Tag Archives: linux, security

Прихващане и пренасочване на DNS запитвания

от Йордан Радунчев
лиценз CC BY

Ако не знаете нищо за DNSChanger, можете да се информирате на сайта на ФБР. С две думи: шест лоши момчета от Естония намерили начин да манипулират D(omain)N(ame)S(ystem) настройките на милиони интернет устройства. DNS е Голямата Адресна Книга на Интернет - когато напишете в браузъра си www.google.com, браузърът ви не знае нищо за този сайт, няма никаква идея как да го намери. Браузърът отправя запитване до специален сървър, който "знае" IP адресите на всеки сайт в Интернет, получава от него адреса на www.google.com и отваря връзка с него. Обикновено вашия Интернет доставчик има свои DNS сървъри и техните адреси са част от настройките, които компютъра ви получава автоматично. Лошите естонци са намерили начин да променят тези настройки - да подменят адресите, предоставяни от доставчика ви, с такива, които те контролират. По този начин те контролират вашия достъп до Интернет изцяло и са в състояние да ви "водят" на там, на където те искат. Така са успели да пренасочват трафик от нищо неподозиращи интернет потребители към определени рекламни сайтове и определени продукти - от което и са правили пари.

След като ФБР ги спипали, успели да вземат заповед от съд в САЩ, която задължава Internet System Consortium да "вдигне" чисти DNS сървъри на мястото на "лошите" сървъри. Сървърите на ICS се държат като нормални DNS сървъри и не манипулират достъпа до Интернет, като по този начин дават време на засегнатите да изчистят системите си, без да губят достъпа си до Мрежата. Срокът на тази заповед е до 9 юли 2012. На тази дата ICS ще изключи "заместителите". Ако сте били засегнат от DNSChanger и до този момент все още не сте оправили комютъра си, на 9 юли най-вероятно ще бъдете неприятно изненадани - няма да ви се отварят повечето сайтове... Няма фейсбук, няма твитер... Лоша работа.

Най-добре хвърлете едно око на сайта на DNSChanger Working Group - там има инструкции как да проверите дали сте от засегнатите и как да оправите настройките си ако сте. Това, че не използвате Уиндоус на компютъра си нека не ви успокоява. Компютърът ви най-често получава мрежовите си настройки от рутер/сървър на доставчика ви. DNSChanger може да манипулира тези устройства и да "отрови" информацията, която те предават на компютрите под тях, като по този начин лошите DNS настройки се записват и от машини с Линукс или МакОС.

Ако пък вие самите използвате рутер, за да свържете домашната си мрежа с тази на Интернет доставчик, имате добра възможност да се предпазите от подобни лошотии чрез него. Стига рутерът ви да е с инсталирана една от многото свободно разработвани и свободно достъпни операционни системи за рутер, базирани на Линукс. Като DD-WRT или Tomato - за безбройните Linksys, Buffalo и подобни устройства. Или IPCop, Smoothwall или подобни - които превръщат PC с две мрежови карти в домашен рутер. Всички те изпълянват NAT (network address translation) използвайки iptables. Добавяйки следните две правила в iptables на рутера:

iptables -t nat -A PREROUTING -p udp -i eth1 --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 53 -j DNAT --to 208.67.222.222

рутерът ще прихваща и "пренасочва" абсолютно всички DNS запитвания от компютрите, които обслужва, към DNS сървър на OpenDNS. По този начин, дори някой от тях да е инфектиран с DNSChanger, заявките му ще бъдат прихващани и пренасочвани към "правилен" сървър.

Специално за DD-WRT можете да използвате тази инструкция.

Разбира се, това решение не отменя и не замества "почистването" на компютъра ви от заразата, ако е инфектиран. Според данните на DCWG към 4 юли все още има 341 IP адреса от България, от които идват заявки към "лошите" DNS сървъри - 341 заразени устройства, едно от тях може да е вашето.

Ако не ви е ясно как да инсталирате и конфигурирате DD-WRT или Tomato на домашния си рутер, и така да си осигурите по-добър контрол над него и по-голяма безопасност - изобщо не се притеснявайте да ме потърсите за съдействие - ще ви помогна срещу минимално възнаграждение :)

Прихващането и пренасочването на DNS заявките от компютрите в домашната (офисната) мрежа, в комбинация с филтрите, които предлага OpenDNS, дава много добра възможност за управляване на достъпа на децата (служителите) в къщи (офиса) до Интернет - предпазването им от сайтове с "неподходящо" съдържание, като същевременно ограниченията не влияят на използването на Интернет от родителското тяло (шефа). Но това е друга тема - ако имате непълнолетни вкъщи (подопечни в офиса) и ви интересува - насреща съм да я обсъдим.