Dns resolution daemon что это
Все хорошо в андроиде для меня, кроме этой проблемы. Так как я часто бываю в международном роуминге, для меня это просто катастрофа. поэтому пользуюсь пока WM, но очень хочется перейти на android.
Насколько я понял есть только одна програма ограничивающая доступ выбранным программам в интернет это DroidWall , но вопервых она требует рут права, а ходить под рутом в интернет это довольно опасно, насколько я помню по линуксу. Ктомуже она не работает на многих девайсах, и требует перепрошивки на ту в которой есть нужная библиотека. например на самых интересных девайсах, как то desire или nexus one, она неработает.
О проблеме утечки я узнал довольно давно прочитав эту новость
и даже начал топик тут, но безрезультатно. И насколько я понял, за все прошедшее время проблема так и не решена, или я ошибаюсь?
Возможно ли найти решение сидеть по gprs например в icq, и небояться утечки трафика от других приложений или от самой ос ?
И страно что если проблема не решена, почему она активно не обсуждается?
--------
зы Добавил опрос, может это поможет определить величину проблемы
Возможно ли найти решение сидеть по gprs например в icq, и небояться утечки трафика от других приложений или от самой ос ?
Там как раз говорится об утечке, что она происходит несмотря на выключение режима роуминга, синхронизации данных, и использования сетей 3G.
Ктомуже я нехочу отказываться от интернета в роуменге , я просто нехочу платить за лишний трафик.
Я себе поставил программку APNdroid, она принудительно меняет apn так, что коммуникатор не может законнектиться. Вытаскиваешь на рабочий стол виджет, у него два состояния - On/Off и сам решаешь, разрешать доступ в интернеты или нет.
Я не знаю у кого как, а у меня в телефоне есть опция - отключить траффик. Ставишь галку и всё, тишина. Никакие дроидволы и апндроиды не нужны.
У меня такой опции нет, к тому же, APNdroid избавляет от необходимости постоянно лазать в настройки. Я обычно перед посадкой в метро отрубаю интернеты, а после выхода включаю обратно. Иначе андроид на каждой станции, поймав сеть, ломится куда-то, скачав пару байт, а порог округления у Беелине 50 кб, кажется. Денежки утекают медленно, но верно
А я свою спику прошил на ОС 2,1 (прошивкой JE1), после этого APNdroid не отключает инет. С версией андроида 1,5 всё работало стабильно. Сейчас пользуюсь виджетом Toggle Widget. Ставиться ярлык на рабочий стол и всё, можно включать и выключать инет. Очень рекомендую. ;)
Тоже есть галка (И виджет) отключение интернета. Ставлю и не одного байта не утекает. А так за сутки уходит в среднем 3мб.
Ребят я наверное может не так ставлю вопрос. Но главное это не отрубание интернета вообще а отрубание лишнего трафика.
вот например, если вы сидите в icq 4 часа, плюс обновляется почта раз в полчаса, то если есть лишний трафик то заплатите вы дофига, тогда нет смысла от такого комуникатора, потому что с wm вы платете за это копейки.
неужели никто постольку несидит в аське на андроиде
to SancheZ86, полностью несогласен, именно из-за того что он "заточен под сеть" он и не должен жрать лишнее бабло.
ктомуже, если сидишь где-нибудь на Кубе, и ждешь на почту нужную документацию, то каждый килобайт стоит столько, что это уже не жлобство
dimettry,
я тоже не понимаю вас. Вы когда приобретали сей аппарат, были хотя бы в курсе, что интернет ему нужен так же, как вам нужен воздух? Я вот когда приобретал, знал что за это придется платить дополнительные средства из своего кармана. Сейчас я вот подключил 3G безлимит для своей спики и доволен. Да, я плачу за это дополнительно в месяц 600 рублей, но я на это шел осознанно. Зато имею всегда в любую минуту выход в сеть, и проблемы типа: что он и зачем сам куда та выходит, меня не интересуют совершенно. Мне даже нравиться что он живет своей жизнью. А когда вы ездите в роуминг, пользуйте свой ВМ, какие проблемы та? Вам нужно для начала определиться что вы сами хотите. Я тоже работаю в разных регионах, где включается роуминг. Можете у оператора узнать оптимальные тарифы которые будут выгодны для вас, или в крайнем случае где вы останавливаетесь в роуминге, приобретите местную сим. А копаться в системе, искать методы перекрыть кислород вашему андроиду, я думаю это смешно, легче вам его продать и оставаться счастливым с ВМ или симбой! Ни чем не хочу вас обидеть, но просто для меня это бред полнейший!
. то покупаешь симку местного оператора! А звонишь через Skype. По-моему, так нужно поступать если хотите сэкономить.
