Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Интернет, WEB дизайн, копирайт

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 10.12.2013, 09:58   [включить плавающее окно]   #1
attenuator
Мужской Общительный
Автор темы
 
Регистрация: 29.10.2013
Firewall не читает UDP пакеты?

Нужно заблокировать обращения к DNS серверу по имени ресурса, использующего шифрованные соединения.

Firewall запущен. DNS кеш почищен. Запускаю сниффер, запускаю браузер (Comodo).. Для опытов выбрал имя twitter.com. Маска - twitter.
Пишу в адресной строке браузера: twitter.com, Enter..

И вот что происходит: сначала Comodo ломанулся домой, типа обновления проверять.. За ним пошло обращение к DNS серверу.. Firewall не отреагировал..

Почему так происходит? Firewall не читает UDP пакеты?

Скрины:
1. запрос браузера http://v81.img-up.net/016f28.png
2. ответ DNS сервера http://c56.img-up.net/024770.png

* 10.10.10.2 - мой локальный IP
* 10.10.10.1 - IP шлюза роутера

Помогите пожалуйста разобраться.
attenuator вне форума  
Ответить с цитированием
Непрочитано 10.12.2013, 11:03   [включить плавающее окно]   #2
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (attenuator) »
Firewall не отреагировал..
а должен был? Не описано что предпринималось для блокировки.
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2013, 12:00   [включить плавающее окно]   #3
attenuator
Мужской Общительный
Автор темы
 
Регистрация: 29.10.2013
Цитата (Keper) »
что предпринималось для блокировки
Outpost - модуль фильтрации по содержимому - функция: блокировка web-сайтов.
http://l76.img-up.net/03d956.jpg
http://b72.img-up.net/0419ca.jpg

Кажется, этот модуль и не должен читать UDP пакеты.. Хмм...

Как же заблокировать доступ к DNS серверу запросам с нежелательными именами?
Потому что, когда IP будет получен - Firewall не сможет контролировать шифрованный трафик.

По идее нужно выяснить, первое обращение к серверу (после получения IP от DNS сервера) браузер делатет без шифрования (с какой радости ему обращаться на 443 порт, если по умолчанию - 80-й?), и только после того как сервер укажет браузеру, чтобы тот шифровался, - браузер начнет шифроваться, или сразу начинается шифрованное соединение? Каким тогда "макаром" браузер узнает что нужно шифроваться?
Из скрина, который был размещен выше http://v81.img-up.net/016f28.png, видно, что сразу после получения IP адреса браузер инициировал шифрованное соединение. Что вообще происходит? Откуда браузер узнал, что нужно шифроваться? От DNS сервера? http://c56.img-up.net/024770.png (жаль, что не могу разобрать, что сообщил браузеру DNS сервер..)

Последний раз редактировалось attenuator; 10.12.2013 в 12:14.
attenuator вне форума  
Ответить с цитированием
Непрочитано 10.12.2013, 12:38   [включить плавающее окно]   #4
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Цитата (attenuator) »
Что вообще происходит?
апакалипсис
Цитата (attenuator) »
Откуда браузер узнал, что нужно шифроваться?
от туда ... DNS
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2013, 13:00   [включить плавающее окно]   #5
attenuator
Мужской Общительный
Автор темы
 
Регистрация: 29.10.2013
Цитата (zl0dey4eg) »
от туда ... DNS
Большое спасибо за помощь?

Что в таком случае можно предпринять? Куда рыть? Как, чем контролировать общение браузера с DNS сервером, чтобы он не запрашивал чего не положено?

Но похоже что в случае с Г-лом DNS не при чем..
http://s75.img-up.net/055b12.jpg
http://v61.img-up.net/06ffd0.jpg

IE6 работает с Г-лом без шифрования. А Комодо (aka Хром) - почему-то шифруется.. Хрень какая-то..

Последний раз редактировалось attenuator; 10.12.2013 в 13:22.
attenuator вне форума  
Ответить с цитированием
Непрочитано 10.12.2013, 13:16   [включить плавающее окно]   #6
Keper
Мужской Модератор
 
Аватар для Keper
 
Регистрация: 30.07.2005
Адрес: Рязань
Цитата (attenuator) »
Как же заблокировать доступ к DNS серверу запросам с нежелательными именами?
как вариант:
пользователи без административных прав;
DNS сервер локальный;
делаем зону по нужному сайту и подменяем ip сайтов на какие угодно;
__________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2013, 13:17   [включить плавающее окно]   #7
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Цитата (attenuator) »
Как, чем контролировать общение браузера с DNS сервером, чтобы он не запрашивал чего не положено?
как вариант - собственным DNS сервером.
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2013, 13:28   [включить плавающее окно]   #8
attenuator
Мужской Общительный
Автор темы
 
Регистрация: 29.10.2013
Цитата (Keper) »
пользователи без административных прав;
DNS сервер локальный;
делаем зону по нужному сайту и подменяем ip сайтов на какие угодно
Цитата (zl0dey4eg) »
как вариант - собственным DNS сервером
Большое спасибо, Keper!
Большое спасибо, zl0dey4eg!

Ушел курить свой DNS..

Не подскажите, на какой DNS обратить внимание для маленькой домашней локалки?
attenuator вне форума  
Ответить с цитированием
Непрочитано 10.12.2013, 14:26   [включить плавающее окно]   #9
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Цитата (attenuator) »
Не подскажите, на какой DNS обратить внимание для маленькой домашней локалки?
еще бы догадаться под какую OS ?!?
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.12.2013, 14:35   [включить плавающее окно]   #10
attenuator
Мужской Общительный
Автор темы
 
Регистрация: 29.10.2013
Цитата (zl0dey4eg) »
OS ?!?
Ах, да, простите.. Мне нравится ВиндА.. Но если под ВиндУ нет ничего, то тогда под любую, без разницы.. с какОй разбираться придется..

Смотрел small HTTP server - так там невозможно понять как конфиги для DNS настраивать.. и нигде не удалось найти хоть что-то для примера. На родном сайте есть немного инфы, но для меня недостаточно, чтобы понять что и как.. Много лишнего. Не нравится мне все в одном..
Смотрел HandyCache - также что-то не то.. Не знаю чем, но ненравится..
Курю дальше..

Последний раз редактировалось attenuator; 10.12.2013 в 14:43.
attenuator вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 17:57. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey