pemoyr
Опытный user
- Регистрация
- 17 Окт 2019
- Сообщения
- 125
- Реакции
- 1
В этой статье я расскажу как сделать связку из DNS серверов, которая будет разрешать пользователю, заходить только в поисковую систему и на выбранный вами сайт.
Для этой цели подойдут два сервера vds (виртуальный выделенный сервер).
Далее будет показан принцип действия с виртуальными машинами ubuntu bionic 64,
на vagrant оболочке(для полной имитации ssh соединения, дабы не было лишних вопросов).
Вначале подключаемся по ssh
В моём случае:
1. ssh [email protected]
1) Заходим под root: sudo -i
2) apt-get update
3) Ставим пакеты: apt-get install python python3 python-pip python3-pip git
4) Клонируемg репозиторий: it clone https://github.com/iphelix/dnschef
5) cd dnschef
6) Ставим зависимости: pip3 install -r requirements.txt
Проделываем всё тоже самое на второй виртуальной машине:
2. ssh [email protected]
1) sudo -i
2)…
В склонированном репозитории есть такой файл конфигураций dnschef.ini
Для сервара на первой виртуальной машине редактируем этот файл следующим образом:
[A] # Queries for IPv4 address records
*.google.com=64.233.164.138
[AAAA] # Queries for IPv6 address records
*.google.com=2a00:1450:4010:c07::71
[MX] # Queries for mail server records
*.google.com=64.233.165.18
Для второго сервера конфигурационный файл не трогаем.
Прописываем на первой машине команду
python3 dnschef.py --file dnschef.ini --nameservers 192.168.1.56 -i 192.168.1.55
В данной команде, вы говорите, проверять все домены из конфигурационного файла, и в случае, если нужная запись не найдена, отправляться на днс сервер 192.168.1.56.
На второй машине пишем команду
python3 dnschef.py --fakeip 31.31.196.209 -i 192.168.1.56
В этой команде мы задаём отвечать на все запросы определенным ip адресом.
То есть если у юзера выставлен ваш днс с ip 192.168.1.55, то он сможет заходить только в гугл и на ваш сайт. Притом при клике по сайтам без сертификатов (http) или с сертификатами (https), но данные о которых отсутствуют в кэше, из списка в гугле будет открывать только ваш сайт.
Это идеальный способ гнать юзера на свой http сайт. Сайты с сертификатами, домены которых есть в днс кеше у юзера, будут просто недоступны. Все остальные, будут гнаться на ваш ip.
Для эксплуатации этого способа нужно получить доступ к роутеру жертвы и выставить свой днс у него в настройках.
Проверить работу можно с другой машиной с помощью команды
nslookup example.com 192.168.1.55
Для этой цели подойдут два сервера vds (виртуальный выделенный сервер).
Далее будет показан принцип действия с виртуальными машинами ubuntu bionic 64,
на vagrant оболочке(для полной имитации ssh соединения, дабы не было лишних вопросов).
Вначале подключаемся по ssh
В моём случае:
1. ssh [email protected]
1) Заходим под root: sudo -i
2) apt-get update
3) Ставим пакеты: apt-get install python python3 python-pip python3-pip git
4) Клонируемg репозиторий: it clone https://github.com/iphelix/dnschef
5) cd dnschef
6) Ставим зависимости: pip3 install -r requirements.txt
Проделываем всё тоже самое на второй виртуальной машине:
2. ssh [email protected]
1) sudo -i
2)…
В склонированном репозитории есть такой файл конфигураций dnschef.ini
Для сервара на первой виртуальной машине редактируем этот файл следующим образом:
[A] # Queries for IPv4 address records
*.google.com=64.233.164.138
[AAAA] # Queries for IPv6 address records
*.google.com=2a00:1450:4010:c07::71
[MX] # Queries for mail server records
*.google.com=64.233.165.18
Для второго сервера конфигурационный файл не трогаем.
Прописываем на первой машине команду
python3 dnschef.py --file dnschef.ini --nameservers 192.168.1.56 -i 192.168.1.55
В данной команде, вы говорите, проверять все домены из конфигурационного файла, и в случае, если нужная запись не найдена, отправляться на днс сервер 192.168.1.56.
На второй машине пишем команду
python3 dnschef.py --fakeip 31.31.196.209 -i 192.168.1.56
В этой команде мы задаём отвечать на все запросы определенным ip адресом.
То есть если у юзера выставлен ваш днс с ip 192.168.1.55, то он сможет заходить только в гугл и на ваш сайт. Притом при клике по сайтам без сертификатов (http) или с сертификатами (https), но данные о которых отсутствуют в кэше, из списка в гугле будет открывать только ваш сайт.
Это идеальный способ гнать юзера на свой http сайт. Сайты с сертификатами, домены которых есть в днс кеше у юзера, будут просто недоступны. Все остальные, будут гнаться на ваш ip.
Для эксплуатации этого способа нужно получить доступ к роутеру жертвы и выставить свой днс у него в настройках.
Проверить работу можно с другой машиной с помощью команды
nslookup example.com 192.168.1.55
