การรับส่งข้อมูล DNS

ติดต่อ

โกลอฟนา

โปรแกรมจะสแกนเซิร์ฟเวอร์ DNS (ซึ่งเพียงพอแล้วในช่วงกลางของคำตอบ) และหากชื่อโดเมนตรงกับไวรัสปกติ ที่อยู่อื่นที่มีบันทึก A (ที่เป็นผลมาจากการอนุญาต)

ด้วยการใช้ยูทิลิตี้นี้ คุณสามารถรวบรวมสถิติทั้งหมด - ชื่อโดเมนใดที่ถูกแบ่งออกเป็นที่อยู่ IP และสิ่งที่เกิดขึ้น
ในฐานะผู้ใช้ขั้นเตรียมการ คุณสามารถเก็บข้อมูลนี้ได้อย่างชัดเจน (โดยการบันทึกโหนดในไฟล์โฮสต์ หรือโดยใช้ช่องทางอื่นสำหรับคำขอ DNS เป็นต้น) แต่สำหรับโหนดส่วนใหญ่ เราได้ภาพที่น่าพอใจ นี่คือวิธีการทำงาน:$ sudo ./sidmat eth0 "."

ฉัน
มิ บาชิโม่

ชื่อโดเมน และสิ่งที่ได้รับอนุญาต (eth0 คืออินเทอร์เฟซที่การรับส่งข้อมูล DNS ผ่าน)$ sudo ./sidmat eth0 "."

ฉัน |

ในขณะที่ IFS = read -r line;

ทำ printf "%s\t%s\n" "$(date "+%Y-%m-%d %H:%M:%S")" "$line";

เสร็จแล้ว

เราแก้ไขชั่วโมง
หากคุณไม่ต้องการเปลี่ยนเส้นทางผลลัพธ์ไปยังไฟล์ คุณสามารถใช้ตารางการมองเห็นได้อย่างรวดเร็ว

ยูทิลิตี้นี้สามารถบันทึกมุมมอง DNS ที่อยู่เบื้องหลัง pcap เพิ่มเติม (Linux/BSD) หรือกลไก nflog เพิ่มเติมใน Linux

เทคนิคนี้สามารถใช้สำหรับการจัดการจราจร
กรองตามโดเมน ลบที่อยู่โดเมนออก วีราซ่าเป็นประจำ- รายการอาจมีขนาดค่อนข้างใหญ่ เราประหลาดใจกับประสิทธิภาพของรายการโดเมน RKN (การรับส่งข้อมูลบนโดเมนที่ได้รับการป้องกันถูกเปลี่ยนเส้นทางไปยัง VPN) เราเตอร์พีซีดั้งเดิมทำงานได้อย่างราบรื่นอย่างสมบูรณ์

คุณสามารถช่วยเหลือและบริจาคเงินเล็กน้อยให้กับไซต์การพัฒนาได้

4601 ,

ตั้งแต่นั้นมา ในขณะที่ความเชื่อผิด ๆ เกี่ยวกับการไม่เปิดเผยตัวตนบนอินเทอร์เน็ตได้พัฒนาไป ข้อกังวลด้านความเป็นส่วนตัวส่วนบุคคลได้รวมอยู่ในรายชื่อข้อที่อันตรายที่สุด การติดตามกิจกรรมของคุณตามขีดจำกัดนั้นต้องไม่น้อยไปกว่านี้ระบบเสียง และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณในทางเทคนิคแล้วมันไม่ใช่เรื่องยากนัก และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ DNS และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณดูเหมือนว่าจะเป็นผู้ให้บริการของคุณและบ่อยครั้งที่ทุกอย่างผ่านไป

การจราจรอาจถูกเปลี่ยนเส้นทาง โดยเฉพาะอย่างยิ่งตั้งแต่นั้นเป็นต้นมา - โปรดพยายามบังคับใช้การสื่อสารที่ไม่ได้เข้ารหัสเป็นที่ชัดเจนว่าการเปลี่ยนถุงที่ใช้มากเกินไปนั้นไม่ใช่เรื่องยากหากคุณเลือก