конечно разговор уже пошел в офтоп. ксожалению невсегда месная симка это выход. На кубе например иностранец не может купить симку. а цена минуты в другую страну там такая что наш роуминг дешевле. в индии хоть и дешевая связь но купить не на гоа симку довольно проблематично и подкключить gprs еще больше сложностей хоть и gprs безлимит в месяц стоит 160рублей нашими. если едешь на неделю или на 3-4 дня нет смысла тратить 2 из них на подключение к месной сети. Есть конечно и нормальные страны типа тайланда где за 900 рублей безлимит месяц и все активируют при покупке, но таких стран очень мало.
проблема с дорогим роуменгом в том что я готов заплатить за icq и почту скажем 300 руб за неделю (учитывая округление сесии и ее цену) но 1300 руб неготов
Я не знаю у кого как, а у меня в айдле траффик кушает только Seesmic (клиент для Twitter, стоит авто-обновление, можно отключить) и системные сервисы (которые тоже спокойно отключаются одной кнопкой).
В любом случае я покупал устройство для активного пользования интернетом, мне не жалко траффика. Я и YouTube смотрю в транспорте и last.fm слушаю. У вас дорогой тариф? Смените нафиг оператора. Гуглофоны как и весь гугл - это онлайн-штуки. У вас либо есть инет 24 часа в сутки, либо у вас нет гуглофона. Если вы юзаете инет только дома через WiFi, то не умнее ли юзать ноут, а телефоном взять Nokia 1100? Сэкономите!
Присоединяюсь к dimmetry.
Кроме как увещеваниями на поставленный вопрос так никто и не ответил.
Ответы напомнили старый анекдот:
"-Армяне лучше чем грузины!
- Чем лучше?
-Чем грузины!"
AUXX
У вас не спрашивали совета где и как юзать инет, я думаю автор поста как-нибудь и сам разберётся. Кстати Nokia1100 с неуникальным IMEI тоже штука очень полезная.
Итак повторю вопрос: есть ли возможность в Android разрешать доступ в интернет только избранным приложениям , одновременно перекрывая его для всего остального (например, погоде и новостям) на незарутованном аппарате?
Итак повторю вопрос: есть ли возможность в Android разрешать доступ в интернет только избранным приложениям, одновременно перекрывая его для всего остального (например, погоде и новостям) на незарутованном аппарате?
Тоже здорово напрягает. Не то, чтоб мне денег жалко было, я в загранкомандировки не езжу, просто как-то неприятно после винды. После каждого звонка он куда-то что-то передаёт и принимает, туда-сюда по 3-4 кб, за сутки натекает по полметра - метру при часе-полтора разговоров. Приложения все подряд пытаются в сеть лезть, ну зачем финансовой проге доступ в интернет, так и пишет при установке, что требует неограниченный доступ в сеть, КОРг сроду инетом не интересовался, зато деньги умеет считать хорошо :)
Отрубать весь инет не охота, у меня всегда стоит синхронизация гугловских сервисов, плюс аська. Прекрасно понимаю автора топика, хочется, чтоб как на старой винде, запустил аську, значит в инете только аська, а не ломятся втихую ещё с десяток прог.
Любая программа, если в ней есть реклама, требует доступ в инет. Это как вариант. Просто многие бесплатные софтины имеют в довесок рекламный блок.
Прекрасно понимаю автора топика, хочется, чтоб как на старой винде, запустил аську, значит в инете только аська, а не ломятся втихую ещё с десяток прог.
Может и не совсем втихую, но подмечено правильно, большинство бесплатного софта начинает гонять рекламу. Вот была бы софтинка, которая выпускала бы в инет только указанные приложения, а остальные рубила бы, купил бы. Меня, если честно, тоже побешивает ситуация, когда ткнул в аудиовиджет, изменил какую-нибудь громкость, а в этот момент скачалась рекламка. Оп, всего вроде пара кБ, оп - округлилось. И так целый день.
Попытки взлома стали более умными, учитывая более широкое использование удаленного доступа к Интернет-соединениям. Наличие общедоступного подключения к Wi-Fi также привело к серьёзным уязвимостям в соединениях, предлагаемых поставщиками услуг Интернета (ISP). Более того, с учетом роста числа кибератак и атак программ-вымогателей на персональные компьютеры и корпоративные сети, конфиденциальность и безопасность данных, хранящихся в киберпространстве, поставлены под сомнение.
В этой статье мы подробнее обсудим утечки DNS, их симптомы в сети и способы их проверки.
Каковы причины утечки DNS
Существует несколько причин утечки DNS:
Объяснение динамического DNS
DNS полезен, потому что нам гораздо легче запомнить набор строковых символов (особенно если он осмысленный), чем строку чисел. (Это похоже на «Контакты» вашего телефона, где вам нужно запомнить только имена ваших друзей, а не их цифровые номера.)
Динамический DNS – это та же концепция, но она применяется к динамическому IP-адресу глобальной сети, который периодически меняется. Большинство планов домашнего широкополосного доступа не включают статический IP-адрес WAN – иметь фиксированный IP-адрес WAN, который всегда остаётся неизменным, дорого.
Вы можете легко узнать свой IP прямо сейчас. Однако через неделю проверьте ещё раз, и, скорее всего, вы получите новый адрес.
