作者 主题: 关注DNS劫持与污染 (建议:收集、经常更换可靠的国外DNS,并设置防火墙阻断其他所有非法DNS连接)  (阅读 11142 次)

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
在使用VPN翻墙上网过程中发现,浏览某些被封网站如大纪元网站,有时比较顺利,有时需要很长时间。
注:原先使用OPENDNS,后改为其他国外DNS后,翻墙很顺利,不久又不能浏览敏感网站。。

推测:可能已对包括OPENDNS(208.67.220.220,208.67.222.222)在内的DNS作了监控过滤、劫持、污染。

建议:
1、收集、设置可靠的国外DNS,并经常更换。
2、设置防火墙,过滤其他所有非法DNS数据包。
        包括过滤本地网段DNS数据包:
                192.168.0.0;(注:本人使用路由,曾经检测到该地址段非法DNS数据包)
                172.16.0.0;
                10.0.0.0;
                169.254.0.0;(注:本人使用路由,曾经检测到该地址段非法DNS数据包)
                127.0.0.0。(注:对本地回环127.0.0.0 地址段,未曾检测到非法DNS数据包。继续关注中!)


测试一:按以上两项建议设置,近期测试,无网不至,翻墙顺利。
测试二:如果只进行第一项,仅更换可靠的国外DNS服务器地址。短期内可浏览所有网站,不久就不能浏览敏感网站。

        同时建议技术人员关注反DNS污染技术。
« 最后编辑时间: 五月 08, 2010, 06:17:36 am 作者 killgfw »

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
绿坝 消失了吗?

或许有另一种可能:绿坝及其变种,不是以软件的形式,而是以木马(或病毒)的形式,潜入用户计算机中。

正常情况下,当浏览网站时,有个 DNS 解析过程,以获取网站 IP 地址。在 DNS 解析程中,利用网络抓包工具可捕获到 DNS 查询数据包和DNS响应数据包。

在测试过程中发现:
当浏览普通网站时,有DNS分析过程,可捕获到对该网站 DNS 查询数据包和DNS响应数据包。

浏览敏感网站时,浏览器显示:
"此网页无法访问。
位于 hssp://www.XXXXXX.com/ 的网页可能暂时无法连接,或者它已被永久性地移动到新网址。 "。

在网页无法访问时发现两种情况:

一种是没捕获到对该网站DNS解析的查询数据包和DNS响应数据包。浏览器即刻显示"此网页无法访问“。

另一种是捕获到对该敏感网站DNS解析的查询数据包和DNS响应数据包。但查询过程异常。DNS解析结果错误。

推测:测试机器很可能被感染,在浏览过程中,在本机或本地(指本地区ISP,也可能本地区存在GFW类似功能过滤机制)被“墙” 。

(推测本地区可能存在GFW类似功能过滤机制的过程根据:
断网线,开机进入系统后,首先运行抓包工具,观测DNS包。
通常解析地址为:www.XXX.com,或.net等。
但发现异常地址,只有四个字母,比如:ABCD。并且只发现查询DNS包,没发现 DNS 响应数据包。
ABCD 对应的 十六进制为 41 42 43 44 。换算成十进制分别为  65 66 67 68,换成IP地址就是65.66.67.68。
执行 whois 65.66.67.68 查询该 IP 归属地。发现属于本地区 IP 网段。
此推测有待不同地区测试者验证。)

测试环境:XP+VPN,
测试过程中没有使用翻墙软件,如无界,自由门等。
如通过自由门翻墙,单独使用使用门,或自由门+VPN,均能正常访问。速度也快。

供参考。
« 最后编辑时间: 四月 18, 2010, 08:25:27 pm 作者 killgfw »

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
利用 ipconfig/displaydns 命令查看 DNS 缓存,检测系统有无后门链接,或恶意 DNS 。

执行 C:>ipconfig/displaydns ,运行结果如下:

Windows IP Configuration

         7939.com
         ----------------------------------------
         Record Name . . . . . : 7939.com
         Record Type . . . . . : 1
         Time To Live  . . . . : 595102
         Data Length . . . . . : 4
         Section . . . . . . . : Answer
         A (Host) Record . . . : 127.0.0.1


         8749.com
         ----------------------------------------
         Record Name . . . . . : 8749.com
         Record Type . . . . . : 1
         Time To Live  . . . . : 595102
         Data Length . . . . . : 4
         Section . . . . . . . : Answer
         A (Host) Record . . . : 127.0.0.1
         ......

  从显示内容判断,再辅以其他网络命令,判断、追踪恶意链接来源。

  用深度XP系统测试,已经发现的有奇虎(qihoo.com)360、sandai.net等DNS解析缓存。


离线 twfcc

  • 自由发言用户
  • 注册用户
  • **
  • 帖子: 355
我正想安裝這個,有興趣研究一下 http://www.dnstunnel.de/

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59

近期测试 DNS 情况总结:     

无论是在 Windows ( XP ) 系统,还是 Linux ( Ubuntu )系统,设置 DNS ,比如 Google 的 8.8.8.8 和 8.8.4.4 作为主、辅 DNS 服务器。
利用 OpenVPN 翻墙,通过 firefox 3.5.9 浏览网站。观测 DNS 过程。

初期,无论是普通网站,还是敏感网站,都能顺利浏览,速度也快。
观测发现,此时 DNS 过程均通过 OpenVPN 数据流完成解析。

一两天之后,发现不能登录敏感网站。
提示大意:超时,upstream 信息无响应内容。
观测发现,此时DNS过程既没有通过自己设置的DNS服务器,也没通过 OpenVPN 数据流完成,而是通过本地 DNS服务器解析。
解决办法:Linux 下,重新设置 iptables 防火墙,过滤本地DNS过程。启用 iptables ,VPN 下可顺利浏览敏感网站。
     Windows 下,用VPN + 自由门 组合,顺利翻墙。(通过设置防火墙,阻断本址 DNS 过程,应该也可以,但没测试。)

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
我正想安裝這個,有興趣研究一下 http://www.dnstunnel.de/


====>  关注中!
« 最后编辑时间: 五月 09, 2010, 06:25:07 pm 作者 killgfw »

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
防 DNS 劫持 Linux iptables 设置(供参考):

---------------------------------------------------------------------------------------------------------------------------------------

for eth_port in `ifconfig|grep encap|grep -v Loopback|cut -b 1-4`
do
 for mynameserver in `more /etc/resolv.conf | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}'|grep -v ^10. |grep -v ^172. |grep -v ^192.168 |grep -v 169.254`
 do
   iptables -A OUTPUT -o $eth_port -d $mynameserver -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
   iptables -A OUTPUT -o $eth_port ! -d $mynameserver -p udp --dport 53 -m state --state NEW,ESTABLISHED  -j DROP
   iptables -A INPUT -i $eth_port -s $mynameserver -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
 done
done


---------------------------------------------------------------------------------------------------------------------------------------

(注:/etc/resolv.conf 是文件解析器 - resolver 使用的配置文件,类似内容如下:

    # Generated by NetworkManager
    nameserver 8.8.8.8
    nameserver 8.8.4.4

  其中 8.8.8.8 和 8.8.4.4 为 GOOGLE 的 DNS ,可对其进行编辑,换成可靠的其他国外 DNS )

  如此设置后,启用 iptables 防火墙使之生效,便可实现对 DNS 的过滤:只能访问 /etc/resolv.conf 内的可靠 DNS 服务器,拒绝其他所有 DNS 访问。
« 最后编辑时间: 五月 09, 2010, 11:13:06 pm 作者 killgfw »

离线 小玩家

  • 注册用户
  • *
  • 帖子: 6
请问,怎样可以观察到我的机器是不是用我指定的DNS解释,还是被其它坏蛋DNS解释?

我用的是win2003. 在自己建的192.168的局域网内.

我不知道用什么软件可以监察到解释过程.

离线 pygmys

  • 注册用户
  • *
  • 帖子: 237
请高手们多讲一些具体的监测方法。

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
请问,怎样可以观察到我的机器是不是用我指定的DNS解释,还是被其它坏蛋DNS解释?

我用的是win2003. 在自己建的192.168的局域网内.

我不知道用什么软件可以监察到解释过程.


