Google DNS

Начну с вопроса к любителям Google/Cloudflare и подобных публичных DNS серверов:  Какую цель вы преследуете меняя ДНС сервер провайдера на вышеуказанные в настройках компьютера/роутера? Независимо от дальнейшего содержания поста, прошу, по возможности, ответить на этот вопрос в комментариях.

А теперь перейдем к одной из полезных возможностей layer 7 фильтра.

Предположим у нас есть некоторые домены, которые прописаны в ДНС сервере микротика,

IP -> DNS -> Static. Там по умолчанию, например, у всех должна быть запись router.lan со значением 192.168.88.1 по ней можно попасть на страницу роутера. До тех пор пока на клиентах стоит автоматически полученный DNS сервер от DHCP, в данном случае это адрес роутера - всё отлично, но если на клиенте поменять днс сервер, то те домены перестанут работать. Для решения этой проблемы можно воспользоваться layer 7 фильтром.

Работать это будет так: Все днс запросы перед маршрутизацией будут проверяться на определённое регулярное выражение и если будет найдено соответствие они будут помечаться и далее на этапе маршрутизации эти помеченные запросы будут перенаправляться на нужный нам днс сервер.

Итак, набор команд:

1. Для начала создаём шаблон для поиска

/ip firewall layer7-protocol add name="test" regexp="google.com"

2. Маркируем пакеты

/ip firewall mangle add chain=prerouting layer7-protocol=test action=mark-connection new-connection-mark=test-mark protocol=udp dst-port=53

Тут протокол udp и порт 53, так как DNS по-умолчанию работает на 53 порту и по протоколу udp.

В этом же правиле можно добавить src-adress=<локальный ip>, чтобы только для определенных устройств в сети работало это правило.

3. Теперь напишем правило для перенаправление этого подключения

/ip firewall nat add chain=dstnat action=dst-nat connection-mark=test-mark to-addresses=<адрес роутера>

Ну и для проверки добавим статическую запись google.com

/ip dns static add name=google.com address=127.0.0.1

Теперь на любом устройстве в сети, независимо от того какой указан днс сервер домен google.com будет отправлять на ip адрес 127.0.0.1, проверим это через nslookup.

Как видите, неважно на какой сервер мы отправляем запрос, ответ всегда одинаковый - это 127.0.0.1.

Многим может показаться что в этом нет практической пользы, поэтому опишу свои сценарии использования:

1. У меня микротик в сети не является роутером, он выступает лишь в качестве моста, и соответсвенно не является днс-сервером для подключенных клиентов, но у меня есть несколько устройств в сети, к которым мне так или иначе бывает нужен доступ, включая сам роутер, запоминать их ip адреса - не самый удобный вариант.

Для этих устройств я в микротике добавил статические днс записи заканчивающиеся на .lan, и

при помощи вышеописанной процедуры перенаправляю запросы.

2. Как многие, наверное, знают, некоторые пиратские ресурсы или сервисы IPTV для Smart TV, Apple TV и т.п. платформ, по очевидным причинам, не имеют своих официальных приложений  в магазинах, и  часто предлагают вариант просмотра их контента из какого-то существующего в маркете приложения,  но с подменой ДНС.

Я думаю никто особо не горит желание доверять непонятному ДНС серверу свои данные, который еще по скорости ответа может оставлять желать лучшего, в редких случаях может также затруднить использование других приложений на устройстве. И тут может прийти на помощь layer 7 фильтр, только запросы мы уже не на роутер пересылать будем, а на указанный в инструкции ДНС сервер.  Единственный нюанс,  для  layer 7 фильтра нужно знать домен или хотя бы какую-то его часть, чтобы написать регулярное выражение, но найти его не проблема на форумах и в чатах по конкретному сервису он обычно фигурирует.

А теперь вернёмся к началу поста, вопрос я задал не просто так, и, думаю, любой человек хоть краем глаза прочитавший инструкцию понял что модификация, анализ, подмена днс запросов - абсолютно элементарная вещь, и никакие якобы "защищенные" днс сервера ни от чего вас не защищают.