วีพีพีเอ็น และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ-บริการ คุณสามารถปิดประตูได้ด้วยวิธีการเข้ารหัสเท่านั้น-การจราจรซึ่งคุณต้องการพิเศษ ซอฟต์แวร์รักษาความปลอดภัย, เศษน้ำ และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณระบบปฏิบัติการ ไม่รองรับการเข้ารหัสจากกล่อง และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณยิ่งใหญ่ที่สุด เครื่องมือง่ายๆสำหรับการเข้ารหัส -การจราจร - น้อยยูทิลิตี้ฟรี เห็นได้ชัดว่าใช้สิ่งที่ไม่จำเป็นการปรับเปลี่ยนเพิ่มเติม ซึ่งหมายความว่าคุณสามารถเป็นมือใหม่ได้Є เครื่องมือคอนโซล และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณพร็อกซี DNSCrypt หากคุณไม่ต้องการแก้ไขมัน คุณจะต้องออกชุดคำสั่ง .

พาวเวอร์เชลล์ และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ,เปลี่ยนที่อยู่ ด้วยตนเองและอย่างอื่นใครกำลังมีเวลาอยู่บ้าง ใจดี เข้าไปรู้จักเขาได้ในเพจเลย

github.com/jedisct1/dnscrypt-proxy เราเสนอให้ใช้เวอร์ชันเดสก์ท็อปที่เรียบง่ายและกำหนดเองมากขึ้น-เข้ารหัส ตรวจสอบเว็บไซต์ของผู้ค้าปลีก simplednscrypt.org ติดตั้งระบบปฏิบัติการเวอร์ชันที่เหมาะสมตามระบบปฏิบัติการของคุณมันมีอินเทอร์เฟซที่ใช้งานง่ายและเป็นภาษารัสเซียด้วย ดังนั้นคุณจึงสามารถเข้าใจได้อย่างง่ายดายว่ามันคืออะไร การปรับเปลี่ยนหลักจะขึ้นอยู่กับส่วนนี้ "เมนู"- หากต้องการเริ่มใช้งานโปรแกรมทันทีหลังการติดตั้งให้กดปุ่ม

“ศาสโตสุวาตี” จากนั้นเลือกของคุณด้านล่างฉันจะตัดแผนที่ อาจมีเครื่องหมายถูกดังที่แสดงในภาพหน้าจอเปเรมิกาช “บริการดีเอ็นเอสคริปต์”อาจจะมีความกระตือรือร้น เชื่อฉันเถอะว่าทุกอย่างทำงานได้ไม่สำคัญติดตามเราในตอนท้าย และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณวิ่ง 127.0.0.1 ที่อยู่ของคุณอาจแตกต่างกัน

หลังจากเลือกแล้ว โปรแกรมจะเลือกเซิร์ฟเวอร์ที่ดีที่สุดโดยอัตโนมัติ หรือคุณสามารถเปลี่ยนตัวเลือกได้โดยเลือกด้วยตนเองในส่วนนี้

ไม่จำเป็นต้องเปลี่ยนพารามิเตอร์ส่วน หากคุณไม่ได้ใช้โปรโตคอล IPv4- สำหรับการตั้งค่าขั้นสูง คุณสามารถปิดแท็บเพิ่มเติมได้ "บัญชีดำของโดเมน", "บันทึกการบล็อกโดเมน"แต่ฉันก็รู้ด้วยว่าหากคุณกำลังจะทำงานกับฟังก์ชันที่แสดงในนั้น ให้รวมมันเข้าด้วยกัน “ชรนี”รายการโดเมน

สวัสดีทุกคน! ถึงเวลาดูการรับส่งข้อมูล DNS ผ่าน WireShark แล้ว

ฉันขอเตือนคุณว่าโปรโตคอล DNS ใช้เพื่อสร้างชื่อเชิงสัญลักษณ์ที่ผู้คนเข้าใจได้ เช่น เว็บไซต์ในที่อยู่ IP ซึ่งเป็นชื่อที่ใช้เขียนแบบสอบถาม

