Все, что вы хотели знать про DNS

Последние годы на кроберских форумах с завидным постоянством задается вопрос А как скрыть ДНС? или его вариация Где найти старый аутпост 4.0?. Признаться, эта жвачка изрядно достала, и данная статья - попытка расставить точки над i. Надеюсь, будет полезной, постараюсь все разжевать. Хотя и не питаю надежды, что количество вопросов заметно уменьшится... Но по крайней мере можно будет позволить себе удовольствие со спокойной совестью ткнуть носом обленившегося новичка в качественную статью.

Раз уж прозвучала такая заявка на качество, начну с того, что из себя представляет DNS и нахрена он нужен. А так как статья расчитана на новичков, буду объяснять совсем на пальцах.


Теория DNS

Domain Name System — система доменных имён. Если совсем коротко и по существу - позволяет определить IP адрес компьютера в сети по его доменному имени.

Допустим, среднестатистический кробер Вася, учащийся в 8-м классе, узнал про такую пиздатую и совершенно необходимую вещь, как VPN. Кру-у-ута-а-а-а..., - сказал себе Вася и, прервав просмотр накарженной порнухи, полез на сайт самого надежного и пальцастого VPN-сервиса. Ввел в адресной строке браузера:

vpn.mvd.ru

И нажал Enter. Что произошло? Нет, то что Вася крупно лоханулся к нашему делу отношения не имеет. Нас интересует другое. С одной стороны, понятно что этот сайт размещен на каком-то сервере (компьютере) в Интернете. С другой - каждому известно, что компьютеры в Интернете находят друг друга по IP адресам. То есть по загадочным сериям цифр с точками вроде 95.173.128.124. Спрашивается: какого хрена наш бедный Вася должен запоминать IP каждого сайта? Ведь уже через месяц такой тренировки мозга он поумнеет и перестанет веселить достопочтенную публику своим фееричным идиотизмом. Чтобы этого не случилось, и была придумана DNS.

Теперь разберемся в том, как оно работает. Понять причину палива после этого будет очень просто.

Если совсем упрощенно, в Интернете есть DNS-сервера. Они хранят записи о том какой IP какому доменному имени соответствует. Например:

Код:
...
bing.com - 65.55.175.254
ip-ping.ru - 62.152.63.130
mail.ru - 94.100.191.204
mvd.ru - 95.173.128.124
rambler.ru - 81.19.70.3
yandex.ru - 93.158.134.11
nslookup.su - 62.152.63.130
...
Обратите внимание: ip-ping.ru и nslookup.su имеют один и тот же IP адрес 62.152.63.130. Это вполне нормально, т.к. на одном веб-сервере (не путать с DNS-сервером!) может размещаться куча сайтов. В этом случае доменное имя еще и помогает веб-серверу разобраться, какой именно сайт от него требуют.

Все знают, что сайтов в Интернете стало дофига. И почти у каждого сайта свой домен. Понятно, что помнить адреса всех сайтов одному DNS-серверу ну совершенно не в жилу. Поэтому каждый отдельно взятый сервер отвечает только за свой сегмент сети.

Когда компьютеру нужно узнать какому IP адресу соответствует доменное имя mail.ru, он спрашивает это у своего DNS-сервера. То есть делает DNS-запрос. Для начала запомните, что DNS-запросы бывают рекурсивные и нерекурсивные. В чем разница, покажу на примере.

Итак, между компьютером кардера Васи (ККВ) и DNS-сервером Васиного Интернет-провайдера (DNS-прова) происходит следующий диалог:

Все, Васин компьютер теперь в курсе, с каким веб-сервером нужно связаться, чтобы получить заветный сайт. В данном варианте прошла цепочка DNS-запросов: ККВ -> DNS-прова -> DNS-корневой -> DNS-ru -> DNS-mvd.ru. Всего 4 запроса. Каждый сервер получал запрос, сам переспрашивал у других DNS'ов, получал ответ и пересылал его обратно по цепочке. Такие DNS-запросы называются рекурсивными.


Теперь рассмотрим другой вариант.

Все, IP сайта опять получен, хоть и немного другим способом. В этом варианте DNS-серверы отсылали ККВ дальше по инстанциям, как завзятые бюрократы. Такие DNS-запросы называются нерекурсивными. Васин компьютер сам обратился к каждому серверу и везде засветил свой IP. Обратите внимание, что ККВ попытался сделать самый первый запрос рекурсивным, но DNS-сервер провайдера ему отказал.


В предыдущих вариантах были примеры чисто рекурсивных и чисто нерекурсивных запросов. Но на практике обычно эти варианты комбинируются: компьютер пользователя делает рекурсивный запрос к DNS-серверу своего провайдера, а тот для него начинает обзванивать инстанции.

Подобная схема чаще всего встречается на практике.


На другой день Вася рассказывает своему однокласснику кардеру Пете, какую классную штуку он нашел. И тот (а я чо - лох?! я тоже хочу дрочить через VPN, так оно безопаснее!) лезет на наш многострадальный сайт лучшего VPN-сервиса для русских кардеров. Т.к. мегакардеры живут рядом, провайдер у них один (и DNS-прова один и тот же).

блеать, как же не хватало этой статьи. Как включить в англ винде что бы она показывала русские буквы, а не вопросы? И все же какую версию аутпоста ставить?, впн+сокс с включенным ремотли палит длинные днс запросы? стандартный софт из win xp может отправлять длинные днс запросы?

Вот дек воистину подарок к НГ!!!

Мало кто на самом деле из тех, кто занимается нашим ремеслом, знает все это! А те, кто знает, редко найдет время, чтоб поделится с Васей и Петей этими знаниями!
ТСу мега спасибо!
И советую тем, кто отвалился на середине статьи и ради интереса решил почитать коменты к ней – ЧИТАЙТЕ ЕЁ ДО КОНЦА, И ПОКА НЕ СХАВАЕТЕ ИЗЗА СТОЛА НЕ ВЫХОДИТЕ!

PS статье нет цены!

Спасибо, рад что понравилось. Не зря убивал время )

qwertyy

Вопрос не в тему вообще-то. Нужно включить поддержку русского языка. Будет ли это паливом - хз... Погугли, у меня не было необходимости в это вникать.

Какая тебе удобнее. Желательно поновее. Здесь рассказывал на примере Outpost Firewall 2009. Но акцент я делал на то, что специально искать версию 4.0 и мучаться с ее установкой под новыми виндами нет особого смысла. По сравнению с новыми версиями она довольно убогая. Самый последний билд самой новой версии ставить не стоит: они иногда выходят сыроватые. Помню один у меня жестоко тупил, пока для него не вышло обновление.

В теории не должен. На деле люди иногда пишут, что палится. Подробнее читай во втором абзаце раздела Отсыпьте-ка мне сверхдлинных запросов.... Если блокировать DNS-запросы палива точно не будет. Т.к. не будет самих запросов.

Длина не имеет значения. Обычно запросы и делаются стандартной службой DNS-клиент (SVCHOST). Если она не работает, DNS-запрос может сделать само приложение (браузер, аська и т.п.).

Спасибо ТСу за статью! мега респект ++

Boris The Blade, но все же есть вероятность что меня спалили? Юзаю фаерфокс флеш и яву даже не устанавливал. всегда сидел под впном и соксами аутпост поставил но не настроил, меня всегда пугали фаерволы с кучей замороченных настроек. кстати спасибо за татью поставил бы тебе кучу плюсов, но могу только 1(

qwertyy, такая вероятность есть всегда )

В конце статьи есть ссылки, где можно проверить палится DNS или нет. Проверься, исходя из этого уже можно будет делать какие-то выводы. Фаервол в данном случае будет чем-то вроде страховки.

не подскажите ключик к Outpost Firewall Pro 2010 v7.0.4
а то мне одни трояны попадпются)

Видна основательность в подходе написания статьи, спасибо что осветил всю тему палева днс, пиши еще, будет интересно почитать, сразу статья вспомнилась года так 06-07 от ф1 про настройку 04 аутпоста =) я его даже качал помню =)

Вроде все работает в случае когда Proxifier (или другое соксифицирующее ПО) установлен в гостевой машине. В случае когда проксифаер установлен на хостовой машине, чтобы соксифицировать весь траффик исходящий от виртуальной машины (процесс vmnat.exe) схема не работает. Как настроить так чтобы работала, еще не разобрался. Если есть кто знает решение, напишите плиз.

работает при первом варианте , зачем тебе усложнять задачу чтото мутить чтобы варю с хоста скосифицировать.

Дело в том, что соксифицируя весь траффик гостевой машины, сокращаю риск запалить свой реальный IP. Бывали случаи что работая с Proxifier в гостевой машине, некоторое ПО не соксифицировалось через проксифиер. Проблему решало использование Proxifier на хостовой машине.

p.s. Странно. Установил Proxifier на гостевой машине, сделал как описано в статье. Попробовал на данном чекере:


Бывает что показает все равно реальные DNS. Бывает что не показывает. Перезагружаю страницу несколько раз через CTRL + F5 (т.е. с очисткой кэша). Настройки остаются те же.

---------- Сообщение добавлено в 12:27 PM ---------- Предыдущее сообщение размещено в 12:21 PM ----------

Boris The Blade, если будет время, напиши, пожалуйста, статейку про того, как правильно разрешить исходящие TCP подключения только к вашему компьютеру, доступ во внешнюю сеть оставить только Proxifierу.

