برچسب: dns

  • استفاده از DNS بر بستر TLS با pfSense

    دی‌ان‌اس‌های جدید کلودفلیر به مشخصات 1.1.1.1 و 1.0.0.1 به تازگی معرفی شدند. ویژگی خوب کلودفلیر غیر از سرعت بالای اون قابلیت پشتیبانی از TLS هست و به همین دلیل درخواست کلاینت به سرور رمزنگاری شده و دیگر امکان تغییر پاسخ در بین راه وجود نخواهد داشت.

    از اونطرف در صورت استفاده از روتر pfSense این قابلیت خوب رو خواهید داشت که بدون نصب هیچ کلاینت و برنامه‌ی جانبی از این موهبت برخوردار شوید. برای اینکار باید مراحل زیر را در pfSense دنبال نمایید.

    ابتدا مطمئن شوید که به شکل عادی pfSense از دی‌ان‌اس‌های کلودفلیر استفاده می‌کند.

    برای اینکار در بخش System > General Settings و در بخش DNS Servers آدرس‌های کلودفلیر را وارد می‌کنیم.

     

    برای اینکه به pfSense بگیم که از قابلیت TLS استفاده کند به بخش  Services > DNS Resolver رفته در بخش Display Custom Options متن زیر رو بگذارید.

     

    در صورتیکه بخواهید از Quad9 DNS servers که متعلق به IBM استفاده نمایید یا اونها رو در کنار کلودفلیر داشته باشید کافیه این دو خط رو جایگزین خطوط بالا کنید یا زیر اون اضافه نمایید.

    منبع

  • چقدر از کاربرای خونگی در خطر از دست دادن اطلاعات شخصی‌شون هستن؟

    توی پست قبلی مطلبی در مورد امنیت ضعیف مودم‌های تی‌پی‌لینک نوشته بودم که به نظر اونطور که باید و شاید توجه رو به سمت خودش جلب نکرد.

    برای همین در ادامه‌ی اون پست، این مطلب رو اینجا میذارم تا یک مقدار بیشتر با خطراتی که کاربران خونگی رو تهدید میکنه آشنا کنم.

    برای شروع برنامه‌ای که توی پست قبل ازش استفاده کرده بودیم رو تغییر میدیم طوری که  به جای ریست روتر، یک راست با دادن آی‌پی طرف، پسورد رو تحویل بگیریم.

    حالا با دادن یک آی‌پی به برنامه راحت میشه پسورد روتر رو بدست بیارید. دقت کنید که برنامه ابتدا ip مقصد رو پینگ میکنه و در صورت بالا بودن هاست، میره عملیات بعدی رو  روی اون اجرا میکنه.

    Selection_026

    با رفتن به آدرس http://ping.eu/ns-whois و دادن آی‌پی ولید خودتون، می‌تونید یک رنج از آی‌پی‌های ولید isp  رو بدست بیارید.

    Selection_024

    با کمی جستجو در اینترنت به اسکریپت زیر می‌رسیم که رنج ابتدایی و انتهایی ip رو میگیره و در انتها تمام ipهای بینش رو برامون تولید میکنه (خروجی برنامه‌ی زیر سی و پنج هزار آی‌پی هست). 
    Selection_025

    حالا کافیه به طریقی این آی‌پی‌ها رو به خورد اسکریپت اصلی بدیم که پسوردها رو قراره در بیاره برامون.

    برای اینکار از برنامه‌ی xargs استفاده می‌کنیم. xargs خروجی یک برنامه رو میگیره و به صورت آرگومان به برنامه‌ای که مدنظرمونه میده. حالت پیشفرض xargs،‌ خروجی  به آخر برنامه اضافه میکنه. اگه بخوایم خروجی رو به وسط  کامندی که اجرا میکنیم، اضافه کنه از خروجی -I به همراه یک نام (place holder) استفاده مینیم.

     

    کامند بالا علارغم ظاهر خیلی پیچیده‌ای که داره خیلی ساده عمل میکنه.

    قلب اصلی  همون novid.py که فقط یک ip میگیره و قراره پسورد رو بهمون برگردونه. با اسکریپت Ip.sh و کمک برنامه xargs تعداد زیادی ip رو داریم به خوردش می‌دیم.

    اما به دلایل مختلف ممکنه برنامه پیغام‌های خطایی رو برگردونه که اونها رو داریم به dev/null میریزیم (به جای نمایش اونها در صفحه نمایش). سر بعضی از آی‌پی‌ها برنامه کلا متوقف میشه و دیگه جلو نمیره. برای جلوگیری از این اتفاق از timeout استفاده میکنیم و  میگیم حالت نرمال برای پیدا کردن پسورد یک روتر زیر ۲۰ ثانیه‌ست. اگه بیشتر از این زمان برد، بیخیال اون آی‌پی بشو و برو سراغ بعدی.

    xargs با استفاده از خروجی -I  به جای اینکه هر آی‌پی رو  انتهای کامند یعنی grep Router بیاره، اونها رو وسط کامند دونه دونه به برنامه میده! {}صرفا یک نام هست که می‌دونیم در کامندی که قراره بارها اجرا بشه هیچ استفاده‌ای نمیشه، میشه به جای اون هر چیز دیگه‌ای هم استفاده کرد.

    اون بخش grep رو برای این گذاشتم که برنامه بعد از پیدا کردن پسورد روتر چند خط رو به عنوان خروجی بر میگردونه. پسورد نیز در خطی قرار داره که کلمه‌ی Router وجود داره.

    بعد چند ساعت صبر و بسته به سرعت اینترنت، به کلی پسورد روتر خواهید رسید!

    Selection_028جالبه در خیلی پسوردها، نام isp داتک رو میتونستم ببینم که مشخص بود تنظیمات رو خود داتک بر روی روتر طرف انجام داده. بسیاری هم شماره تلفن خونه‌شون رو به عنوان پسورد انتخاب کرده بودن که خیلی راحت میشه به اطلاعات بیشتری از فرد دست پیدا کرد.

    کار قشگ دیگه ای که میشه انجام داد اینه که ببینیم بیشترین پسوردی رو که ملت استفاده میکنن چیه؟

    برای اینکار با کمی جستجو به اسکریپت count_all_words.py میرسیم.

    کافیه همه پسوردها رو در یک فایل به نام PASSWDUSERS.txt ذخیره کنیم و بعد اسکریپت رو اجرا کنیم. برای استخراج پسورد از لیستی که در اختیار داریم، کامند زیر رو اجرا میکنیم.

    و برای شمارش تعداد پسوردها نیز اسکریپت count_all_words.py رو اجرا کنیم.

     

    جامعه‌ی کاربری بالا ۶۵۵ مورد و همگی از isp داتک بوده. جستجو هم روی ۸۲۰۰ آی‌پی صورت گرفته. نکته اما اینه که همه‌ی این ۸۲۰۰  ip بالا نبودن و اگه آی‌پی‌هایی که در زمان جستجو داون بودن رو حذف کنیم به درصد خیلی خیلی بالایی میرسیم که آسیب‌پذیر هستن. در یک رنج آی‌پی ۲۵۶ تایی تقریبا صد تا از کاربران آنلاین هستن و از این تعداد پسورد ۴۰ تا کاربر رو میشه در اورد. با تقریب خوبی میشه گفت ۴۰ درصد کاربرای داتک این مشکل رو دارن و احتمالا خودشون هم اطلاعی از این وضعیت ندارند!‌

    خب حالا اینکه مشخص شد که تعداد خیلی زیادی از روترها مشکل دارن که چی؟ اول اینکه تا جای ممکن سعی کنید دسترسی به روتر از دنیای اینترنت رو غیر ممکن کنید.  هیچ دلیلی نداره که یک کاربر خونگی روترش از بیرون قابل دیدن باشه. برای اینکار روترها گزینه‌های متنوعی دارن. تعدادی مشخصا گزینه‌ای دارن که دسترسی به روتر رو خیلی ساده غیرممکن میکنه از دنیای اینترنت. بعضی نیز بخشی به نام ACL دارن و بخشی نیز از طریق فایروال و بستن ترافیک ورودی این امکان رو برای شما فراهم میکنن. یک راه نیز اینه که تمام ترافیک ورودی به روتر رو به سمت یک آی‌پی داخل شبکه‌تون که وجود خارجی نداره هدایت کنید! برای اینکار در بخش dmz روتر باید یک آی‌پی در رنج شبکه داخلی بدید که البته وجود خارجی نداشته باشه.

    و اینکه شاید این نفوذپیذیری رو روتر شما نداشته باشه،‌ اما با گذاشتن پسوردهای خیلی ساده مثل ده مورد بالا این اجازه رو به مهاجم میدید که از طریق یک دیکشنری خیلی ساده بتونه وارد روتر بشه. و اینکه شاید خیلی از نفوذپذیری‌های دیگه باشه که تا سالها مخفی باشه و صداش در نیاد بنابراین همیشه دسترسی به روتر از بیرون رو محدود به یک یا چند آی‌پی شناخته شده کنید.

    سوال دیگه‌ای که پیش میاد اینه که با وارد شدن به روتر،‌فرد مهاجم میتونه چیکار کنه؟ جواب اینه که میتونه برنامه‌ای رو بنویسه که به صورت خودکار علاوه بر در اوردن پسورد روتر، به صورت گروهی بره و dns روتر رو هم تغییر بده. با تغییر dns عملا شما متوجه هیچ مورد مشکوکی نخواهید شد. کافیه فرد مهاجم dns چند ده هزار روتر رو تغییر بده. در زمان حمله نهایی، فرد مهاجم صفحه اول تمام بانکهای معروف رو میسازه و در یک زمان، میاد و ترافیک مثلا بانک‌ سامان و پارسیان و دیگر بانکها رو به سمت سرور خودش تغییر میده! و اینطوری میشه که بجای اینکه وارد سایت اصلی بانک سامان بشید، وارد نسخه‌ای میشید که هکر اون رو طراحی کرده. طبیعتا کسی وارد سایت دستکاری میشه که از dns سرور فرد مهاجم استفاده کنه. پس توصیه مهم دیگه اینه که همیشه برید dns های داخل روتر رو خودتون به شکلی دستی تنظیم کنید. اگه dns رو به صورت دستی تنظیم نکنید،‌ به صورت خودکار روتر اونها رو از سمت isp دریافت میکنه که به نظرم این گزینه هم عاقلانه نیست. اینجور حملات در گذشته در بسیاری از کشورهای دنیا هم اتفاق افتاده.

    2014-02-mitr-en

    یادتون نره حتی در صورت بستن راه ورود به روتر از طریق اینترنت، مهاجم میتونه حمله رو از طریق خودتون انجام بده. بدین صورت که با وارد شدن به یک سایت آلوده، خودتون تبدیل به یک مهاجم میشید و پسورد مودم خودتون رو ریست میدید! بعد برنامه‌ دیگه‌ای میتونه وارد روتر بشه و از طریق پسوردی که معلوم و مشخصه، dns رو تغییر بده! :)‌

    csrf-router-attack-640x410راهکار چیه؟ جواب اینه که فرم‌ویر روتر خودتون رو به dd-wrt تغییر بدید. dd-wrt یک فرم‌ویر اپن سورس مبتنی بر کرنل لینوکس که با دنگ و فنگ و کمی خوش شانسی باید بتونید روی روتر خودتون نصب کنید. ریسک اینکار رو هم قبلش باید بپذیرید که دیگه روتر قابل استفاده نباشه. برای اینکه بفهمید dd-wrt روی روتر شما کار میکنه یا خیر کافیه به این آدرس برید و نام روتر خودتون رو وارد کنید.

    راهکار دیگه استفاده از روتر در حالت بریج هست. و اینکه از روتر خوتون در حالت bridge استفاده کنید. در این صورت تنظیمات pppoe که بر روی روترهای ADSL وجود داره به روی سیستم متصل به روتر منتقل میشه و مودم تنها نقش یک پل رو خواهد داشت!‌ افراد داخل شبکه در اینحالت باید از طریق سرور متقل به روتر، ip بگیرن. دیوایسی که برای اینکار در نظر میگیرید باید دو تا پورت لن یا یک پورت لن و یک وایرلس داشته باشه. حالت قشنگش اینه که از رزبری پای استفاده کنید. رزبری پای کلا یک پورت Lan بیشتر نداره. بنابراین باید یک مبدل usp به lan یا wireless نیز داشته باشید. برای os هم می‌تونید از ipfire یا OpenWRT استفاده کنید که هر دوی اونها نسخه مخصوص ARM رو دارن.