Другими словами, даже если вы запишете свой текущий IP-адрес WAN или запомните его наизусть, вы, вероятно, не сможете полагаться на него при наборе номера в следующий раз. Когда вы это сделаете, этот адрес может быть перемещен в чью-то другую домашнюю сеть.
Вот где DDNS вступает в игру: он связывает ваш текущий IP-адрес WAN – независимо от того, какой он в любой момент времени – с согласованным доменным именем по вашему выбору.
В результате вы всегда можете использовать эту метку (доменное имя) для доступа к своей домашней сети из любой точки мира, даже не зная её IP-адреса.
XSS-инжекты через DNS
Некоторое время назад как иностранные, так и русскоязычные СМИ рассказывали об атаке, в которой в качестве TXT-записи отдается XSS-вектор. Настраиваем TXT-запись подобным образом (только замени квадратные скобки вокруг [script] на угловые ):
и там, где веб-приложение показывает эту запись, скрипт выполнится. Разумеется, если не фильтруются спецсимволы в пользовательских данных.
«А что тут такого?» — подумал я. У меня XSS-вектор в домене висит полдесятка лет (еще Agava не может ее нормально пофиксить, алерт вылезает прямо в кабинете), ведь завести подобную запись можно в любой панели управления. А как насчет других записей?
Вот что отдавал мой DNS-сервер
Другие статьи в выпуске:
Самое смешное, что в самом начале теста я завел запись
(IP-адрес ns.hack нужно получить у домена ns.hack). И попробовал посовать этот домен во всякие формы сайтов. Ну и что ты думаешь?
Часть DNS-клиентов стала рекурсивно запрашивать у меня записи, а когда лог достиг сотни мегабайт, эксперимент пришлось прервать. Технологии используются несколько десятков лет, а поломать все можно логической ловушкой, ну офигеть теперь!
Ну ладно, продолжим. Открываем dnschef.ini, пишем туда следующий конфиг (опять же, не забудь заменить скобки для [script]):
Также на сервере может быть закрыт доступ на 80/443-й порт, а DNS обычно открыт. Используя все эти трюки, я составил такой RCE-полиглот:
Команда ping выполнится на один из моих доменных имен, но, чтобы узнать, какой IP у домена, он придет ко мне — тут-то я и увижу, что выполнение произвольного кода сработало. Иду в конфиг, делаю так:
Ну и что? А ничего. Посовал на всяких сайтах домен, а отстука о выполнении произвольного кода нет. Не было. Где-то неделю. А потом та-да-ам!
Логи запросов с сервера
Действительно, кто-то собирал соответствие домен — запись и недостаточным образом фильтровал данные от DNS-сервера. Так может, таким образом можно и Shodan хакнуть? 🙂
Какой DNS-сервер вы используете?
Он принадлежит вашему интернет-провайдеру. Маршрутизатор Wi-Fi действует как путь для ваших DNS-запросов, которые достигают DNS-сервера, а затем передаются на веб-сайт.
Вы всегда можете проверить, какой DNS-сервер использует ваше устройство для получения IP-адресов веб-сайтов, которые вы просматриваете, посетив этот веб-сайт – Какой у меня DNS-сервер?
Проблема Teredo
Teredo – это технология, разработанная Mircosoft, которая позволяет пользователям находить IPv6-совместимые соединения с веб-сайтами и плавно переходить с IPv4 на IPv6. В этой технологии ваш запрос IPv4 туннелируется таким образом, что адреса веб-сайтов IPv4 выбирают их. Однако, этот процесс может обойти процесс туннелирования VPN и раскрыть ваш IP-адрес, что приведёт к утечке DNS.
Что такое DNS
DNS означает систему доменных имен, которая действует как база данных соответствий IP-адресов веб-сайтов, которые пользователь посещает через браузер. Когда вы вводите URL-адрес веб-сайта в браузере, интернет-провайдеры не могут напрямую подключить вас к сайту только по адресу домена. Вам нужен совпадающий или соответствующий IP-адрес серверам этого сайта для связи между вашим браузером и сайтом.
Поскольку запомнить абстрактные IP-адреса очень сложно, интернет-провайдеры используют DNS-серверы для хранения всех соответствующих IP-адресов веб-сайтов, которые вы хотите посетить. DNS-сервер автоматически сопоставляет доменное имя с IP-адресом и помогает вам получить доступ к веб-сайту.
Что такое DNS преобразователь
Система доменных имен (DNS) может часто встречаться в разговоре сетевого администратора, но средний пользователь, вероятно, не знает или не заботится о том, что такое DNS или что он для него делает.
DNS – это «клей», который связывает доменные имена и IP-адреса вместе. Если у вас есть сервер и вы хотите, чтобы люди могли на него заходить, используя доменное имя, вы можете заплатить пошлину и зарегистрировать свое уникальное доменное имя (если оно доступно) у интернет-регистратора. Если у вас есть доменное имя, связанное с IP-адресом вашего сервера, тогда люди могут перейти на ваш сайт, используя ваше доменное имя вместо того, чтобы вводить IP-адрес. DNS-преобразователи помогают это сделать.