Попробовал сделать для браузера (все исходящиие TCP поставил на адрес 127.0.0.1) и перевел фаер в режил блокирования, но на практике в браузере все равно открываются сайты. Проксифаер отключен.

смотри пм

Boris The Blade- может я в танке, но я никак не могу догнать все ещё пробовал несколько раз, когда стоят 2 галки блокировать исходящие UDP и разрешать исходящие TCP Whoer.net DNS скрыват. А когда убираем галку с блокировать исходящие UDP то тот же Whoer.net показывает мой DNS. А остальные 2 ссылки так же скрывают, как такое возможно. И как убрать с боку красное всплывающее окно типа там заблокированно. Заранее спасиб.

Проксифицировать гостевую систему через проксифаер на хосте проблематично. Хотя и заманчиво - на гостевой ОСи не будет никакого компрометирующего ПО. Давно уже хотел так сделать, настраивал много машин и систем, но четкого результата так и не добился. На одной машине соксифицируется, на другой - нет. Где-то TCP трафик вообще идет не от имени vmnat, а хрен пойми как. Ставь проксифаер на обе системы.

За годы работы на разных чекерах ни разу не всплывал IP моего прова или ВПНа. Только соксы. Настроено все, как здесь написано. Скорее всего, ты где-то ошибся в настройках.

1) Какая версия Аутпоста? Не четверка? В статье про это написано.
2) Flash, Java отключены?
3) Если ДНС пропалился, то значит был сделан запрос. Заходим в фаер, смотрим отчеты брандмауэра. Ищем исходящий UDP или TCP на 53 порт. Смотрим столбец Причина. Там будет указано правило, из-за которого запрос был разрешен. Усиленно кубатурим, как так вышло, что созданное нами правило блокировки ДНС не сработало.

Во-первых, вместо адреса локальной петли (127.0.0.1) ставим макро-адрес MY_COMPUTER. Во-вторых, внимательно смотрим правила для каждого приложения, выходящего в интернет. Снимаем все галки. Добавляем свое правило Разрешить исходящие TCP, где удаленный адрес Мой Компьютер. Смотрим правила для проксифаера и убеждаемся, что в списке есть Разрешать исходящие TCP. Аутпоста в режим блокировки. Убедись, что стандартные правила для приложений не корректируются автоматически аутпостом (в конце статьи про это есть).

Посмотри еще глобальные правила.

Опять-таки загляни в отчет брандмауэра, разберись по какому правилу разрешаются исходящие соединения. И вообще, если взялся настраивать фаерволл, почаще туда заглядывай.

Может быть, у тебя стоит NOD или еще какой антивирь или софт, прокси (вроде Proxomitron), который перехватывает трафик. Поэтому от браузера исходящие TCP однозначно идут на локальный адрес к этой программе. А правила аутпоста для этой программы исходящие соединения разрешают.

Сорри, но писать подробную статью мне сейчас очень некогда. Тема гемморойная, много тонкостей. Чтобы написать статью, которая все объяснит, а не породит еще кучу вопросов, убью неделю.

---------- Сообщение добавлено в 08:59 PM ---------- Предыдущее сообщение размещено в 08:45 PM ----------

Перечитай статью очень внимательно. И вылазь из танка

Блокировать надо исходящие TCP на 53 порт и исходящие UDP на 53 порт.

Все правильно, ты ведь отключаешь блокировку DNSа

Почисть браузер и пообновляй на других чекерах. Они более тормознутые, сразу могут не показать.

Удивляешь. Специально ведь для тебя распинался. В статье, в разделе про создание правила целый абзац этому посвящен. Убери опцию Оповещать из правил блокировки запросов.

Спасибо тебе Boris The Blade, вроде как вылез из танка. Просто с аутпостом только недавно знаком, сразу полез искатть статьи как и что и с не получалось.

вопрос к ТС:
в протоколе SOCKS предусмотрели возможность разрешения доменных имен

Речь идёт только о Socks 5 ?

Спрашиваю, потому что читаю на другом сайте следующее:
Socks-клиент может передавать не только IP-адрес хоста, с которым необходимо устанавливать соединение, но и доменное имя хоста. Socks5-сервер сам получит IP по имени. Таким образом, в локальных сетях, работающих через Socks5, можно обойтись без локального DNS-сервера. Socks4 требовал его наличия.

Т.е., насколько я понял, если использовать socks4, доменные имена резольвиться не будут.
Так?

Случайно нарвался на статью и попробовал) Все норм, тока вот есть одна проблемка:

в случае с Java не помогает, а очень нужно. Можно как-то сделать так, чтобы Java вела себя так как надо?

GoodBiz, а ты верно настроил проксифаер?

GoodBiz, Mozilla+NoScript плагин и будет тебе счастье)