Как клонировать DNS запросовы на внешние сервисы?

Question

Василий @nvv

Как клонировать DNS запросовы на внешние сервисы?

Необходимо клонировать запросы на несколько внешних систем фильтрации (свой DNS сервер в локальной сети, все клиенты работают через него), чтобы реализовать подобную схему:

[рабочий] запрос на внешний быстрый отказоустойчивый DNS, ответ от которого и будет отдан клиенту;
[клон] запрос на внешний сервис типа dns.yandex.ru для последующего анализа ответа (входит ли в блокируемые);
[клон] запрос на внешний сервис типа rejector.ru и аналогичные для последующего анализа ответа (входит ли в блокируемые).

Вопрос не в выборе сервисов фильтрации DNS или сравнения их эффективности, а в технической и эффективной реализации схемы клонирования трафика и журналирования ответов.
Платформа для решения - не имеет значения Win или *nix, сетевое оборудование. Подобная задача возникает в сетях с разным обеспечением.

Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.
Использовать один сервис (платный/бесплатный), на который завернуть рабочий DNS трафик нельзя, т.к.

бывают ложные блокировки;
база одного ресурса меньше баз нескольких ресурсов.

Вопрос задан более трёх лет назад
2749 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 4

16 комментариев

Василий @nvv Автор вопроса

Откуда такая паранойя про слежку? вопрос - как DNS запрос клиента направить на несколько внешних DNS серверов и обработать ответы (один отдать, остальные - в журнал)

Написано более трёх лет назад
Сергей @bk0011m

Василий: А зачем?

Написано более трёх лет назад
Василий @nvv Автор вопроса

>> Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.

Написано более трёх лет назад
Сергей @bk0011m

Василий: Бред какой-то.. ну да ладно.
Вот: как сделать: firstwiki.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D0...
Далее настраиваете на ДНС рекурсивные запросы на ваш ДНС с логированием.
Потом тратите кучу времени на изучение логов.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: в статье есть описание как клонировать DNS запросы или все запросы заворачиваются на один DNS и анализируются логи? Перезапуск боевого DNS сервера крупной сети каждый час - чревато.

Написано более трёх лет назад
Сергей @bk0011m

Василий: Естественно заворачиваются. ДНС не клонирует запросы. Он не для этого предназначен
А перезапускать не нужно.
Мне кажется вы не совсем понимаете что хотите. И еще мне кажется что ваши задачи нужно решать не на ДНС. Но какая у вас задача, я так и не понял.
Анализировать запросы.. ЗАЧЕМ??? Как уже сказал, не проще ли прокси поставить? И анализируйте на нем сколько угодно

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей

>>Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.
Использовать один сервис (платный/бесплатный), на который завернуть рабочий DNS трафик нельзя, т.к.

бывают ложные блокировки;
база одного ресурса меньше баз нескольких ресурсов.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: DNS штатно не умеет клонировать запросы, поэтому и спрашивают как это можно реализовать.
Надеюсь выше понятно описано, почему не подходит решение с прокси и заворачивать весь трафик на один сервис фильтрации?

Написано более трёх лет назад
Сергей @bk0011m

Василий: Какие еще блокировки?? ДНС ничего не блокирует.
О какой базе идет речь?? Вы про кэш ДНС?? Или про зоны которые он держит у себя?

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: существуют системы фильтрации на базе DNS (opendns.org rejector.ru dns.yandex.ru skydns.ru и др.)
они позволяют блокировать (выдавать специфический ответ) на домены из black list (фишинг, вирусы, ботнеты и т.д.)

Написано более трёх лет назад
Сергей @bk0011m

Василий: Да вы ничего не объяснили.
ДНС не умеет ничего клонировать. Он не для этого предназначен. Он может только принимать запросы, и отвечать на них. ВСЕ! Информацию он берет или из кэша, или из локальной базы, или делаю рекурсивные запросы на другие ДНС, например рутовый.
Никаких клонов. Это не та технология.
Если вас не устраивает прокси, поставьте анализатор трафика. любой. Их полно.
Если и этого мало, поставьте логирование на пограничном файрволе.

Написано более трёх лет назад
Сергей @bk0011m

Василий: "существуют системы фильтрации на базе DNS (opendns.org rejector.ru dns.yandex.ru skydns.ru и др.)
они позволяют блокировать (выдавать специфический ответ) на домены из black list (фишинг, вирусы, ботнеты и т.д." - ну так я же писал, поставьте на своем ДНС рекурсивный запрос. Например на тот же яндекс.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: перечитайте, пожалуйста, вопрос. Прекрасно понимаю как работает DNS. Анализатор трафика и логи (на сервере или на граничном оборудовании) не решают поставленного вопроса. Не проблема знать все домены, проблема проверять их по актуальным базам, желательно, с минимальной задержкой. Есть вариант скриптом брать журнал граничного DNS и формировать запросы на внешние сервисы фильтрации, но это кривой костыль.

Написано более трёх лет назад
Сергей @bk0011m

Василий: Не понимаю. А рекурсивные запросы - тоже плохо?

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: перечитайте, пожалуйста, вопрос. И в вопросе и в переписке с Вами указано, почему нельзя использовать один сервис фильтрации. Во всех вышеперечисленных обнаруживались ложные срабатывания.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Сергей: Рекурсивные запросы куда? Если на один внешний сервис - да (причины описаны выше).

Написано более трёх лет назад

16 комментариев

Василий @nvv Автор вопроса

Виталий Пухов про РКН - не смешно.
По сути: за пределы ЛВС DNS трафик идет только с одного сервера (FW не пустит других и залогирует особо хитрых). Обход FW, Tor и т.д. не обсуждаем.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: тогда вопрос сводится к "на какой ОС будет DNS сервер"

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов: Исправил вопрос, добавил - Платформа для решения - не имеет значения Win или *nix, сетевое оборудование. Подобная задача возникает в сетях с разным обеспечением.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: не совсем так, для Windows свои средства, для Unix свои, я имею в виду не клиентов, они могут быть хоть андроиды, а сервер, на котором будет крутиться Ваш DNS сервер

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов , речь не о клиентах, а именно о решении на сервере или сетевом оборудовании.Мне интересно узнать решения для разных ОС. Если Вы знаете решение задачи под одну конкретную платформу - расскажите.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: для linux есть OpenDNS https://support.opendns.com/entries/26514730-Web-C... для других платформ можно посмотреть например тут lifehacker.com/5312820/five-best-content-filtering...

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов , подскажите, в приведенных Вами ссылках есть описание технического решения или только перечислены системы фильтрации (сравнения, как работают и т.д.)? Если второе - в вопросе отдельно указано, что это не нужно.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: не думаю что где бы то ни было перечислялось техническое решение, ибо для крупных организаций за "создание технического решения" обычно организации берут деньги, или включают это в цену "внедрения решения", мелкие организации отдают эту задачу своим администраторам.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов отличный ответ (системному администратору - обратитесь к системному администратору! Вы вопрос прочитали?

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: я имел в виду то что если вы и есть тот самый администратор в небольшой организации то вы можете выбрать тот инструмент, который посчитаете лучше, определить же какой будет лучше сможете лишь вы сами, как правило опытным путем. К примеру лично мне не нравится работать с linux и я бы не выбрал инструмент, который на нем работает, если только он будет не на 300 % лучше аналогичного для Windows. в вашем конкретном случае критерии будут другие скорее всего.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов можете предложить решение вопроса? На той платформе, которая Вам знакома (MS).