กำลังดาวน์โหลดไฟล์การรับส่งข้อมูล

เราเปิดมันใน WireShark และประหลาดใจ:

ตามความเป็นจริง โปรโตคอล DNS (ในโซนวิดีโอจะมีระบบชื่อโดเมนที่ต่ำที่สุด) อยู่เหนือโปรโตคอล UDP ซึ่งอยู่ที่ระดับที่ 4

สิ่งนี้ไม่ได้สร้างการเชื่อมต่อแบบถาวร แต่เพียงส่งแพ็กเก็ต (ดาตาแกรม) เช่นเดียวกับ TCP โปรโตคอล UDP มีพอร์ตสำหรับ DNS หมายเลขพอร์ตคือ 53 ซึ่งหาได้ง่ายในแผนผังโปรโตคอล

ยิ่งไปกว่านั้น โปรโตคอล UDP จะทับซ้อนกับ IP – โปรโตคอลการถ่ายโอนระหว่างชั้น

  • Nini เป็นโปรโตคอลการส่งข้อมูลหลักบนอินเทอร์เน็ต
  • เรามีข้อมูลเกี่ยวกับที่อยู่ IP ของอุปกรณ์ในระดับใด
  • นั่นเป็นเพียงข้อมูลเกี่ยวกับแพ็กเก็ต UDP ที่ห่อหุ้ม
  • เครื่องของเราจะจัดเก็บที่อยู่อย่างไร (ซึ่งรับข้อมูลผ่าน DNS) และวิธีกำหนดที่อยู่ IP - ด้วยตัวเอง เซิร์ฟเวอร์ DNSซึ่ง (พูดตามตรง) มีหน้าที่รับผิดชอบฐานข้อมูลแม่ของลักษณะที่ปรากฏดังกล่าว
  • ฐานข้อมูลนี้จัดเก็บบันทึกหลายชนิด:
  • A (โฮสต์) – ผูกชื่อโฮสต์และที่อยู่ IP
  • AAAA (โฮสต์) – ผูกชื่อโฮสต์เข้ากับที่อยู่ IPv6 CNAME (นามแฝง) – เชื่อมโยงชื่อโหนดและนามแฝงเพื่อเปลี่ยนเส้นทางชื่อโหนดอื่น MX (การแลกเปลี่ยนเมล) – ระบุที่อยู่ IP
  • เมลเซิร์ฟเวอร์
  • โดเมนนี้ครอบคลุมอะไรบ้าง?

NS (เนมเซิร์ฟเวอร์) – ระบุเซิร์ฟเวอร์ DNS ที่ให้บริการโดเมนนี้


ทันทีที่คุณขยายแผนผังข้อมูลในการวิเคราะห์แพ็คเก็ต คุณจะเห็นว่าแบบสอบถามที่ดีที่สุดคือ (แบบสอบถาม) โดยแทนที่บันทึกโฮสต์มาตรฐาน (ประเภท: A) ด้วยชื่อ (ชื่อ: www.iana.org)

ดังนั้นในการแปล DNS ของรัสเซียจะเป็นดังนี้: 68.87.76.178 “เกย์ - บอกฉันไอพีไหน ที่ชื่อของเพื่อน www.iana.org

“ฉันอยากจะบอกคุณบางอย่าง”


เพลาของพวกเขากำลังรั่ว

ดังนั้นในการแปล DNS ของรัสเซียจะเป็นดังนี้: 71.198.243.158 เซิร์ฟเวอร์ที่ถูกส่งไปยังอะไร (แพ็คเกจหมายเลข 2): ที่ชื่อของเพื่อนที่นี่เราต้องการความช่วยเหลือด้านโภชนาการ 192.0.34.162 มิฉะนั้น ดูเหมือนว่าเซิร์ฟเวอร์ DNS จะบอกโฮสต์ว่าต้องการอะไร:

คุณถามที่อยู่ของยาคุ


, แกนโซ, ที่อยู่โยโก

! ตอนนี้เขียนถึงคุณโดยตรง”

ในรายละเอียด นี่คือการดูฟิลด์ Flags ซึ่งแสดงลักษณะของข้อความค้นหาและผลลัพธ์:

  • ที่นี่ฉันกลับไปที่แพ็กเก็ตแรกที่คำขอถูกส่งไปยังเซิร์ฟเวอร์
  • กลับไปยังรหัสธุรกรรม: ค่าตัวเลขนี้อาจซ้ำกันในคำถามเดียวกันซึ่งมีนัยสำคัญในคำถามนี้
  • ฟิลด์ไบต์คู่มาตรฐานที่มีค่าประกอบด้วยหนึ่งบิต:
  • บิตแรก (1) ระบุถึงสิ่งที่กำลังเขียน
  • 2-5 บิต (4) - นี่คือแหล่งจ่ายมาตรฐาน
  • 7 บิต (1) - นี่ไม่ได้ถูกตัดออก

8 บิต (1) – แบบสอบถามแบบเรียกซ้ำ (เนื่องจากเซิร์ฟเวอร์ DNS ของเราไม่รู้จักโฮสต์ IP ที่เราร้องขอ เนื่องจากเรารู้จักเซิร์ฟเวอร์ DNS อื่นอยู่แล้ว เราจึงไม่ทราบคำตอบ


10 บิต (1) – การจอง;

  • 12 บิต (1) – ยอมรับการส่งสัญญาณที่ไม่ได้รับอนุญาต
  • คำสั่งของเซิร์ฟเวอร์เรียกว่าเผด็จการเนื่องจากระบุว่าให้บริการในพื้นที่นั้น
  • หากเซิร์ฟเวอร์ปฏิเสธการยืนยันจากเซิร์ฟเวอร์อื่น การยืนยันดังกล่าวจะไม่น่าเชื่อถือสำหรับเรา
  • ตอนนี้เรามาดูประเภทต่างๆ:
  • รีเซ็ตค่าเป็นรหัสธุรกรรม
  • ค้นหา ID ของแพ็กเก็ตก่อนหน้า
  • 2-5 บิต (4) - นี่คือแหล่งจ่ายมาตรฐาน
  • บิตแรก (1) – อะไรคือข้อพิสูจน์
  • 2-5 ครั้ง (4) – มาตรฐาน;
  • 6 บิต (1) - อำนาจของบรรทัดเนื่องจากเซิร์ฟเวอร์ให้บริการโซนนี้ - มันจะเปลี่ยนเป็น "1" หากนำสายออกจากที่อื่น - มันจะเป็น "0";

7 บิต (1) – แพ็กเก็ตที่สั้นลง

ก่อนที่จะพูด เราได้สร้างโทรจันที่ขโมยข้อมูลจากคอมพิวเตอร์ และบังคับให้พวกเขาส่งคำขอ DNS ไปยังเซิร์ฟเวอร์ คุณแสดงว่านี่เป็นเรื่องจริงไฟร์วอลล์ส่วนใหญ่อนุญาต DNS เช่นเดียวกับการทำงานปกติของคอมพิวเตอร์ไคลเอนต์

และภายใต้หน้ากากของการสืบค้น DNS ข้อมูลส่วนตัวจะถูกส่งไปยังเซิร์ฟเวอร์ DNS "ซ้าย"
Movlyav Movlyav "เฮ้เซิร์ฟเวอร์ของผู้ปกครองบอก IP ของโหนดให้ฉันหน่อย" เมล [ป้องกันอีเมล][ป้องกันอีเมล] , รหัสผ่าน ปปปป”?”'ятіและเซิร์ฟเวอร์ได้แก้ไขบันทึกและสามารถส่งข้อความที่ไม่มีความหมายได้ จึงเขียนบันทึกทั้งหมดลงในไฟล์ จำนวนการสืบค้น DNS มีขนาดใหญ่ และในความเห็นของพวกเขา เป็นไปได้ที่จะถ่ายโอนข้อมูลเมกะไบต์โดยที่ผู้ใช้ไม่มีใครสังเกตเห็นเลย'ютері - диспетчер пристроїв, інше програмне забезпеченняหากคุณไม่ได้ฟังการจราจรโดยเฉพาะ คุณจะไม่สามารถตรวจจับการไหลของข้อมูลได้