    openwrt-raspi-network

  • مقایسه زمان پاسخ‌دهی دی‌ان‌اس در شرایط مختلف

    دی‌ان‌اس کارکرد اصلیش تبدیل آدرس دامین به ip سرور هست، وقتی وارد سایتی می‌شید و اسم اون رو تایپ می‌کنید، در پشت صحنه این آدرس باید تبدیل شه به آی‌پی و این بسته به دی‌ان‌اس سروری که دارید ازش استفاده می‌کنید و همینطور کشوری که درونش هستید زمانی رو می‌بره. هر چه این زمان کوتاه تر باشه یعنی دستکاری کمتره و سرعت بیشتر و کار با اینترنت دلچسپ‌تره.برای مقایسه، روی سروری که دستم بود یک دی‌ان‌اس سرور نصب کردم با برنامه ساده‌ی dnsmasq که فایل کانفیگش دو تا خط هم لازم نداره :)

    listen-address=0.0.0.0
    bind-interfaces

     کافیه پورت ۵۳ رو  باز بذارید و برنامه رو اجرا کنید و بعد هم سمت کلاینت (اگر لینوکس هستید) فایل resolv.conf رو تغییر بدید به آی‌پی سروری که در اختیار دارید داخل سرور هم میتونید دی‌ان‌اس رو به 127.0.0.1 تغییر بدید تا خود سرور هم از دی‌ان‌اس سرور خودش استفاده کنه.

    برای انجام این تست از برنامه ترمینالی dig استفاده میکنیم، بهتره ادرس سایتی رو وارد کنید که قبلا وارد نشدید تا مطمئن باشید سیستم از کش استفاده نمی‌کنه.

    اگه از این ابزار بدون هیچ آرگومانی استفاده کنید،‌ به صورت خودکار از dns اصلی سیستم که اون رو در فایل resolv وارد کرده باشید استفاده میکنه و از این جهت آزمایش خیلی خوبیه برای اینکه مطمئن باشید دی‌ان‌اس که دارید استفاده می‌کنید همونی هست که مد نظرتونه.

    dig archlinux.org
    ;; Query time: 197 msec
    ;; SERVER: server’s ip#53(server’s ip)
    ;; WHEN: Thu Apr  4 19:29:43 2013
    ;; MSG SIZE  rcvd: 31

    اما حالا فرض کنید می‌خوایم با دی‌ان‌اس سرور گوگل این تست رو انجام بدیم.

    dig @8.8.8.8 archlinux.org
    ;; Query time: 270 msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8)
    ;; WHEN: Thu Apr  4 19:35:32 2013
    ;; MSG SIZE  rcvd: 58

    در تست اول از دی‌ان‌اس شخصی استفاده شده و برای همین ip رو مخفی کردم :) سرعت زیر ۲۰۰ میلی ثانیه بوده اما با استفاده از گوگل سرعت به ۲۷۰ میلی ثانیه رسیده و این نشون میده داخل ایران استفاده دی‌ان‌اس سرورهای شناخته شده فکر خوبی نیست.

    اما همین کار رو می‌شه سمت سرور که توی کشور آزادیه هم انجام داد و نتایج رو مقایسه کرد با داخل ایران!

    dig archlinux.org
    ;; Query time: 0 msec
    ;; SERVER: 127.0.0.1#53(127.0.0.1)
    ;; WHEN: Thu Apr  4 15:09:57 2013
    ;; MSG SIZE  rcvd: 31

    فوق العاده‌ست :) وقتی از دی‌ان‌اس سرور داخلی استفاده میشه سمت سرور سرعت به صفر میلی ثانیه می‌رسه!‌

    و با استفاده از گوگل هم این نتیجه رو خواهیم داشت.

    dig @8.8.8.8 archlinux.org
    ;; Query time: 17 msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8)
    ;; WHEN: Thu Apr  4 15:12:11 2013
    ;; MSG SIZE  rcvd: 47

    بله زمان پاسخ دهی در ایران ۱۵ برابر بیشتره :) ۱۵ برابر زمان بیشتری رو از داخل ایران باید منتظر بمونید تا یک آدرس ساده به آی‌پی‌ تبدیل شه! هر پکتی که وارد ایران می‌شه  باید  از داخل هزارتوهای پیچ در پیچ فایروال و روترهای مختلف عبور کنه و توسط آدمای مختلف و سیستمای مختلف شنود بشه که یک وقتی شما وارد سایتی که به مذاق آقایون خوش نمیاد نشید.

    اینم تمام نتایج در یک عکس

    dnsTest

    اینجا لیستی از دی‌ان‌اس سرورهای معروف و رایگان لیست شده که می‌تونید اونها رو خودتون تست کنید. فقط دقت کنید خیلی از این موارد در داخل ایران به کل فیلتر شده :)