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: к сожалению конкретного посоветовать не смогу, т.к. у нас это реализовали на базе прокси mcaffe web gateway

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: перечитал соседнюю ветку, сдается мне что такой функционал отсутствует в таком виде в любом решении, которое сейчас существует, как вариант можно подобное реализовать самому, к примеру если взять за основу проект arsofttoolsnet.codeplex.com можно построить систему, которая будет при запросе к DNS серверу отправлять параллельно запросы к другим DNS серверам, хоть к 10 и в зависимости от их ответов либо отдавать IP либо логировать либо посылать к известному серверу например. Хотя практически смысл в этом не очень большой я думаю, т.к. списки у них всех хоть и есть, но я сомневаюсь в том, что они покрывают весь интернет хотябы на 10%.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: ради интереса набросал исходник на основе того проекта что я написал, все так и есть, весь функционал реализуется, если нужно могу доработать до полноценного приложения. Выглядит примерно так, перечисляются DNS сервера например в файле конфигурации, при запросе к DNS серверу запросы отправляются параллельно на каждый из DNS серверов, в зависимости от их ответов отдается результат.

Написано более трёх лет назад
Василий @nvv Автор вопроса

Виталий Пухов: Вы предложили очень интересное решение, к сожалению не силен в С#/.Net, поэтому не могу его оценить. Самописное решение имеет определенные недостатки с т.з. поддержки. Надеюсь найти решение за счет менее кардинальных способов.

Написано более трёх лет назад
Виталий Пухов @Neuroware

Василий: На счет поддержки не соглашусь, т.к. поддерживать то что сделал сам проще чем добиться того же от постороннего человека, но это лично мне, т.к. сам пишу. Из готовых выглядит похожим Acrylic DNS Proxy, можно глянуть в его сторону. Свою поделку чуть позже тоже выложу в Open Source.

Написано более трёх лет назад

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 48 минут назад
- 10 просмотров
0

ответов
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 23 часа назад
- 89 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- вчера
- 135 просмотров
0

ответов
Компьютерные сети

+3 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 2922 просмотра
6

ответов
Система доменных имен

Простой
Несколько разных dns серверов?
- 1 подписчик
- 16 апр.
- 112 просмотров
3

ответа
Компьютерные сети

+3 ещё

Средний
Почему не работает правило Firewall на OPNsense?
- 1 подписчик
- 16 апр.
- 108 просмотров
1

ответ
Компьютерные сети

+1 ещё

Средний
Как настроить маршрутизацию между двумя tun интерфейсами?
- 1 подписчик
- 15 апр.
- 122 просмотра
2

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 144 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 62 просмотра
1

ответ
Сетевое администрирование

+1 ещё

Простой
Как настроить Vlan на камере hiwatch?
- 2 подписчика
- 15 апр.
- 148 просмотров
2

ответа
Показать ещё Загружается…

Системный администратор

FS Travel • Москва

от 170 000 ₽

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Настройка сервера

18 апр. 2024, в 21:56

2000 руб./за проект

Помощь с водпресс

18 апр. 2024, в 21:00

150 руб./за проект

Спарсить ссылки на все товары конкретного продавца в озон

18 апр. 2024, в 20:13

2000 руб./за проект

Answer 1 · 2015-02-24 10:46:04

А для чего все это? Вы хотите за пользователями следить? Так поставьте прокси.
Если был ДНС-запрос - это еще не означает что по адресу кто-то пошел. Всего-лишь запрос и только

Answer 2 · 2015-02-24 09:23:56

Роскомнадзор перелогиньтесь :) А если по сути, что мешает клиенту в локальной сети сменить DNS сервер на 8.8.8.8 и не париться с вашим. Но допустим если у вас "православные" пользователи, которые не знают как менять dns, ваш вопрос сводится к задаче "как поднять и настроить DNS сервер", чтобы иметь репликацию внешних DNS серверов и другие фичи, данный вопрос без контекта рассматривать бессмысленно, как минимум DNS сервер можно поднять на linux и на windows и инструментарий будет разный.

Answer 3 · 2015-02-24 10:43:11

Помоему включить лубой роутер, они все поддерживают DHCP собственно вот тебе и сервер который будет давать внешние DNS.

Answer 4 · 2015-02-24 16:40:34

Влад Животнев @inkvizitor68sl

Linux-сисадмин с 8 летним стажем.

habrahabr.ru/post/178727 начните отсюда читать про возможности powerdns в плане подзапросов. Дальше по вкусу допилите.

Ответ написан более трёх лет назад

Комментировать

Как клонировать DNS запросовы на внешние сервисы?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт