Jump to content

Защита от подмены DNS

EShirokiy
 Share

Recommended Posts

EShirokiy

EShirokiy

Posted
Posted

Приветствую, сейчас очень часто встречается подмена DNS в винде через реестр. У абонентов подменяются страницы, тормозит интернет и творятся другие безобразные вещи. Есть идея скачать какой нибудь черный список DNS и заблокировать их в фаерволе или сделать переадресацию на валидные DNS. Если ли в природе обновляемая база черных списков ДНС?

pppoetest

pppoetest

Posted
Posted

Единственный 100% рабочий вариант - редирект dst 53 на свой либо валидный днс. Но особо умные буду возбухать, в ЛК необходимо добавить возможность отключать сие.

Diamont

Diamont

Posted
Posted

Редирект запросов на 53 порт на свои днс, или на гугловые, с пометкой в договоре об этом...

Проще сразу на туалетной бумаге пометить. И подтереться.
EShirokiy

EShirokiy

Posted
  • Author
Posted

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

GrandPr1de

GrandPr1de

Posted
Posted (edited)

Ну всегда можно делать исключения. Вот во фре

ipfw fwd 127.0.0.1,53 udp from ${internal_lan} to not ${safe_dns} 53

 

И так почти везде можно, так что не думаю, что вызовет особые проблемы.

 

UPD в примере порт забыл указать, а то бы весь трафик завернуло :)

Edited by GrandPr1de
Ivan_83

Ivan_83

Posted
Posted

На PF:

table <int_nets_tbl> persist const { $int_if0:network, 255.255.255.255 } ## Intenal networks

 

rdr proto { tcp, udp } from <int_nets_tbl> to !<int_nets_tbl> port 53 -> 172.16.0.254 port 53 # redirect all dns to DNS

pppoetest

pppoetest

Posted
Posted

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

Проблема одна - перехват и внедрение в трафик абона. Если будете внедрять, наличие в ЛК возможности отключить редирект, необходимое и обязательное условие.

  • 10 months later...
rader

rader

Posted
Posted (edited)

Ну всегда можно делать исключения. Вот во фре

ipfw fwd 127.0.0.1,53 udp from ${internal_lan} to not ${safe_dns} 53

 

И так почти везде можно, так что не думаю, что вызовет особые проблемы.

 

UPD в примере порт забыл указать, а то бы весь трафик завернуло :)

Пробовал так, но у меня не прокатили настройки. Трафик завернул, но вот клиент понимает, что ответ приходит не от того DNS. Можно изменить ip адрес отправителя DNS средствами ipfw?

Edited by rader
ShyLion

ShyLion

Posted
Posted

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

 

Как админ крупной компании я бы вынес мозг оператору за такие "фичи". Для физиков впрочем прокатит, пока на домашнего красноглазика не нарветесь.

stalker86

stalker86

Posted
Posted

Да даже если нарваться - что-то сделать проблематично. Если подменяют своими ответами не постоянно, а только когда или выгодно или "согласно списка запрещённых ресурсов"

rdc

rdc

Posted
Posted
Кладезь платных заявок для сервисной службы же)
К сожалению, полно хомячков, которые сделают вывод, что ваш интернет говно, и сменят провайдера.

И не вернутся, даже обнаружив на новом месте то же самое.

Лучше предотвратить проблему, чем создавать такой риск.

DRiVen

DRiVen

Posted
Posted

rdc, с таким подходом вы скоро компы абонентские бесплатно настраивать/обслуживать будете и водку по звонку подвозить. Считающего, что все виноваты кроме него, хомяка лучше и проще отпустить, чем с неадекватом мучиться, ибо таких, слава богу, "в периоде" примерно постоянное и, кстати, довольно-таки небольшое количество. А начав эту порочную практику, и себе добавите геморроя, и у других работу отнимете.

Ivan_83

Ivan_83

Posted
Posted
rdc, с таким подходом вы скоро компы абонентские бесплатно настраивать/обслуживать будете и водку по звонку подвозить. Считающего, что все виноваты кроме него, хомяка лучше и проще отпустить, чем с неадекватом мучиться, ибо таких, слава богу, "в периоде" примерно постоянное и, кстати, довольно-таки небольшое количество. А начав эту порочную практику, и себе добавите геморроя, и у других работу отнимете.

Разные условия и разные абоненты.

rader

rader

Posted
Posted (edited)

Как завернуть весь трафик на свои DNS сервера в ipfw, чтобы конечный пользователь нормально работал(ответ от моего DNS сервера под ip запрашиваемого DNS пользователем, типа запросил ip ааа.ааа.ааа.ааа ему и пришел ответ ip aaa.aaa.aaa.aaa )?

Edited by rader
rader

rader

Posted
Posted (edited)

Так то завернул трафик, как в сквиде. Но вот проблема DNS сервер отвечает с ip 10.10.10.200, а клиент его не принимает, так как он запросил 8.8.8.8

Edited by rader

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.