ติดต่อ
โกลอฟนา
โปรแกรมจะสแกนเซิร์ฟเวอร์ DNS (ซึ่งเพียงพอแล้วในช่วงกลางของคำตอบ) และหากชื่อโดเมนตรงกับไวรัสปกติ ที่อยู่อื่นที่มีบันทึก A (ที่เป็นผลมาจากการอนุญาต)
ด้วยการใช้ยูทิลิตี้นี้ คุณสามารถรวบรวมสถิติทั้งหมด - ชื่อโดเมนใดที่ถูกแบ่งออกเป็นที่อยู่ IP และสิ่งที่เกิดขึ้น
ในฐานะผู้ใช้ขั้นเตรียมการ คุณสามารถเก็บข้อมูลนี้ได้อย่างชัดเจน (โดยการบันทึกโหนดในไฟล์โฮสต์ หรือโดยใช้ช่องทางอื่นสำหรับคำขอ DNS เป็นต้น) แต่สำหรับโหนดส่วนใหญ่ เราได้ภาพที่น่าพอใจ นี่คือวิธีการทำงาน:$ sudo ./sidmat eth0 "."
ฉัน
มิ บาชิโม่
ชื่อโดเมน และสิ่งที่ได้รับอนุญาต (eth0 คืออินเทอร์เฟซที่การรับส่งข้อมูล DNS ผ่าน)$ sudo ./sidmat eth0 "."
ฉัน |
ในขณะที่ IFS = read -r line;
ทำ printf "%s\t%s\n" "$(date "+%Y-%m-%d %H:%M:%S")" "$line";
เสร็จแล้ว
เราแก้ไขชั่วโมง
หากคุณไม่ต้องการเปลี่ยนเส้นทางผลลัพธ์ไปยังไฟล์ คุณสามารถใช้ตารางการมองเห็นได้อย่างรวดเร็ว
ยูทิลิตี้นี้สามารถบันทึกมุมมอง DNS ที่อยู่เบื้องหลัง pcap เพิ่มเติม (Linux/BSD) หรือกลไก nflog เพิ่มเติมใน Linux
เทคนิคนี้สามารถใช้สำหรับการจัดการจราจร
กรองตามโดเมน ลบที่อยู่โดเมนออก วีราซ่าเป็นประจำ- รายการอาจมีขนาดค่อนข้างใหญ่ เราประหลาดใจกับประสิทธิภาพของรายการโดเมน RKN (การรับส่งข้อมูลบนโดเมนที่ได้รับการป้องกันถูกเปลี่ยนเส้นทางไปยัง VPN) เราเตอร์พีซีดั้งเดิมทำงานได้อย่างราบรื่นอย่างสมบูรณ์
คุณสามารถช่วยเหลือและบริจาคเงินเล็กน้อยให้กับไซต์การพัฒนาได้
4601 ,ตั้งแต่นั้นมา ในขณะที่ความเชื่อผิด ๆ เกี่ยวกับการไม่เปิดเผยตัวตนบนอินเทอร์เน็ตได้พัฒนาไป ข้อกังวลด้านความเป็นส่วนตัวส่วนบุคคลได้รวมอยู่ในรายชื่อข้อที่อันตรายที่สุด การติดตามกิจกรรมของคุณตามขีดจำกัดนั้นต้องไม่น้อยไปกว่านี้ระบบเสียง และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณในทางเทคนิคแล้วมันไม่ใช่เรื่องยากนัก และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ DNS และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณดูเหมือนว่าจะเป็นผู้ให้บริการของคุณและบ่อยครั้งที่ทุกอย่างผ่านไป
การจราจรอาจถูกเปลี่ยนเส้นทาง โดยเฉพาะอย่างยิ่งตั้งแต่นั้นเป็นต้นมา - โปรดพยายามบังคับใช้การสื่อสารที่ไม่ได้เข้ารหัสเป็นที่ชัดเจนว่าการเปลี่ยนถุงที่ใช้มากเกินไปนั้นไม่ใช่เรื่องยากหากคุณเลือก
วีพีพีเอ็น และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ-บริการ คุณสามารถปิดประตูได้ด้วยวิธีการเข้ารหัสเท่านั้น-การจราจรซึ่งคุณต้องการพิเศษ ซอฟต์แวร์รักษาความปลอดภัย, เศษน้ำ และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณระบบปฏิบัติการ ไม่รองรับการเข้ารหัสจากกล่อง และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณยิ่งใหญ่ที่สุด เครื่องมือง่ายๆสำหรับการเข้ารหัส -การจราจร - น้อยยูทิลิตี้ฟรี เห็นได้ชัดว่าใช้สิ่งที่ไม่จำเป็นการปรับเปลี่ยนเพิ่มเติม ซึ่งหมายความว่าคุณสามารถเป็นมือใหม่ได้Є เครื่องมือคอนโซล และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณพร็อกซี DNSCrypt หากคุณไม่ต้องการแก้ไขมัน คุณจะต้องออกชุดคำสั่ง .