请高手们多讲一些具体的监测方法。



声明:我不是高手,卑视 GFW 的无耻行径。

本人测试用机器:

一、XP SP3 + comodo internet security 套件(防火墙+杀毒功能)+ 微软的 Network Monitor 3
   其中,打开 comodo 的“防火墙”--“查看活动连接” 可查看网络连接详细情况:源端口、目标地址、目标端口等内容
   利用微软的 Network Monitor 3 抓数据包,查看数据包详细情况。

二、Ubuntu 9.04 + OpenVPN + iptables
   利用 iptables 设置防火墙。

« 最后编辑时间: 五月 19, 2010, 06:04:59 pm 作者 killgfw »

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59

所遇到的“非法 DNS 连接”两种情况:

一、DNS 服务器地址不在自己所选的安全 DNS 地址列表范围内。

二、除了系统更新、杀毒软件升级等正常的系统网络连接外的异常 DNS 连接。

  测试过程中大致情况:

  (Win XP sp3 + OPENVPN 环境下)只运行 firefox 浏览网页,没有系统在线更新、杀毒软件更新病毒库活动。

  而发现了firefox之外的自系统外连的可疑 DNS 连接(正常情况下所有 DNS 连接均通过 VPN 进行),此时通过 OPENVPN 浏览敏感网站,被阻。

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
Ubuntu 10.4 + psad 2.1.5 环境

执行  $ sudo psad -S 结果异常 :
    ......
  • Top 50 signature matches:

      "BACKDOOR win-trin00 connection attempt" (udp),  Count: 3,  Unique sources: 1,  Sid: 1853
    ......
  • IP Status Detail:


SRC:  8.8.8.8, DL: 4, Dsts: 1, Pkts: 3620, Unique sigs: 1, Email alerts: 454

    DST: 192.168.XX.XX, Local IP
        Scanned ports: UDP 32781-60933, Pkts: 3620, Chain: INPUT, Intf: eth1
        Signature match: "BACKDOOR win-trin00 connection attempt"
            UDP, Chain: INPUT, Count: 3, DP: 35555, Sid: 1853
    ......
==========
    ......
  • Top 50 signature matches:

      "RPC portmap listing UDP 32771" (udp),  Count: 3,  Unique sources: 1,  Sid: 1281
    ......
  • IP Status Detail:


SRC:  8.8.8.8, DL: 5, Dsts: 1, Pkts: 36045, Unique sigs: 1, Email alerts: 2887

    DST: 192.168.XX.X, Local IP
        Scanned ports: UDP 32771-61000, Pkts: 36045, Chain: INPUT, Intf: eth1
        Signature match: "RPC portmap listing UDP 32771"
            UDP, Chain: INPUT, Count: 3, DP: 32771, Sid: 1281
    ......
==========


难到 GOOGLE 的 DNS 8.8.8.8 有问题 ? 还是有假冒的(中间人攻击)? 继續关注。
« 最后编辑时间: 六月 02, 2010, 09:04:16 am 作者 killgfw »

离线 killgfw

  • 注册用户
  • *
  • 帖子: 59
经过一段時间测试发现: Linux 系统使用  GOOGLE 的 DNS 8.8.8.8 被感染DOS攻击, DOS攻击目标:whois.arin.net 。

推测为 中间人攻击, 攻击来源地址未知。

离线 12f3rety

  • 注册用户
  • *
  • 帖子: 6
我正想安裝這個,有興趣研究一下 http://www.dnstunnel.de/


====>  关注中!


http://code.kryo.se/iodine/  另一个

离线 judy523

  • 注册用户
  • *
  • 帖子: 247
我去年就遇到这样了,你还好,没有给你发中断信号,我的路由,只要DNS设成外国的,直接给我一个中断信号,路由就当机,我在国内的论坛发贴问过,都搞不懂,在这里发的帖被删了,不过我发现直接用自由门,2次代理封不住我了

离线 twfcc

  • 自由发言用户
  • 注册用户
  • **
  • 帖子: 355
http-://code.google.com/p/pydnsproxy/
這個在win xp sp3測試,效果不錯.可防御 GFW的 DNS污染,不用改hosts,但盾了IP一樣沒用