество разрешенных открытых TCP-соединений. Значение по умолчанию: 8
num_retries
Сколько раз мы пытались отправить запрос вверх по течению перед тем, как отказаться. Если это 0, мы
попробуйте только один раз; если это 1, мы пытаемся дважды, и так далее, до 32 попыток. Обратите внимание, что каждый
повторная попытка занимает timeout_seconds секунд, прежде чем мы повторим попытку. Значение по умолчанию: 5
ns_glueless_type
Тип RR, который мы отправляем для разрешения бессвязных записей. Это должно быть 1 (А) при использовании в основном
IPv4 для разрешения записей. Если у бесклеевых NS-записей есть AAAA, но нет A-записей, и IPv6
включен, имеет смысл присвоить ему значение 255 (ЛЮБОЙ). Если IPv4 когда-нибудь перестанет быть
при широкомасштабном использовании, со временем может стать возможным сделать это значение равным 28
(АААА).
Значение по умолчанию - 1: запись A (IPv4 IP). Этот параметр имеет не был протестирован; использовать в
ваш собственный риск.
случайный_seed_file
Это файл, который содержит случайные числа и используется в качестве начального числа для
криптографически стойкий генератор случайных чисел. Deadwood попытается прочитать 256 байт
из этого файла (ГСЧ Deadwood может принимать поток любой произвольной длины).
Обратите внимание, что функция сжатия хэша получает некоторую часть своей энтропии перед анализом
mararc и жестко запрограммирован на получение энтропии из / dev / urandom (secret.txt в Windows
системы). Большая часть другой энтропии, используемой Deadwood, происходит из файла, на который указывает
случайный_начальный_файл.
recurse_min_bind_port
Дедвуду разрешено связываться с портом с наименьшим номером; это случайный номер порта, используемый
для исходного порта исходящих запросов, а не 53 (см. dns_port выше). Это
число от 1025 до 32767 и имеет значение по умолчанию 15000. Это используется для того, чтобы DNS
атаки спуфинга сложнее.
recurse_number_ports
Количество портов, к которым Deadwood привязывается для исходного порта для исходящих соединений; это
представляет собой степень двойки между 2 и 256. Это используется для усиления атак с подменой DNS.
сложно. Значение по умолчанию - 4096.
рекурсивный_acl
Это список тех, кому разрешено использовать Deadwood для выполнения рекурсии DNS, в "ip / mask".
формат. Маска должна быть числом от 0 до 32 (для IPv6 от 0 до 128). Например,
«127.0.0.1/8» разрешает локальные соединения.
отклонить_аааа
Если он имеет значение 1, ложный ответ SOA "не существует" отправляется всякий раз, когда запрос AAAA
отправлен в Дедвуд. Другими словами, каждый раз, когда программа запрашивает у Deadwood IPv6 IP
адрес, вместо попытки обработать запрос, когда он установлен в 1, Deadwood
делает вид, что у рассматриваемого имени хоста нет адреса IPv6.
Это полезно для людей, которые не используют IPv6, но используют приложения (обычно команда * NIX
например, приложения типа "telnet"), которые замедляют поиск IPv6-адреса.
По умолчанию имеет значение 0. Другими словами, запросы AAAA обрабатываются нормально, если только
это установлено.
отклонить_mx
Если по умолчанию установлено значение 1, запросы MX автоматически отбрасываются вместе с их IP-адресом.
зарегистрирован. MX-запрос - это запрос, который выполняется машиной только в том случае, если она хочет быть собственной.
почтовый сервер, отправляющий почту на машины в Интернете. Это запрос среднего рабочего стола
машина (в том числе та, которая использует Outlook или другой почтовый пользовательский агент для чтения и отправки
электронная почта) никогда не сделаю.
Скорее всего, если машина пытается выполнить MX-запрос, она управляется
удаленный источник для рассылки нежелательного «спама» по электронной почте. Имея это в виду, Дедвуд не позволит
Запросы MX должны выполняться, если для reject_mx явно не задано значение 0.
Перед отключением помните, что Deadwood оптимизирован для использования в Интернете.
серфинг, а не как DNS-сервер для почтового концентратора. В частности, IP-адреса для записей MX:
удалено из ответов Дедвуда, и Дедвуду необходимо выполнить дополнительные DNS-запросы для
получить IP-адреса, соответствующие записям MX, и тестирование Deadwood больше ориентировано на Интернет
серфинг (почти 100% поиск записи), а не доставка почты (обширная запись MX
уважать).