พาวเวอร์เชลล์ และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณ,เปลี่ยนที่อยู่ ด้วยตนเองและอย่างอื่นใครกำลังมีเวลาอยู่บ้าง ใจดี เข้าไปรู้จักเขาได้ในเพจเลย
github.com/jedisct1/dnscrypt-proxy เราเสนอให้ใช้เวอร์ชันเดสก์ท็อปที่เรียบง่ายและกำหนดเองมากขึ้น-เข้ารหัส ตรวจสอบเว็บไซต์ของผู้ค้าปลีก simplednscrypt.org ติดตั้งระบบปฏิบัติการเวอร์ชันที่เหมาะสมตามระบบปฏิบัติการของคุณมันมีอินเทอร์เฟซที่ใช้งานง่ายและเป็นภาษารัสเซียด้วย ดังนั้นคุณจึงสามารถเข้าใจได้อย่างง่ายดายว่ามันคืออะไร การปรับเปลี่ยนหลักจะขึ้นอยู่กับส่วนนี้ "เมนู"- หากต้องการเริ่มใช้งานโปรแกรมทันทีหลังการติดตั้งให้กดปุ่ม
“ศาสโตสุวาตี” จากนั้นเลือกของคุณด้านล่างฉันจะตัดแผนที่ อาจมีเครื่องหมายถูกดังที่แสดงในภาพหน้าจอเปเรมิกาช “บริการดีเอ็นเอสคริปต์”อาจจะมีความกระตือรือร้น เชื่อฉันเถอะว่าทุกอย่างทำงานได้ไม่สำคัญติดตามเราในตอนท้าย และไซต์ที่เกี่ยวข้องตลอดจนลูกค้าที่ได้รับอนุญาตจากบริการอินเทอร์เน็ตของคุณวิ่ง 127.0.0.1 ที่อยู่ของคุณอาจแตกต่างกัน
หลังจากเลือกแล้ว โปรแกรมจะเลือกเซิร์ฟเวอร์ที่ดีที่สุดโดยอัตโนมัติ หรือคุณสามารถเปลี่ยนตัวเลือกได้โดยเลือกด้วยตนเองในส่วนนี้
ไม่จำเป็นต้องเปลี่ยนพารามิเตอร์ส่วน หากคุณไม่ได้ใช้โปรโตคอล IPv4- สำหรับการตั้งค่าขั้นสูง คุณสามารถปิดแท็บเพิ่มเติมได้ "บัญชีดำของโดเมน", "บันทึกการบล็อกโดเมน"แต่ฉันก็รู้ด้วยว่าหากคุณกำลังจะทำงานกับฟังก์ชันที่แสดงในนั้น ให้รวมมันเข้าด้วยกัน “ชรนี”รายการโดเมน
สวัสดีทุกคน! ถึงเวลาดูการรับส่งข้อมูล DNS ผ่าน WireShark แล้ว
ฉันขอเตือนคุณว่าโปรโตคอล DNS ใช้เพื่อสร้างชื่อเชิงสัญลักษณ์ที่ผู้คนเข้าใจได้ เช่น เว็บไซต์ในที่อยู่ IP ซึ่งเป็นชื่อที่ใช้เขียนแบบสอบถาม
กำลังดาวน์โหลดไฟล์การรับส่งข้อมูล
เราเปิดมันใน WireShark และประหลาดใจ:
ตามความเป็นจริง โปรโตคอล DNS (ในโซนวิดีโอจะมีระบบชื่อโดเมนที่ต่ำที่สุด) อยู่เหนือโปรโตคอล UDP ซึ่งอยู่ที่ระดับที่ 4
สิ่งนี้ไม่ได้สร้างการเชื่อมต่อแบบถาวร แต่เพียงส่งแพ็กเก็ต (ดาตาแกรม) เช่นเดียวกับ TCP โปรโตคอล UDP มีพอร์ตสำหรับ DNS หมายเลขพอร์ตคือ 53 ซึ่งหาได้ง่ายในแผนผังโปรโตคอล
ยิ่งไปกว่านั้น โปรโตคอล UDP จะทับซ้อนกับ IP – โปรโตคอลการถ่ายโอนระหว่างชั้น
- Nini เป็นโปรโตคอลการส่งข้อมูลหลักบนอินเทอร์เน็ต
- เรามีข้อมูลเกี่ยวกับที่อยู่ IP ของอุปกรณ์ในระดับใด
- นั่นเป็นเพียงข้อมูลเกี่ยวกับแพ็กเก็ต UDP ที่ห่อหุ้ม
- เครื่องของเราจะจัดเก็บที่อยู่อย่างไร (ซึ่งรับข้อมูลผ่าน DNS) และวิธีกำหนดที่อยู่ IP - ด้วยตัวเอง เซิร์ฟเวอร์ DNSซึ่ง (พูดตามตรง) มีหน้าที่รับผิดชอบฐานข้อมูลแม่ของลักษณะที่ปรากฏดังกล่าว
- ฐานข้อมูลนี้จัดเก็บบันทึกหลายชนิด:
- A (โฮสต์) – ผูกชื่อโฮสต์และที่อยู่ IP
- AAAA (โฮสต์) – ผูกชื่อโฮสต์เข้ากับที่อยู่ IPv6 CNAME (นามแฝง) – เชื่อมโยงชื่อโหนดและนามแฝงเพื่อเปลี่ยนเส้นทางชื่อโหนดอื่น MX (การแลกเปลี่ยนเมล) – ระบุที่อยู่ IP
- เมลเซิร์ฟเวอร์
- โดเมนนี้ครอบคลุมอะไรบ้าง?
