Есть ли защита от DNS-спуфинга?
Добрый день! Вот такая модель угрозы: человек находится посередине между вами и вашим интренет-провайдером.
При вашей попытке отправить DNS-запрос он перехватывает сообщение, уничтожает его и отсылает обратно поддельный ответ.
Есть ли защита от такого?
Я так понимаю, что это одна из многих видов DNS-спуфинга. Также можно подделывать кэш DNS сервера. Какие еще виды DNS-спуфинга существуют? Есть ли защита от них?
При использовании TOR, выходная нода тоже может спуфить DNS?
комментариев: 11558 документов: 1036 редакций: 4118
DNSSEC, OpenDNSCrypt. /Поиск Вам в помощь.
А то! И с Tor приведённые выше методы не работают.
Тогда как вот такая идея: софт, работающий через TOR, отправляющий DNS-запросы по трём различным цепочкам. Сравнивает три ответа на предмет спуфинга. Плюс можно дополнительно отправлять DNS-запрос через провайдера на предмет спуфинга локального (от тебя до провайдера).
Думаю, что идея не нова.. Есть ли готовые реализации?
комментариев: 11558 документов: 1036 редакций: 4118
То есть самостоятельно устраивать утечку DNS-запроса?
Господа, вы не поняли. ТОР – средство проверки того, пытаются ли произвести локальный DNS-спуфинг. Имеется ввиду, что не требуется анонимность. По ТОР отправляются/получается только DNS-запросы/ответы. Трафик идет прямым каналом через провайдера.
ну допустим, типа tornslookup.
насколько мне известно, в пакете ТОР есть собственный DNS форвардер. можно присобачить его.
комментариев: 11558 документов: 1036 редакций: 4118
Хотите изобрести собственный велосипед с преферансом и поэтессами? Почему нельзя использовать готовые механизмы, мне решительно непонятно.
в принципе это не главное (для tornslookup), можно просто выдать предупреждение.
но если конкретизировать, то возможны следующие варианты.
1. DNS-ответ от провайдера и от тор-нод совпадают – всё хорошо
2. DNS-ответ от провайдера и от тор-нод НЕ совпадают – прослушивание локальное (на стороне провайдера)
3. DNS-ответ от провайдера совпадает только с двумя из трёх нод – прослушивание удаленное (на стороне ноды)
4. DNS-ответ от провайдера совпадает только с одной из трёх нод – ZOG!!! =))
Всегда есть вероятность ошибки.. Например, в варианте №2 – противник установил DNS-спуферы на все три ноды, и только твой родной провайдер не врёт.. =)
Я уже спрашивал
Например какие?
Если вы имеете ввиду DNSSEC и прочие, то для этого нужно, насколько мне известно, чтобы администратор веб-сайта позаботился об этом, не так ли?
комментариев: 11558 документов: 1036 редакций: 4118
Это не то, о чём я спрашиваю. Какие ответы должен давать этот гипотетический резолвер? Они должны быть чисто текстовые, т.е. работа с программой предполагается исключительно в ручном режиме?
OpenDNSCrypt'у не нужно ничего, кроме использования DNS-серверов OpenDNS.
Думаю, хотя бы сделать консольное приложение, а потом посмотрим, как попрёт)))
Против OpenDNSCrypt сказать ничего не могу, за исключением того, что нужно доверять их сервису. Конечно, вероятность целенаправленной атаки против меня мала.
Также, считаю, всегда нужны альтернативные средства защиты. Комплексный подход к безопасности же!)
комментариев: 11558 документов: 1036 редакций: 4118
"Как попрёт" — это отличное инженерное требование.
Для консоли напишите простой скрипт, перестраивающий цепочки Tor'а (или просто перезапускающее его процесс) и запрашивающее IP домена через tor-resolve нужное число раз. Можно как ограничиться простым выводом IP, так и прикрутить свистелки, автоматически сравнивающие результаты между собой и ответом от провайдерского DNS-сервера. В любом случае работа на несколько минут.
Под заявленную Вами модель угрозы подходит.
комментариев: 11558 документов: 1036 редакций: 4118
Именно. Поэтому, в идеале, придётся через управляющий порт проверять их идентичность.
Результат каждый раз разный.
И даже здесь этих адресов нет:
Видимо, это связано с резервированием. При проверке крупных сайтов будут ошибки. С pgpru все нормально.