отклонить_ptr
Если он имеет значение 1, ложный ответ SOA "не существует" отправляется всякий раз, когда запрос PTR
отправлен в Дедвуд. Другими словами, каждый раз, когда программа запрашивает у Дедвуда «обратный DNS
поиск »- имя хоста для данного IP-адреса - вместо того, чтобы пытаться обработать
запрос, когда это установлено в 1, Дедвуд притворяется, что рассматриваемый IP-адрес не имеет
имя хоста.
Это полезно для людей, у которых медленные тайм-ауты DNS при попытке выполнить
обратный поиск DNS на IP-адресах.
По умолчанию имеет значение 0. Другими словами, запросы PTR обрабатываются нормально, если только
это установлено.
воскрешения
Если установлено значение 1, Deadwood попытается отправить пользователю просроченную запись перед тем, как дать
вверх. Если это 0, мы этого не делаем. Значение по умолчанию: 1
корневые_серверы
Это список корневых серверов; его синтаксис идентичен upstream_servers (см. ниже).
Это тип службы DNS, которую, например, использует ICANN. Это серверы, которые делают
не давать нам полных ответов на вопросы о DNS, а просто сообщать нам, какие DNS-серверы следует
подключитесь к, чтобы получить ответ, более близкий к желаемому.
Обратите внимание, что каждая запись root_servers занимает место в кэше Deadwood и что
Для хранения большого количества этих записей необходимо увеличить maximum_cache_elements.
tcp_listen
Чтобы включить DNS-over-TCP, эта переменная должна быть установлена и иметь значение 1. По умолчанию
значение: 0
таймаут_секунды
Вот как долго Deadwood будет ждать, прежде чем отказаться от ожидающего UDP DNS.
Ответить. Значение по умолчанию для этого - 1, как в 1 секунду, если Deadwood не был скомпилирован с
FALLBACK_TIME включен.
timeout_секунды_tcp
Как долго ждать простоя TCP-соединения, прежде чем его разорвать. Значение по умолчанию для этого
равно 4, как за 4 секунды.
ttl_age
Включено ли старение TTL; установлены ли TTL для записей в кэше равными
количество времени, в течение которого записи оставались в кеше.
Если он имеет значение 1, записи TTL устарели. В противном случае их нет. По умолчанию
значение для этого - 1.
восходящий_порт
Это порт, который Deadwood использует для подключения или отправки пакетов на вышестоящие серверы. В
значение по умолчанию - 53; стандартный порт DNS.
восходящие_серверы
Это список DNS-серверов, с которыми балансировщик нагрузки попытается связаться. Это
словарь переменная (массив, индексированный строкой, а не числом) вместо простого
Переменная. Поскольку upstream_servers - это словарная переменная, ее необходимо инициализировать.
перед использованием.
Deadwood посмотрит на имя хоста, который пытается найти вышестоящий сервер.
for и будет соответствовать самому длинному суффиксу, который может найти.
Например, если кто-то отправит запрос "www.foo.example.com" в Deadwood, Deadwood будет
сначала посмотрите, есть ли переменная upstream_servers для "www.foo.example.com.", затем посмотрите
введите "foo.example.com.", затем найдите "example.com.", затем "com." и, наконец, ".".
Вот пример upstream_servers:
upstream_servers = {} # Инициализировать словарную переменную
upstream_servers ["foo.example.com."] = "192.168.42.1"
upstream_servers ["example.com."] = "192.168.99.254"
upstream_servers ["."] = "10.1.2.3, 10.1.2.4"
В этом примере все, что заканчивается на "foo.example.com", разрешается DNS-сервером по адресу
192.168.42.1; все остальное, заканчивающееся на example.com, разрешается с помощью 192.168.99.254; а также
все, что не заканчивается на example.com, разрешается либо 10.1.2.3, либо 10.1.2.4.
важно: доменное имя, на которое указывает upstream_servers, должно заканчиваться на "." персонаж. Это
OK:
upstream_servers ["example.com."] = "192.168.42.1"
Но это не OK:
upstream_servers ["example.com"] = "192.168.42.1"
Причина в том, что BIND проявляет неожиданное поведение, когда имя хоста
не оканчивается точкой, и если поставить точку в конце имени хоста, Deadwood не получит
чтобы угадать, хочет ли пользователь поведения BIND или «нормального» поведения.
Если ни root_servers, ни upstream_servers не установлены, Deadwood устанавливает root_servers для использования
корневые серверы ICANN по умолчанию, а именно:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Когент)
199.7.91.13 d.root-servers.net (Мэриленд)
192.203.230.10 e.root-servers.net (НАСА Эймс)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (сетевой адаптер DOD)
128.63.2.53 h.root-servers.net (АрмияRU)
192.36.148.17 i.root-servers.net (НОРДУнет)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (резо)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (ШИРОКИЙ)
Этот список актуален по состоянию на 9 февраля 2015 г. и последний раз изменялся 3 января 2013 г.
Обратите внимание, что каждая запись upstream_servers занимает место в кеше Deadwood и что
Для хранения большого количества этих записей необходимо увеличить maximum_cache_elements.
подробный_уровень
Это определяет, сколько сообщений регистрируется на стандартном выводе; большие значения регистрируют больше
Сообщения. Значение по умолчанию - 3.
ip / маска формат of IP-адреса
Deadwood использует стандартные форматы IP / сетевой маски для указания IP-адресов. IP-адрес в десятичном формате с точками
формат, например «10.1.2.3» (или в формате IPv6, если поддержка IPv6 вкомпилирована).
Сетевая маска используется для указания диапазона IP-адресов. Сетевая маска - это одно число от 1
и 32 (128, если вкомпилирована поддержка IPv6), что указывает число в начале "1"
биты в сетевой маске.
10.1.1.1/24 указывает, что будет совпадать любой IP-адрес от 10.1.1.0 до 10.1.1.255.
10.2.3.4/16 указывает, что будет совпадать любой IP-адрес от 10.2.0.0 до 10.2.255.255.
127.0.0.0/8 указывает, что любой IP-адрес с "127" в качестве первого октета (числа) будет совпадать.
Сетевая маска не является обязательной и, если она не указана, указывает, что будет соответствовать только один IP-адрес.
DNS за TCP
DNS-over-TCP необходимо явно включить, установив для tcp_listen значение 1.
Deadwood извлекает полезную информацию из UDP-пакетов DNS, помеченных как усеченные, что почти
всегда устраняет необходимость иметь DNS-over-TCP. Однако Deadwood не кэширует DNS-пакеты.
размером более 512 байт, которые необходимо отправить по TCP. Кроме того, DNS-over-TCP
пакеты, которые являются «неполными» ответами DNS (ответы, которые не может использовать преобразователь заглушки,
которые могут быть либо переходом NS, либо неполным ответом CNAME) обрабатываются некорректно
пользователя Deadwood.
Deadwood поддерживает как DNS-over-UDP, так и DNS-over-TCP; тот же демон слушает
порт UDP и TCP DNS.
Кэшируются только запросы UDP DNS. Deadwood не поддерживает кэширование по TCP; он обрабатывает
TCP для разрешения редких усеченных ответов без какой-либо полезной информации или для работы с
очень редкие, несовместимые с RFC преобразователи DNS только для TCP. В реальном мире DNS-over-TCP
почти не использовал.
анализ другие файлов
Есть возможность иметь Deadwood, при разборе файла dwood3rc, чтение других файлов и
проанализируйте их, как если бы они были файлами dwood3rc.
Это делается с помощью исполняемый файл. Чтобы использовать execfile, поместите такую строку в dwood3rc
файл:
execfile ("путь / к / имени файла")
Где path / to / filename - это путь к файлу, который нужно проанализировать, как файл dwood3rc.
Все файлы должны находиться в каталоге / etc / maradns / deadwood / execfile или в нем. Имена файлов могут
только строчные буквы и символ подчеркивания ("_"). Абсолютных путей нет
разрешено в качестве аргумента для execfile; имя файла не может начинаться с косой черты ("/")
характер.
Если есть ошибка синтаксического анализа в файле, на который указывает execfile, Deadwood сообщит
ошибка как находящаяся в строке с командой execfile в основном файле dwood3rc. Найти
если в суб-файле есть ошибка синтаксического анализа, используйте что-то вроде "Deadwood -f
/ etc / maradns / deadwood / execfile / filename ", чтобы найти ошибку синтаксического анализа в нарушающем файле,
где «filename» - это файл, который нужно проанализировать с помощью execfile.
IPV6 поддержка
Этот сервер также может быть дополнительно скомпилирован для поддержки IPv6. Чтобы включить IPv6
support, добавьте '-DIPV6' к флагам времени компиляции. Например, чтобы скомпилировать это, чтобы сделать
небольшой двоичный файл и поддержка IPv6:
экспорт ФЛАГИ = '- Os -DIPV6'
сделать
БЕЗОПАСНОСТЬ
Deadwood - это программа, написанная с учетом требований безопасности.
Помимо использования строковой библиотеки, устойчивой к переполнению буфера, стиля кодирования и SQA
процесс, который проверяет переполнение буфера и утечку памяти, Deadwood использует сильную
генератор псевдослучайных чисел (32-разрядная версия RadioGatun) для генерации как
идентификатор запроса и порт источника. Чтобы генератор случайных чисел был безопасным, Дедвуду нужен
хороший источник энтропии; по умолчанию Deadwood будет использовать / dev / urandom для получения этой энтропии. Если
вы работаете в системе без поддержки / dev / urandom, важно убедиться, что
Deadwood имеет хороший источник энтропии, поэтому идентификатор запроса и исходный порт трудно подобрать.
угадайте (иначе можно подделать DNS-пакеты).
Порт Deadwood для Windows включает программу под названием "mkSecretTxt.exe", которая создает
64-байтовый (512-битный) случайный файл с именем "secret.txt", который может использоваться Deadwood (через
параметр random_seed_file); Дедвуд также получает энтропию от отметки времени, когда Дедвуд
запущен и ID процесса Deadwood, поэтому использовать один и тот же статический
secret.txt как random_seed_file для нескольких вызовов Deadwood.
Обратите внимание, что Deadwood не защищен от кого-либо в той же сети, просматривающей отправленные пакеты.
Дедвудом и отправкой поддельных пакетов в качестве ответа.
Для защиты Deadwood от возможных атак типа «отказ в обслуживании» лучше всего, если
Простое число Дедвуда, используемое для хеширования элементов в кеше, является случайным 31-битным простым числом.
количество. Программа RandomPrime.c генерирует случайное простое число, которое помещается в файл
DwRandPrime.h, который восстанавливается всякий раз, когда программа компилируется или что-то
очищены с помощью make clean. Эта программа использует / dev / urandom для своей энтропии; файл
DwRandPrime.h не будет восстановлен в системах без / dev / urandom.
В системах без прямой поддержки / dev / urandom рекомендуется проверить, есть ли
Возможный способ дать системе рабочий / dev / urandom. Таким образом, когда Дедвуд
скомпилировано, магическое число хеша будет подходящим образом случайным.
Если вы используете предварительно скомпилированный двоичный файл Deadwood, убедитесь, что в системе есть / dev / urandom
поддержки (в системе Windows убедитесь, что файл с именем secret.txt
генерируется включенной программой mkSecretTxt.exe); Deadwood во время выполнения использует
/ dev / urandom (secret.txt в Windows) как жестко запрограммированный путь для получения энтропии (вместе с
отметка времени) для алгоритма хеширования.
ДЭМОНИЗАЦИЯ
В Deadwood нет встроенных средств демонизации; этим занимается
внешняя программа Duende или любой другой демонизатор.
Пример конфигурация файл
Вот пример файла конфигурации dwood3rc:
# Это пример rc файла deadwood
# Обратите внимание, что комментарии начинаются с символа решетки
bind_address = "127.0.0.1" # IP, к которому мы привязываемся
# Следующая строка отключена из-за того, что она закомментирована
#bind_address = ":: 1" # У нас есть дополнительная поддержка IPv6
# Каталог, из которого запускаем программу (не используется в Win32)
chroot_dir = "/ etc / maradns / deadwood"
# Следующие восходящие DNS-серверы принадлежат Google
# (по состоянию на декабрь 2009 г.) общедоступные DNS-серверы. Для
# дополнительную информацию см. на странице по адресу
# http://code.google.com/speed/public-dns/
#
# Если ни root_servers, ни upstream_servers не установлены,
# Deadwood будет использовать корневые серверы ICANN по умолчанию.
#upstream_servers = {}
#upstream_servers ["."] = "8.8.8.8, 8.8.4.4"
# Кому разрешено использовать кеш. Эта линия
# разрешает кому угодно с "127.0" в качестве первых двух
# цифр их IP-адреса для использования Deadwood
рекурсивный_acl = "127.0.0.1/16"
# Максимальное количество ожидающих запросов
макспрокс = 2048
# Отправить SERVER FAIL при перегрузке
ручка_перегрузка = 1
maradns_uid = 99 # UID Deadwood работает как
maradns_gid = 99 # GID Deadwood работает как
max_cache_elements = 60000
# Если вы хотите читать и записывать кеш с диска,
# убедитесь, что chroot_dir выше доступен для чтения и записи
# указанным выше maradns_uid / gid и раскомментируйте
# следующая строка.
#cache_file = "dw_cache"
# Если ваш вышестоящий DNS-сервер преобразует DNS-ответы "не там"
# в IP, этот параметр позволяет Deadwood конвертировать любой ответ
# с заданным IP обратно на "не там" IP. Если какой-либо из IP
# перечисленные ниже находятся в ответе DNS, Дедвуд преобразует ответ
# в "не там"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# По умолчанию из соображений безопасности Deadwood не разрешает IP-адреса в
# 192.168.xx, 172. [16-31] .xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx или 0.0.xx диапазон. При использовании Deadwood
# для разрешения имен во внутренней сети раскомментируйте
# следующая строка:
# filter_rfc1918 = 0
Используйте deadwood онлайн с помощью сервисов onworks.net
