URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4986
[ Назад ]
Исходное сообщение
"Отравление DNS-кэша. Как найти негодника?"
Отправлено shanker , 27-Дек-11 16:55 
Периодически наблюдаю такую вот ситуацию:

http://s59.radikal.ru/i164/1112/a2/4b1bdf5acbfe.jpg

При чём происходит это с разными сайтами. Раз в несколько месяцев или недель.

А происходит вот в такой схеме:
Локальный комп НАТится через Linksys WRT160N. Он же прописан как DNS-сервер. У этого маршрутизатора прописан DNS провайдера. Можно ли средствами данного Linksys или анализом пакетов найти кто и каким образом подменяет DNS-кэш. Происходил ли атака на мой маршрутизатор или на один из маршрутизаторов провайдера?

Когда прописываю себе на локальном хосте в качестве DNS гугловский (8.8.8.8) такого не происходит

Содержание
Сообщения в этом обсуждении
"Отравление DNS-кэша. Как найти негодника?"
Отправлено кегна , 28-Дек-11 02:25 
>[оверквотинг удален]
> http://s59.radikal.ru/i164/1112/a2/4b1bdf5acbfe.jpg
> При чём происходит это с разными сайтами. Раз в несколько месяцев или
> недель.
> А происходит вот в такой схеме:
> Локальный комп НАТится через Linksys WRT160N. Он же прописан как DNS-сервер. У
> этого маршрутизатора прописан DNS провайдера. Можно ли средствами данного Linksys или
> анализом пакетов найти кто и каким образом подменяет DNS-кэш. Происходил ли
> атака на мой маршрутизатор или на один из маршрутизаторов провайдера?
> Когда прописываю себе на локальном хосте в качестве DNS гугловский (8.8.8.8) такого
> не происходит

похоже что ломают провайдера. вы никак не увидите кто это делает.
решение - поднять свой днс, ну или использовать гугль)

"Отравление DNS-кэша. Как найти негодника?"
Отправлено shanker , 28-Дек-11 10:07 
>[оверквотинг удален]
>> недель.
>> А происходит вот в такой схеме:
>> Локальный комп НАТится через Linksys WRT160N. Он же прописан как DNS-сервер. У
>> этого маршрутизатора прописан DNS провайдера. Можно ли средствами данного Linksys или
>> анализом пакетов найти кто и каким образом подменяет DNS-кэш. Происходил ли
>> атака на мой маршрутизатор или на один из маршрутизаторов провайдера?
>> Когда прописываю себе на локальном хосте в качестве DNS гугловский (8.8.8.8) такого
>> не происходит
> похоже что ломают провайдера. вы никак не увидите кто это делает.
> решение - поднять свой днс, ну или использовать гугль)

А как Вы определили что провайдера? Почему мой роутер вне подозрений?

"Отравление DNS-кэша. Как найти негодника?"
Отправлено Дядя_Федор , 28-Дек-11 10:56 
> А как Вы определили что провайдера? Почему мой роутер вне подозрений?

Потому что в первом своем сообщении Вы же сами совершенно однозначно "указали" на  виновника торжества. :)


"Отравление DNS-кэша. Как найти негодника?"
Отправлено shanker , 29-Дек-11 16:59 
>> А как Вы определили что провайдера? Почему мой роутер вне подозрений?
>  Потому что в первом своем сообщении Вы же сами совершенно однозначно
> "указали" на  виновника торжества. :)

А на будущее: если атака будет идти на мой роутер. Как я смогу это определить?

"Отравление DNS-кэша. Как найти негодника?"
Отправлено кегна , 29-Дек-11 17:03 
>>> А как Вы определили что провайдера? Почему мой роутер вне подозрений?
>>  Потому что в первом своем сообщении Вы же сами совершенно однозначно
>> "указали" на  виновника торжества. :)
> А на будущее: если атака будет идти на мой роутер. Как я
> смогу это определить?

у вас на роутере стоит днс сервер? помоему у вас просто форвардятся запросы к вышестоящему провайдеру.

"Отравление DNS-кэша. Как найти негодника?"
Отправлено Дядя_Федор , 29-Дек-11 17:27 
> А на будущее: если атака будет идти на мой роутер. Как я
> смогу это определить?

Если Вы говорите о неких "абстрактных" атаках - то когда он (роутер) повиснет - определите, не переживайте. :) Или пользователи (если они у Вас есть) "помогут" определить.