Меняя днс сервер вы не обманываете провайдера, вы скорее себя обманываете:

во-первых, по скорости отклика, в 99% случаях провайдерские сервера будут отвечать быстрее; во-вторых, провайдер в любом случае может анализировать ваши днс запросы, записывать, подменять их и т.д. и помимо провайдера это может сделать кто угодно на пути до указанного вами днс сервера, а оставляя провайдерские сервера вы хотя бы только с провайдером делитесь своими "конфиденциальными" днс запросами.  

P.S. Я не говорю что все провайдеры этим занимаются, я лишь хочу сказать что это очень просто и для любого провайдера не составляет никакого труда, есть даже такие провайдера которые абсолютно все днс запросы подменяют и у таких провайдеров от ваших "циферок" в настройках днс сервера абсолютно ничего не зависит.

Защититься, кстати, от всего вышеописанного можно при помощи VPN, но чтобы не гонять через него весь трафик, можно через него только ДНС запросы пустить; либо при помощи DNS over TLS. В общем, каким-то образом зашифровать днс запросы.

Пост вдохновлён историей.
https://pikabu.ru/story/kak_megafon_podpisyivaet_na_platnyiy...

Сразу напишу, что на смартфонах красивого решения нет. Нельзя так просто взять и поменять DNS. Но более сложные способы есть, и проблема не только на смартфонах.

Вкратце описание проблемы: проблема в том, что когда браузер идёт по ссылке содержащей ИМЯ сайта, а не его IP адрес, то совершенно не факт, что вы попадёте на целевой адрес. HTTPS от этого не спасает. HTTPS лишь укажет вам правильное имя сайта, куда вы попали. Но не каждый же проверяет имя сайта куда он по факту попал, а не куда шёл. Тем более, что они могут быть похожи на человеческий взгляд.

Проблема в том, что технически браузер идёт на сайт по IP адресу, а не по его имени.
И чтобы узнать IP адрес, он спрашивает его у DNS сервера. А что вам вернёт DNS сервер, одному владельцу этого сервера известно.

Чтобы защититься от этого:

1)Укажите в качестве DNS сервера которому вы доверяете. Желательно с поддержкой DNSSEC. Можете это сделать как на роутере, так и на компьютере. Я больше всего доверяю гугловкому 8.8.8.8

2)Скорее всего уже работает, но на всякий случай проверьте что включен DNSSEC. Есть сайт для проверки http://dnssec.dxdt.ru/ Если DNSSEC не работает, то провайдер может подменять (и как минимум некоторые это делают!) ответ DNS сервера. DNSSEC (с вашей стороны) работает по умолчанию на windows 10. На windows 7+ должен работать, но я не проверял. На более старых не знаю. Про поддержку DNSSEC DNS серверами знаю только, что на 8.8.8.8 она работает.

Для теста провёл следующий эксперимент с домашним провайдером БЕЗ VPN.

DNS 8.8.8.8 без DNSSEC. Вместо заблокированного роскомнадзором открывается страница-заглушка. Технически это точно такая-же атака как и у автора истории, на которую я оставил ссылку вначале. Точнее точно такая-же она была, если бы я использовал DNS провайдера, но результат точно такой-же.

DNS 8.8.8.8 c DNSSEC. http-открывается ДРУГАЯ страница заглушка(т.е. явно блокируется другой технологией.) HttpS сайт открывается.

Варианты для смартфонов:

для wi-fi можно менять настройки каждой сети.
можно поставить программу для android dnsset. Но технически это VPN. некрасивое решение.
Остальные способы требуют root доступ.

P.S. Это не метод обхода блокировок. Если сайт заблокирован по IP а не по имени, то он не поможет. Но с некоторой вероятностью на сайт вы попадёте если сайт крупный, а провайдер мелкий и не все его(сайта) IP заблокированы. Или IP сменился после блокировки.

P.P.S. DHCP (автоматическое получение IP адреса) и статический DNS работают одновременно. А то некоторые считают что это не так.