Как включить удаленный доступ к интерфейсу вашего роутера
Как упоминалось выше, DDNS открывает множество приложений. Одним из них является использование его для удаленного доступа к веб-интерфейсу вашего роутера из любой точки мира. И это, вероятно, самое популярное использование DDNS.
Из соображений безопасности роутеры, как правило, отключают функцию удаленного доступа.
Вот общие шаги, чтобы включить её:
И это всё. Поскольку вы будете получать доступ к самому роутеру, а не к устройству в вашей домашней сети, нет необходимости настраивать переадресацию портов для удаленного управления. Другими словами, роутер уже настроил это за вас.
После этого вы можете войти в интерфейс вашего роутера из любой точки мира через доменное имя DDNS. Просто убедитесь, что вы используете правильный адрес.
Вот интересный факт: использование удаленного доступа таким образом – отличная альтернатива регистрации учетной записи у поставщика. Удалённый доступ с помощью поставщика обычно означает, что вам придётся пожертвовать своей конфиденциальностью, поскольку ваш роутер будет постоянно подключаться к поставщику. Динамический DNS позволяет вам оставаться независимым, и это лишь одно из его многочисленных преимуществ.
Динамический DNS: стоит ли беспокоиться о безопасности
Да, было бы лучше, если бы вы всегда заботились о безопасности. Но это имеет мало общего – если вообще имеет – с DDNS.
DDNS не влияет на безопасность вашей домашней сети. Это не делает вашу систему более безопасной и не делает её более уязвимой. Причина в том, что у вас всегда есть IP-адрес WAN, и это всё, что нужно хакерам, чтобы попытаться атаковать ваш роутер.
Тем не менее, доменное имя DDNS делает доступ к вашей домашней сети более простым и согласованным, поскольку оно остаётся неизменным даже при изменении IP-адреса WAN.
Кроме того, имейте в виду, что ваш провайдер домена DDNS всегда может знать ваш IP-адрес WAN – используйте тот, которому вы доверяете.
Поэтому из соображений безопасности следите за тем, чтобы ваше доменное имя DDNS было в безопасности и никому его не раскрывайте – в некотором смысле это похоже на ваш домашний адрес. (Продолжая аналогию: то, что кто-то знает ваш домашний адрес, не обязательно означает, что вы в опасности).
Тем не менее, следуйте этим рекомендациям, чтобы обеспечить безопасность вашего роутера. По крайней мере, используйте безопасный пароль администратора и избегайте использования номеров портов по умолчанию – подробнее ниже.
Примечание относительно альтернативных DNS
Ни одна из этих услуг не сможет отфильтровать все возможные вредоносные программы, фишинговые сайты и контент для взрослых, но они должны, по крайней мере, сократить число этих типов сайтов. Если вы не чувствуете, что одна служба успешно справляется с фильтрацией, вы всегда можете обратиться к другому провайдеру, чтобы узнать, лучше ли он.
Шаги по настройке динамического DNS
Независимо от того, какой роутер вы используете – ясно, что здесь мы говорим о том, который поддерживает DDNS – шаги по настройке DDNS, в основном, одинаковы.
Ниже приведены общие шаги.
Требования к динамическому DNS
Чтобы воспользоваться преимуществами DDNS, вам потребуются три вещи: частный IP-адрес WAN, служба динамического DNS и устройство обновления DDNS .
Частный IP-адрес глобальной сети
Вам необходимо иметь прямой доступ к IP-адресу WAN вашей домашней сети, если вы хотите «позвонить домой». Таким образом, вы не можете использовать DDNS, если используете чужой IP.
Тем не менее, ваша домашняя сеть должна иметь собственный IP-адрес WAN. Это относится к большинству тарифных планов Интернета для жилых помещений, где у вас есть модем (или шлюз) или оптоволоконный сетевой терминал (ONT).
Но бывают ситуации, когда вы можете получить доступ к Интернету, но не имеете собственного IP-адреса WAN, то есть того, который вы контролируете.
Вот несколько примеров необычных ситуаций, когда DDNS не работает:
- Вы живете в гостиничном номере, где центральное устройство обеспечивает всех доступом в Интернет. В этом случае ваша локальная сеть не имеет собственного WAN IP. Просто есть доступ к интернету.
- У вас есть интернет-служба, использующая широкомасштабный NAT (CGNAT).
- Вам нужно сохранить шлюз, предоставленный провайдером, и добавить ещё один роутер поверх него. (В этом случае возникает вопрос о настройке двойного NAT).
Служба динамического DNS
Эта услуга предоставляется поставщиком доменов, которого вы хотите использовать. Существует множество сторонних DDNS-сервисов, таких как NoIP, FreeDNS или Oracle DNS. Некоторые требуют небольшой ежегодной платы, но большинство предоставляют вам один домен бесплатно. И вам не нужно больше одного.
Более того, известные сетевые поставщики – Asus, Netgear, TP-Link и т.д. – также бесплатно предоставляют домен DDNS вместе с роутером. Удобно использовать DDNS сетевого поставщика, но это не обязательно.
Дополнительно: роутеры Asus и DDNS
Для своей функции DDNS Asus также предоставляет сертификат SSL.
Этот бесплатный SSL-сертификат является бонусом, поскольку он нужен домену – как правило, за ежегодную плату – чтобы браузер распознавал его как «безопасный» или «частный». Вы можете использовать этот сертификат с любой сторонней службой DDNS.
Без этого сертификата браузер может сообщать, что посещение домена «небезопасно», даже если вы знаете, что это не так.
Тем не менее, учитывая, что домашние Wi-Fi-роутеры Asus являются одними из лучших, если вы хотите с лёгкостью окунуться в мир DDNS, я бы порекомендовал маршрутизатор Asus. Но подойдёт любой роутер с этой функцией.
Устройство динамического обновления DNS
Средство обновления DDNS находится в вашей сети и постоянно связывает доменное имя с вашим IP-адресом в глобальной сети.
Большинство роутеров и серверов NAS имеют встроенную функцию обновления DDNS. Поскольку ваш роутер является шлюзом в Интернет, лучше всего использовать его в качестве устройства обновления DDNS.
Если роутер не поддерживает DDNS, скорее всего, это плохой роутер. Он не подходит для ваших нужд, учитывая, что вы читаете это.
В качестве альтернативы, вы можете использовать любое устройство в вашей сети, имеющее функцию обновления DDNS. Или вы можете использовать программный клиент DDNS на компьютере, чтобы превратить его в средство обновления.
В этом случае убедитесь, что вы используете стационарный компьютер (например, сервер или настольный компьютер), а не ноутбук, который вы носите с собой – он будет обновлять ваш домен DDNS с помощью IP-адреса вашего местоположения. Этот компьютер также должен быть постоянно включен.
Зачем использовать альтернативный DNS
Возможно, вы захотите переключиться с серверов DNS, предоставляемых интернет-провайдером, на альтернативу, по нескольким причинам:
Причина №1 – альтернативные DNS могут повысить скорость просмотра веб-страниц
Некоторые альтернативные поставщики DNS утверждают, что использование их общедоступных DNS-серверов может обеспечить более быстрый просмотр веб-страниц конечными пользователями за счет уменьшения задержки поиска DNS. То, что вы заметите, зависит от вашего личного опыта. Если всё станет медленнее, вы всегда можете вернуться к своему старому назначенному провайдером DNS.
Причина №2 – альтернативные DNS могут повысить безопасность
Некоторые альтернативные провайдеры DNS утверждают, что их решения предлагают несколько преимуществ безопасности, таких как фильтрация вредоносных программ, фишинговых и мошеннических сайтов, а также снижение риска атак отравления кеша DNS.
Причина №3 – некоторые DNS предлагают автоматическую фильтрацию содержимого
Хотите защитить ваших детей от доступа к «несемейному» контенту? Вы можете выбрать поставщика DNS, который выполняет фильтрацию содержимого. Например, Яндекс.DNS предлагает серверы DNS, которые отфильтровывают нежелательный контент.
Это не означает, что ваши дети не смогут просто ввести IP-адрес для неподходящего сайта и получить к нему доступ таким образом, но это добавит значительную преграду на пути поиска зрелого веб-контента.
Выводы
Опять же, динамический DNS, безусловно, является одной из самых ценных функций домашнего роутера. Это даёт пользователям контроль над своей сетью для расширенных приложений.
Правильное использование этой функции и перенаправление портов является важной частью превращения вас в продвинутого пользователя. Попробуйте их!
Знаете ли вы, что можно повысить производительность и безопасность работы в Интернете, выбрав альтернативный преобразователь DNS? Хорошей новостью является то, что это бесплатно, а настройка занимает около минуты вашего времени.
Используйте эффективный VPN-сервис
Вы всегда можете предотвратить утечки DNS и связанные с этим проблемы, если используете правильный VPN-сервис. Имейте в виду, что это не должен быть бесплатный поставщик услуг VPN, поскольку они не обеспечивают достойной защиты от возможных утечек DNS и часто «грешат» разрывами соединения.
WARNING
Кстати, вот подсказка охотникам за ошибками. Видишь, что IP отвечает на произвольное доменное имя, — расскажи разработчикам об этой атаке :).
А узнать, какие внутренние ресурсы доступны, можно с помощью проверки хеша браузера или с помощью вариации CSS History Hack. Последнюю использовали в исследовании этой уязвимости PTsecurity (ссылки на материалы, как всегда, в конце статьи). Но можно воспользоваться и еще одной фичей.
Как мы выяснили, если доменное имя имеет несколько IP-адресов, то браузер (или другой клиент) при недоступности первой записи переходит на вторую.
