Как устроен и работает DNS

Перенос из темы «Депутаты заставят регистрировать сайты в Роскомнадзоре»
 
RU Lamort #27.03.2014 11:43  @Bredonosec#26.03.2014 00:11
+
-
edit
 

Lamort

ограниченный
☆★★★
админ. бан
Bredonosec> Я просто обьяснил, что если принимать "ответы" насчет адресов от кого попало, то что на этом, что на том уровнях, можно хорошо повеселиться.

То, что вы описали выше называется перехват DNS-запроса и если это вообще осуществить, то "посылать запрос кому надо" вообще не поможет. Ложный DNS-сервер прикидывается настоящим.
 
LT Bredonosec #29.03.2014 22:13  @Lamort#27.03.2014 11:43
+
-1
-
edit
 

Bredonosec

аксакал
★★★☆
Lamort> То, что вы описали выше называется перехват DNS-запроса и если это вообще осуществить, то "посылать запрос кому надо" вообще не поможет. Ложный DNS-сервер прикидывается настоящим.

вы как обычно ничерта не понимаете, но прикидываетесь знатоком ))

Если я в настройках стенки укажу принимать ответы по удп и 53 порту только с ИП 212.59.0.1 (к примеру, - это один из ДНС местных провайдеров) - можете прикидываться хоть турбовеником, мне будет глубоко насрать :)
 26.026.0
RU Lamort #31.03.2014 09:35  @Bredonosec#29.03.2014 22:13
+
+1
-
edit
 

Lamort

ограниченный
☆★★★
админ. бан
Bredonosec> вы как обычно ничерта не понимаете, но прикидываетесь знатоком ))

Да что вы говорите, а не вы ли недавно глубокомысленно про ARP вещали? ;)

Bredonosec> Если я в настройках стенки укажу принимать ответы по удп и 53 порту только с ИП 212.59.0.1 (к примеру, - это один из ДНС местных провайдеров) - можете прикидываться хоть турбовеником, мне будет глубоко насрать :)

Атакующий вас может прикинуться этим самым IP провайдера, например, если он находится в вашем Eternet-сегменте и посылать вам ответ якобы с этого самого IP, который принадлежит DNS провайдера. Кстати, это делается с помощью именно с помощью ARP о котором вы говорили выше. :)
 
Это сообщение редактировалось 31.03.2014 в 09:41
+
+1
-
edit
 

Mishka

модератор
★★☆
Lamort> Кстати, это делается с помощью именно с помощью ARP о котором вы говорили выше. :)
Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?

На лине:
code text
  1. [root@evstiomvvm etc]# ifconfig
  2. eth0      Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
  3.           inet addr:10.23.4.190  Bcast:10.23.5.255  Mask:255.255.254.0
  4.           inet6 addr: fe80::20c:29ff:fe5e:4a34/64 Scope:Link
  5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  6.           RX packets:13057335 errors:0 dropped:0 overruns:0 frame:0
  7.           TX packets:1563582 errors:0 dropped:0 overruns:0 carrier:0
  8.           collisions:0 txqueuelen:1000
  9.           RX bytes:2266535371 (2.1 GiB)  TX bytes:288674947 (275.3 MiB)
  10.           Interrupt:67 Base address:0x2024
  11.  
  12. lo        Link encap:Local Loopback  
  13.           inet addr:127.0.0.1  Mask:255.0.0.0
  14.           inet6 addr: ::1/128 Scope:Host
  15.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
  16.           RX packets:3970 errors:0 dropped:0 overruns:0 frame:0
  17.           TX packets:3970 errors:0 dropped:0 overruns:0 carrier:0
  18.           collisions:0 txqueuelen:0
  19.           RX bytes:6095991 (5.8 MiB)  TX bytes:6095991 (5.8 MiB)
  20.  
  21. [root@evstiomvvm etc]# ifconfig eth0:1 up 10.23.5.12
  22. [root@evstiomvvm etc]# ifconfig
  23. eth0      Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
  24.           inet addr:10.23.4.190  Bcast:10.23.5.255  Mask:255.255.254.0
  25.           inet6 addr: fe80::20c:29ff:fe5e:4a34/64 Scope:Link
  26.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  27.           RX packets:13057764 errors:0 dropped:0 overruns:0 frame:0
  28.           TX packets:1563598 errors:0 dropped:0 overruns:0 carrier:0
  29.           collisions:0 txqueuelen:1000
  30.           RX bytes:2266574572 (2.1 GiB)  TX bytes:288677011 (275.3 MiB)
  31.           Interrupt:67 Base address:0x2024
  32.  
  33. eth0:1    Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
  34.           inet addr:10.23.5.12  Bcast:10.255.255.255  Mask:255.0.0.0
  35.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  36.           Interrupt:67 Base address:0x2024
  37.  
  38. lo        Link encap:Local Loopback  
  39.           inet addr:127.0.0.1  Mask:255.0.0.0
  40.           inet6 addr: ::1/128 Scope:Host
  41.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
  42.           RX packets:3970 errors:0 dropped:0 overruns:0 frame:0
  43.           TX packets:3970 errors:0 dropped:0 overruns:0 carrier:0
  44.           collisions:0 txqueuelen:0
  45.           RX bytes:6095991 (5.8 MiB)  TX bytes:6095991 (5.8 MiB)
  46.  
  47. [root@evstiomvvm etc]#


How to assign different/multiple IP address to NIC network card — windows
 28.028.0
+
+2
-
edit
 

zaitcev

опытный

Mishka> Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?
Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.
 27.027.0
+
-
edit
 

Mishka

модератор
★★☆
zaitcev> Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.

Если ты уже в сегменте, то тебе прикидываться не надо. Просто завёл адрес и он по тому же ARP всем раздасться. И до тебя быстрее дойдёт, чем до нужного DNS сервера через несколько хопов. Хотя это тут роли не играет — прямая трансляция IP адреса в локальный обеспечит тебе нужную жизнь. Вот для DHCP это играет роль, бо там просто броадкастают и смотрят, что будет. Кто первым ответил, тот и хозяин. Кстати, одна из самых поганых фишек в локальной сети, когда какой-нибудь идиот принесёт свой раутер тихонько и установит, а DHCP не отключит. Потом люди начинают получать левые адреса, нифига не работает и все IT просто писяют кипятком некоторое время. Хотя по тому же ARP кэшу можно вычислить физические порты в свитчах, откуда инфа пришла (если свитчи не manageble, то труднее, но путём отключения up-link-ов, довольно быстро сегментируется на маленькие участки). Если скрестить с DHCP и ARP немного, то там вообще можно маршрутные таблицы менять. Собственно, атака на Дуга ARP и была такая, что заменяла default gateway на себя и все слали трафик тебе.
 28.028.0
+
-
edit
 

Lamort

ограниченный
☆★★★
админ. бан
Mishka>> Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?
zaitcev> Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.

Ага, некий хост перехватывает трафик и заменяет исходящий IP на IP DNS, а MAC заменяет на MAC роутера, так как сам адресат находится как правило дальше, чем хост злоумышленника, ответ от него приходит быстрее, чем настоящий ответ.
"Бородатая" технология, её в курсе Cisco рассказывают.
 
+
-
edit
 

Balancer

администратор
★★★★☆
CloudFlare DNS nic.ru хостинг
Второй день (это я в отпуске, ага!) пытаюсь прописать TXT-запись домена на DNS-хостинге (не мой) nic.ru. В ответе запись всегда отсутствует. Дошёл до того, что написал к ним в техподдержку, жду ответа. Для сравнения, прописал то же самое на своём домене на CloudFlare — запись в отклике появилась мгновенно. Давно пора было переводить эту организацию с платного хостинга nic.ru на бесплатный CloudFlare...

// Транслировано с juick.com
 
+
-
edit
 

Balancer

администратор
★★★★☆
2domains DNS домены регистраторы
Сегодня потерял де^W^W заказал первый домен на 2domains :) Потребовался левый «мусорный» домен и платить по 450 в год в РУ-Центре что-то жаба придушила. Ну и взял у 2domains :)




// Транслировано с juick.com
 
Последние действия над темой

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru