Geekfault

24/04/2010

DNS menteur, une autre méthode anti-curieux

Cas n°2 FreeBSD + Apache

Notre second cas s’applique actuellement à un sous réseau autonome d’une moyenne entreprise sous ma responsabilité. L’environnement est hétérogène avec de l’environnement propre (pas assez), terreux (surtout) et sale (peu), des téléphones et diverses machines outils sous environnement sale. Les serveurs DNS et HTTP présentés ici sont sur une machine virtualisée FreeBSD. Ces services sont isolés du serveur principal.

Bind9

Il existe pléthore de cours sur le Ternet pour en monter un en 5 minutes douche comprise. Je vais considérer que vous avez déjà un daemon DNS interne fonctionnel.
À la fin de votre /var/named/etc/namedb/named.conf ajoutez ceci

include "antistats.conf";

Éditez ensuite /var/named/etc/namedb/antistats.conf

zone "addfreestats.com" { type master; notify no; file "null.zone.file"; };
zone "estats.com" { type master; notify no; file "null.zone.file"; };
zone "freestats.com" { type master; notify no; file "null.zone.file"; };
zone "goldstats.com" { type master; notify no; file "null.zone.file"; };
zone "google-analytics.com" { type master; notify no; file "null.zone.file"; };
zone "gostats.com" { type master; notify no; file "null.zone.file"; };
zone "hitometer.com" { type master; notify no; file "null.zone.file"; };
zone "indexstats.com" { type master; notify no; file "null.zone.file"; };
zone "masterstats.com" { type master; notify no; file "null.zone.file"; };
zone "megastats.com" { type master; notify no; file "null.zone.file"; };
zone "revstats.com" { type master; notify no; file "null.zone.file"; };
zone "rightstats.com" { type master; notify no; file "null.zone.file"; };
zone "sitemeter.com" { type master; notify no; file "null.zone.file"; };
zone "stats.blogger.com" { type master; notify no; file "null.zone.file"; };
zone "stats.wordpress.com" { type master; notify no; file "null.zone.file"; };
zone "stats4all.com" { type master; notify no; file "null.zone.file"; };
zone "superstats.com" { type master; notify no; file "null.zone.file"; };
zone "topstats.com" { type master; notify no; file "null.zone.file"; };
zone "topstats.net" { type master; notify no; file "null.zone.file"; };
zone "www-google-analytics.l.google.com" { type master; notify no; file "null.zone.file"; };
zone "xiti.com" { type master; notify no; file "null.zone.file"; };
zone "analytics.engagd.com" { type master; notify no; file "null.zone.file"; };
zone "histats.com" { type master; notify no; file "null.zone.file"; };

Éditez ensuite /var/named/etc/namedb/null.zone.file

$TTL 3600
@ IN SOA <votre SOA>. hostmaster.<votre SOA>. (
2010041800 3600 3600 3600000 3600 )
@ IN NS blackhole.
@ IN A 192.168.4.127
* IN A 192.168.4.127

Adaptez à votre environnement, notamment votre SOA, le TTL et les autres délais. Ne prêtez pas attention à loopback. et utilisez plutôt vos valeurs “normales”. En ce qui concerne blackhole il faut que ce nom pointe réellement vers l’ip choisie (ici 192.168.4.127) et vice versa : que l’ip choisie soit résolue en blackhole. Rien de bien extraordinaire dans une configuration de DNS local.

Il faut ensuite relancer Bind9 et normalement nous avons ceci :

$ host -v -t A xiti.com
Trying "xiti.com"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22544
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;xiti.com. IN A

;; ANSWER SECTION:
xiti.com. 60 IN A 192.168.4.127

;; AUTHORITY SECTION:
xiti.com. 60 IN NS blackhole.

Received 65 bytes from 192.168.4.10#53 in 1 ms

Bingo ! Le domaine xiti.com est résolu en 192.168.4.127 comme prévu. Mais également :

$ host -v -t A er.erer.Erer.xiti.com
Trying "er.erer.Erer.xiti.com"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17999
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;er.erer.Erer.xiti.com. IN A

;; ANSWER SECTION:
er.erer.Erer.xiti.com. 60 IN A 192.168.4.127

;; AUTHORITY SECTION:
xiti.com. 60 IN NS blackhole.

Received 78 bytes from 192.168.4.210#53 in 1 ms

Nous avons donc un filtre de type *.xiti.com !

Adresse IP locale

J’ai choisi 192.168.4.127 pour une raison arbitraire. Freebsd permet de l’assigner (par exemple) via /etc/rc.local

$ cat /etc/rc.local
ifconfig ed0 inet 192.168.4.127 alias

Ce qui me permet d’avoir une deuxième IP pour ed0 avec pour valeur 192.168.1.127, dès le boot de la machine.

$ ifconfig ed0
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:be:ef:00:fa:ce
inet 192.168.4.10 netmask 0xffffff00 broadcast 192.168.4.255
inet 192.168.4.127 netmask 0xffffffff broadcast 192.168.4.127
media: Ethernet autoselect (10baseT/UTP)

Cette étape est purement optionnelle, vous avez le droit de pourrir les logs de votre serveur web avec des requêtes qui ne lui sont pas destinées.

Apache

Créez /usr/local/etc/apache22/Includes/blackhole.conf et

Listen 192.168.4.127:80
Listen 192.168.4.127:443

<VirtualHost 192.168.4.127>
Options +MultiViews
AddOutputFilterByType DEFLATE text/html
LogLevel alert
CustomLog /var/log/httpd-blackhole combined
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot /usr/local/www/apache22/data/www/blackhole
ErrorDocument 404 /index.php
ServerSignature Off
</VirtualHost>

Le premier listen est intelligible, le 2ème nécessite un peu de bidouille. Le MultiViews permet de correctement intercepter les arborescences dans blackhole. Le 404 permet de nous orienter vers index.php (préférez un index.xhtml).

macbookpro - - [19/Apr/2010:11:48:42 +0200] "GET /hit.xiti?s=345082&s2=2&p=News::Commenter::mac-apple-jobs-bkuray-youtube&hl=11x48x43&lng=en-US&jv=1&r=1440x900x24x24&re=1440x678&ref=http://www.generation-nt.com/mac-apple-jobs-bkuray-youtube-actualite-999491.html HTTP/1.1" 404 38 "http://www.generation-nt.com/commenter/mac-apple-jobs-bkuray-youtube-actualite-999491.html" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.5pre) Gecko/20100418 Namoroka/3.6.5pre"

ckg internet analytics, apache, bind, lighttpd, named, planet-libre, stats, xiti

Si vous avez aimé ce post, lisez aussi...

Commentaires (7) Trackbacks (2) Commenter Trackback

Benpro

| #1

Répondre | Citer

Bel article ! Petite question, où as tu trouver ces jolies clipart, qui semble être vectoriel ? Ils sont magnifiques, ça produit d’excellent schéma !
ckg

| #2

Répondre | Citer

Merci 😉

Ces illustrations ont été réalisées avec Cacoo, un flow-chart en ligne basé sur flash.

Ce que l’on perd en souplesse par rapport à un Dia est compensé par la richesse des ‘cliparts’ (qui n’en sont pas en fait) et par la disponibilité d’un outil ‘in the cloud’. A tester sur un petit projet pour se faire un avis.

La galerie originale est ici https://cacoo.com/diagrams/Z1pvc3fomB1cMnoi
Grunt

| #3

Répondre | Citer

Il manque juste un petit quelque chose: l’ajout des nouveaux domaines espions ou publicitaires, à la volée, par les utilisateurs.

Comme ce que permet Ad-Block: hop ça me plait pas, hop je vire. Sauf que je ne vois pas comment on pourrait faire ça de façon pratique sur tous les navigateurs..
ckg

| #4

Répondre | Citer

Effectivement c’est encore une autre limite d’un système tel que décrit dans l’article.

Mon petit doigt me dit que le prochain article traitera de l’import conditionnel de règles adblock 😉
Sn4kY

| #5

Répondre | Citer

bonjour.
je tiens a préciser que le fichiers hosts existe également sur un windows !!!
il est même ici : %windir%\system32\drivers\etc\hosts

(remarquez l’extrême similitude entre le /etc/hosts d’un Linux et le \etc\hosts d’un Windows ^_^…même les commentaires sont quasi identiques…)

(pas testé sur win7, désolé…)
You got 47 120 US dollars. GЕТ => https://script.google.com/macros/s/AKfycbxW3fwmP5ujc0NYFm6w2CmcAa1lNttphA8wzM_K_8N8eZjC8zo5j8RW6Lj5_yViWwfvpg/exec?hs=e8c99ff899f8942c114cfc2b250d2dc5&

| #6

Répondre | Citer

jbdzdd
Notification; Process №EI55. VERIFY > https://telegra.ph/Go-to-your-personal-cabinet-08-25?hs=e8c99ff899f8942c114cfc2b250d2dc5&

| #7

Répondre | Citer

pmopp7

En un mot...

Geekfault est un nouveau blog d'actualités informatiques. Loin de l'idée de bêtement présenter tous les nouveaux gadgets du jour, nos rédacteurs préfèrent vos proposer des reviews et astuces dans des articles clairs et bien renseignés. Geekfault est ainsi maintenu pour et surtout par des geeks OpenSource-minded. Don't panic.

En bref...

Désolé, la méthode présentée pour sécuriser le mirroring de Wikileaks ne fonctionne pas ! Il faudrait autoriser rsync... Lien (05/12/2010 03:16:48 par Tito)
Après Twitter et Facebook, vous pouvez désormais suivre Geekfault sur Identi.ca et autres réseaux OpenMicroBlogging ! Lien (13/06/2010 12:07:22 par Tito)
Google libère le codec VP8. Enfin un standard pour la balise <video> ou éparpillement des efforts autour de l'OGG Theora ? Lien (19/05/2010 17:32:33 par Tito)
Epic News : "It's Official: Valve Releasing Steam, Source Engine For Linux!" Qui a parlé de cochons volants et de poules aux crocs pointus ? Lien (12/05/2010 19:01:34 par koolfy)
Humble Bundle: Grâce à vous, la somme récoltée a atteint UN MILLION de dollars. En conséquence, Penumbra, Gish et Lugaru seront opensourcés. Lien (11/05/2010 19:09:05 par koolfy)
5+1 jeux (dont World of Goo, Aquaria, Lugaru et Penumbra), No drm, win/mac/linux, VOUS décidez du prix. (80$ cumulés sur le chan irc en 1h!) Lien (09/05/2010 16:39:17 par koolfy)

Brèves plus anciennes »

*/?>