Тема такая. Специально настроенный сервер DNS возвращает на доменное имя злоумышленника подобные записи:
Теперь смотри. Когда жертва открывает страницу злоумышленника, на странице находится картинка, которая должна загрузиться с адреса test.evil.host, браузер резолвит доменное имя и получает массив IP-адресов.
Первым он пытается открыть 192.168.1.1:80, которого нет в нашей сети. Недоступен? Идет дальше и открывает 192.168.1.1.evil.host. Так как это подконтрольный сервер, мы фиксируем, что такого IP-адреса с таким портом нет.
И-и-и. Делаем перенаправление на test2.evil.host! И так до тех пор, пока ответа не будет или количество редиректов не достигнет 20 (обычно после браузер перестает ходить по редиректам, хотя Хром выводит ошибку и продолжает ходить).
Как предотвратить утечку DNS
Настройка DDNS на любом роутере
С этого момента доменное имя является постоянным адресом вашего домашнего роутера.
Прозрачные DNS-прокси
VPN туннелирует ваше соединение через сторонний сервер, прежде чем достигнет DNS-серверов вашего интернет-провайдера, чтобы замаскировать ваш IP-адрес. Это также удерживает интернет-провайдеров от сбора и мониторинга ваших данных или действий в Интернете.
Иногда интернет-провайдеры используют отдельный или прокси-сервер для повторного перенаправления ваших запросов и веб-трафика на свои серверы – таким образом, интернет-провайдеры во многих случаях «заставляют» утечки DNS собирать информацию о пользователях.
Альтернативные DNS-провайдеры
Вот несколько известных альтернативных провайдеров DNS, которые стоит рассмотреть. Это текущие IP-адреса на момент публикации этой статьи. Вам следует проверить у поставщика DNS, обновлены ли IP-адреса, прежде чем вносить изменения.
- Базовый: 77.88.8.8 и 77.88.8.1 – быстрый и надежный DNS
- Безопасный: 77.88.8.88 и 77.88.8.2 – без мошеннических сайтов и вирусов
- Семейный: 77.88.8.7 и 77.88.8.3 – без сайтов для взрослых
Google Public DNS:
Outro
Куда еще копать? DNS-туннели, DNS hijacking, OOB attacks, DNS cache poisoning, DNS flood. Я уверен, что можно таким образом выполнять SQL-инъекции и их будет много больше, — правда, это получается совсем вслепую. Хотя, может, попробуешь OOB-вектор в MS SQL?
Как переключите свой DNS Resolver
Лучший способ переключения DNS – настройка вашего маршрутизатора, так что вам нужно изменить его только в одном месте. После того, как вы измените его на своем маршрутизаторе, все клиенты в вашей сети (при условии, что вы используете DHCP для автоматического назначения IP-адресов клиентским устройствам) должны автоматически подключаться к новым DNS-серверам.
Обратитесь к справочному руководству вашего роутера за подробной информацией о том, как и где изменить записи вашего DNS-сервера.
Прежде чем вносить какие-либо изменения, вам следует проконсультироваться с поставщиком услуг Интернета и производителем маршрутизатора для получения конкретных инструкций для вашей ситуации. Вы также должны записать текущие настройки или сделать снимок экрана на странице настроек, прежде чем вносить какие-либо изменения, в случае, если изменение не сработает.
Перенаправление портов (иначе виртуальный сервер)
Например, если вы хотите разместить веб-сайт дома, перенаправьте порт 80 на IP-адрес компьютера, который вы используете в качестве веб-сервера.
Чтобы переадресация портов работала стабильно, локальный IP-адрес целевого устройства (сервера) должен всегда оставаться одним и тем же. Именно здесь вступает в действие функция резервирования IP-адресов роутера.
Учитывая, как работает эта функция, некоторые поставщики сетевых услуг называют переадресацию портов «виртуальным сервером». Каждый виртуальный сервер является записью переадресации портов. Как правило, домашний роутер может обрабатывать несколько десятков записей переадресации портов.
В сети любой порт, который не переадресован, обычно закрыт. Следовательно, любые запросы на доступ к этому порту будут возвращать ошибку. (Это как пытаться пройти через закрытую дверь.)
Некоторые роутеры допускают два значения переадресации портов: внешнее (или общедоступное) и внутреннее (частное). В этом случае внешний – это порт, который вызывает удаленная сторона, т.е. тот, который привязан к доменному имени, как указано выше. Внутренний – это порт на устройстве, на котором размещена служба.
Вы можете использовать один и тот же номер для обоих или использовать разные для каждого. В последнем случае это все равно, что стучать в окно, чтобы открыть входную дверь.
В целях безопасности при включении переадресации портов для конфиденциальных служб убедитесь, что вы не используете известные по умолчанию номера портов, по крайней мере, на общедоступной (внешней) стороне. Примерами таких портов являются 3389 (удаленный рабочий стол) или 8080 (веб-интерфейс маршрутизатора). Эти порты постоянно проверяются недобросовестными сторонами.
Проблема в конфигурации сети
При подключении к Интернету убедитесь, что вы используете стабильное соединение. Часто случается, что соединение прерывается на несколько секунд до того, как будет установлено новое соединение. Это приводит к изменению IP-адреса. Когда это изменение произойдёт, вы можете подключиться к DNS-серверу вашего интернет-провайдера, даже если вы используете VPN. Хакеры могут проникнуть в соединение, поскольку ваша VPN не будет работать из-за внезапного изменения IP-адреса и раскрыть вашу информацию.
Используйте анонимные браузеры
Браузер Tor считается одним из самых безопасных браузеров для серфинга. Он использует луковую маршрутизацию, чтобы замаскировать или скрыть ваши данные и IP-адрес. Он перескакивает через три разных места, позволяя осуществлять обширный гео-спуфинг и скрывать большую часть информации, связанной с конкретным соединением.
Что такое утечка DNS?
К сожалению, эти DNS-серверы подвержены кибератакам и могут раскрывать вашу личную информацию, касающуюся активности вашего браузера, злоумышленникам. Кроме того, информация видна интернет-провайдерам, что делает её менее безопасной, чем должна быть.
Иногда хакеры просматривают DNS-запросы, которые ваше устройство отправляет вашим интернет-провайдерам, или пытаются взломать DNS-сервера, чтобы получить дополнительную информацию о действиях пользователей в браузере, что, в конечном итоге, приводит к серьёзному нарушению или раскрытию ваших данных. Это называется утечкой DNS.
Общие сведения о сетевых портах
Вызов порта
Если доменное имя DDNS является вашим домашним адресом, то порты подобны дверям вашего дома.
Тем не менее, удаленная сторона обычно должна указать порт, который она хочет использовать, присоединив его к имени домена в следующем формате: ИмяДомена:Порт (обратите внимание на двоеточие). Это как указать конкретную дверь, в которую нужно постучать.
Порты по умолчанию
Есть несколько исключений, когда вам не нужно указывать порт; один из них – порт 80 . Этот порт хорошо известен и используется по умолчанию для веб-хостинга.
По этой причине, когда вы вводите доменное имя в веб-браузере без указания порта, подразумевается, что вы хотите вызвать порт 80.
Но эмпирическое правило заключается в том, что вам обычно нужно указать порт, когда вы хотите получить доступ к месту назначения через Интернет.
DNS Rebinding / Anti DNS Pinning
Но и атаки на клиентов не в диковинку. Одна из атак позволяет злоумышленнику обойти SOP и тем самым выполнить любое действие в контексте браузера пользователя от его лица. Ну не совсем обойти, а использовать одну особенность для атаки. Имя ее DNS Rebinding (она же Anti DNS Pinning). Смысл таков.
Есть некий сайт, подконтрольный злоумышленнику. Домен имеет две A-записи: первая — сам сайт хакера, вторая — внутренний ресурс, который недоступен извне. Жертва открывает зловредный сайт, страница (с JavaScript) загружается, после чего сервер, откуда загрузился сайт, перестает отвечать на запросы.
Что делает браузер, когда не отвечает IP из первой записи? Правильно! Идет ко второй! При попытке обращения к домену злоумышленника он идет на внутренний ресурс, тем самым силами JS он может отправлять и принимать запросы, да и вообще творить черт-те что. Почему? Потому что с точки зрения браузера страница обращается на свой же домен. Вроде бы и жертва находится на какой-то странице, в то же время эта страница начинает брутить его роутер или почту и выносить оттуда письма.
Правда, для этого необходимо выполнить ряд условий: уязвимый сервер должен отвечать на любой сторонний домен (ибо в заголовке Host будет доменное имя злоумышленника, по понятным причинам), ну-у-у. и знать, какой IP атаковать.
Функция Windows «Smart Multi-Homed Name Resolution»
«Smart Multi-Homed Name Resolution» – это функция, представленная Windows версии 8.0. Эта функция позволяет подключаться к другим нестандартным серверам, отличным от того, который принадлежит соответствующим интернет-провайдерам, если серверы интернет-провайдеров перестают отвечать.
В Windows 10 эта функция позволяет принимать ответы на запросы DNS от любого самого быстрого доступного сервера. Так как это позволяет читать IP-адреса пользователей разными серверами, это может вызывать серьёзные проблемы, связанные с утечками DNS.
Max power!
Современные DNS-серверы — распределенные. Они находятся в каждой точке мира и кешируют данные с различными типами записей. Эта запись для почты, а эта — для SIP. A-запись вернет привычный всем IPv4-адрес, AAAA — IPv6. Потом и DNSSEC подтянулся. В общем, обросла фичами та табличка, но сама суть осталась неизменна. Отсюда и атаки с использованием DNS-сервера, которые актуальны до сих пор.