NS (เนมเซิร์ฟเวอร์) – ระบุเซิร์ฟเวอร์ DNS ที่ให้บริการโดเมนนี้
ทันทีที่คุณขยายแผนผังข้อมูลในการวิเคราะห์แพ็คเก็ต คุณจะเห็นว่าแบบสอบถามที่ดีที่สุดคือ (แบบสอบถาม) โดยแทนที่บันทึกโฮสต์มาตรฐาน (ประเภท: A) ด้วยชื่อ (ชื่อ: www.iana.org)
ดังนั้นในการแปล DNS ของรัสเซียจะเป็นดังนี้: 68.87.76.178 “เกย์ - บอกฉันไอพีไหน ที่ชื่อของเพื่อน www.iana.org
“ฉันอยากจะบอกคุณบางอย่าง”
เพลาของพวกเขากำลังรั่ว
ดังนั้นในการแปล DNS ของรัสเซียจะเป็นดังนี้: 71.198.243.158 เซิร์ฟเวอร์ที่ถูกส่งไปยังอะไร (แพ็คเกจหมายเลข 2): ที่ชื่อของเพื่อนที่นี่เราต้องการความช่วยเหลือด้านโภชนาการ 192.0.34.162 มิฉะนั้น ดูเหมือนว่าเซิร์ฟเวอร์ DNS จะบอกโฮสต์ว่าต้องการอะไร:
คุณถามที่อยู่ของยาคุ
, แกนโซ, ที่อยู่โยโก
! ตอนนี้เขียนถึงคุณโดยตรง”
ในรายละเอียด นี่คือการดูฟิลด์ Flags ซึ่งแสดงลักษณะของข้อความค้นหาและผลลัพธ์:
- ที่นี่ฉันกลับไปที่แพ็กเก็ตแรกที่คำขอถูกส่งไปยังเซิร์ฟเวอร์
- กลับไปยังรหัสธุรกรรม: ค่าตัวเลขนี้อาจซ้ำกันในคำถามเดียวกันซึ่งมีนัยสำคัญในคำถามนี้
- ฟิลด์ไบต์คู่มาตรฐานที่มีค่าประกอบด้วยหนึ่งบิต:
- บิตแรก (1) ระบุถึงสิ่งที่กำลังเขียน
- 2-5 บิต (4) - นี่คือแหล่งจ่ายมาตรฐาน
- 7 บิต (1) - นี่ไม่ได้ถูกตัดออก
8 บิต (1) – แบบสอบถามแบบเรียกซ้ำ (เนื่องจากเซิร์ฟเวอร์ DNS ของเราไม่รู้จักโฮสต์ IP ที่เราร้องขอ เนื่องจากเรารู้จักเซิร์ฟเวอร์ DNS อื่นอยู่แล้ว เราจึงไม่ทราบคำตอบ
10 บิต (1) – การจอง;
- 12 บิต (1) – ยอมรับการส่งสัญญาณที่ไม่ได้รับอนุญาต
- คำสั่งของเซิร์ฟเวอร์เรียกว่าเผด็จการเนื่องจากระบุว่าให้บริการในพื้นที่นั้น
- หากเซิร์ฟเวอร์ปฏิเสธการยืนยันจากเซิร์ฟเวอร์อื่น การยืนยันดังกล่าวจะไม่น่าเชื่อถือสำหรับเรา
- ตอนนี้เรามาดูประเภทต่างๆ:
- รีเซ็ตค่าเป็นรหัสธุรกรรม
- ค้นหา ID ของแพ็กเก็ตก่อนหน้า
- 2-5 บิต (4) - นี่คือแหล่งจ่ายมาตรฐาน
- บิตแรก (1) – อะไรคือข้อพิสูจน์
- 2-5 ครั้ง (4) – มาตรฐาน;
- 6 บิต (1) - อำนาจของบรรทัดเนื่องจากเซิร์ฟเวอร์ให้บริการโซนนี้ - มันจะเปลี่ยนเป็น "1" หากนำสายออกจากที่อื่น - มันจะเป็น "0";
7 บิต (1) – แพ็กเก็ตที่สั้นลง
ก่อนที่จะพูด เราได้สร้างโทรจันที่ขโมยข้อมูลจากคอมพิวเตอร์ และบังคับให้พวกเขาส่งคำขอ DNS ไปยังเซิร์ฟเวอร์ คุณแสดงว่านี่เป็นเรื่องจริงไฟร์วอลล์ส่วนใหญ่อนุญาต DNS เช่นเดียวกับการทำงานปกติของคอมพิวเตอร์ไคลเอนต์