Например, есть такой тип запроса — AXFR. Это запрос на передачу зоны DNS. Он используется для репликации DNS-сервера, а если сервер настроен неправильно, то он может вернуть все используемые записи конкретного домена на этом сервере. Во-первых, этот missconfig позволяет узнать техническую информацию об инфраструктуре какого-либо сайта, какие тут IP-адреса и поддомены. Именно так украли исходники HL2 (может, поэтому так долго нет третьей :D)? А так как в подавляющем большинстве случаев DNS работает по протоколу UDP, подделать отправителя несложно.
Этим и занялись вирмейкеры, запрашивая у тысячи серверов все данные о каком-нибудь домене. В результате такого запроса в ответ отдается большой и толстый пакет, содержащий подробную информацию о конфигурации сети, но пойдет он не к нам, а на указанный адрес. Результат налицо: разослав большой список «уязвимых» доменов, использовав при этом малые ресурсы сети и подделав обратный адрес, злоумышленник добьется того, что ответы от тысяч DNS серверов просто забомбят подделанный IP-адрес.
На смену им пришел DNSSEC — ключи, которые используются в нем, много больше, чем отправленные данные, в результате DDoS и отказ в обслуживании ресурса, который стал жертвой «дудосеров», стало получить еще легче. Да и вообще, DNS Amplification («DNS-усиление») имеет смысл, даже когда сервер просто возвращает больше информации, чем ему отправляется, — например, отправляются несколько десятков байт, а возвращается несколько сотен.
Дополнительно: настройка DDNS на роутере Asus
Если вы используете роутер Asus и хотите использовать встроенную бесплатную службу DDNS Asus, выполните следующие действия:
И это всё; теперь ваше доменное имя DDNS готово и действует. И вы можете использовать его для любых служб удаленного доступа, размещенных в вашей домашней сети.
Как проверить соединение на утечку DNS
Вы всегда можете проверить утечку DNS, посетив эти два веб-сайта:
Чтобы узнать, «герметично» ли соединение, посмотрите:
- Совпадает ли полученный IP-адрес с IP-адресом VPN, а не вашим реальным.
- Посмотрите, указано ли в результатах теста имя вашего интернет-провайдера, это сигнализирует об утечке DNS.
Не используйте инструмент проверки DNS, который предлагается в приложении VPN, поскольку он никогда не показывает правильный результат и не указывает на какие-либо дефекты в защищенном VPN-соединении.
Утечки DNS широко распространены, особенно с учетом того, что хакеры разрабатывают новые методы поиска возможных нарушений в сетях. Однако, использование правильного VPN и агрессивный мониторинг активности вашего браузера может помочь вам уменьшить их.
Динамический DNS или DDNS – одна из самых мощных функций домашнего Wi-Fi-роутера. Это база для размещения многих сервисов в вашей домашней сети.
Примерами таких служб являются VPN-сервер или подключение к удаленному рабочему столу. По крайней мере, DDNS позволяет вам управлять роутером, когда вы находитесь вдали от дома, с помощью привычного веб-интерфейса.
В этом посте объясняется, что такое DDNS и как настроить его для включения удаленного доступа к вашему домашнему роутеру. Также будет рассказано о переадресации портов, самой популярной сетевой функции, используемой в тандеме с DDNS.
Хотя это относится к области продвинутой сети, DDNS прост. Тем не менее, прежде чем продолжить, убедитесь, что вы знакомы с понятиями IP-адреса и частного IP-адреса.
Утечки IPv6
Большинство IP-адресов состоят из четырех наборов трёхзначных кодов, например 111.111.111.111; это называется IPv4-адресом. Однако, Интернет медленно переходит в фазу IPv6, когда IP-адреса состоят из восьми наборов по 4 кода, которые также могут включать буквы.
В большинстве случаев, если вы отправляете запрос IPv6 на свой DNS-сервер для веб-сайта, у которого всё ещё есть адрес IPv4, в таком случае безопасность соединения может быть нарушена. Даже в случае соединения VPN запрос IPv6 обходит шифрование VPN, если VPN явно не поддерживает безопасность соединения IPv6.
На что настроен ваш DNS преобразователь
Большинство домашних пользователей используют распознаватель DNS, который им назначает поставщик услуг Интернета (ISP). Обычно он назначается автоматически при настройке кабельного / DSL-модема или когда ваш беспроводной / проводной интернет-маршрутизатор автоматически подключается к DHCP-серверу вашего интернет-провайдера и получает IP-адрес для использования вашей сетью.
Обычно вы можете узнать, какой DNS-распознаватель вам назначен, перейдя на страницу подключения «WAN» вашего маршрутизатора и в разделе «DNS-серверы». Обычно их два, основной и альтернативный. Эти DNS-серверы могут быть размещены вашим провайдером или нет.
Вы также можете увидеть, какой DNS-сервер используется вашим компьютером, открыв командную строку, набрав nslookup и нажав клавишу Enter. Вы должны увидеть имя и IP-адрес «DNS-сервера по умолчанию».
Читайте также: