פורסם: 29/12/2016 - 14:11
נושא ההודעה: בזק בינלאומי מבצעים MITM על שירותי DNS?
|
שלום,
בגלל שבזק כופים עליי חסימה לאתרים מסויימים (נניח sdarot.tv) ביצעתי שינוי DNS כדי לעקוף את החסימה.
לצורך הבדיקה השתמשתי בשרת ה-DNS הפתוח של גוגל (8.8.8.
הרצתי nslookup sdarot.tv 8.8.8.8 וראו זה פלא, קיבלתי בחזרה 127.0.0.1
שיפשפתי היטב את עיניי, ובדקתי עם שרת DNS נוסף, 64.6.64.6 (של Verisign).
גם הפעם קיבלתי בחזרה 127.0.0.1
מסקנה: בזק מבצעים MITM על תוצאות שרתי DNS.
רק בשביל לוודא את העניין, יש פה לקוח בזק בינלאומי שיכול לאמת שזה אכן כך?
יש דרך למנוע את האונס שלהם על שרתי DNS? איזה הצפנה שאפשר "להלביש" עליו?
לא בא לי לעבוד עם VPN או SSH Tunneling
תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 14:27
נושא ההודעה:
|
אתה צריך להשתמש בנתב / מודם שאינו של בזק, נתבי בזק פתוחים לכניסה חיצונית דרך support/support מבחוץ , ועושים שינויים בתעבורה שלך.
אם אין לך ברירה תשנה את ה DNS בנתב ל 8.8.8.8 ו 8.8.4.4 במקום ב DHCP.
הכי פשוט תהפוך את זה ל bridge ותשתמש במשהוא אחר מאחורי זה.
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 14:42
נושא ההודעה:
|
מה זה MITM?
למה אתה מתכוון "ביצעו חסימה"?
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 15:00
נושא ההודעה:
|
Anonymous : | מה זה MITM?
למה אתה מתכוון "ביצעו חסימה"? |
Man in the middle attack
ביצוע חסימה - > ברגע שאתה מנסה לגשת לאתר (DNS) אתה מופנה לאתר אחר (כמו ב captive) רק שפה אתה פשוט מקבל גישה כאילו האתר לא קיים או לא עובד.
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 15:56
נושא ההודעה:
|
מאד הגיוני. רימון עושים את אותו הדבר ואפילו משנים את התוצאות של כל מיני אתרים.
בזמנו, השתמשתי בשירות DNS מוצפן ע"מ לעקוף את זה (Dnscrypt): https://www.dnscrypt.org/.
בכל מקרה, תצטרך להשתמש בשרת שתומך בזה (ראה רשימה: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv).
בהצלחה!
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 16:07
נושא ההודעה:
|
Anonymous : | Anonymous : | מה זה MITM?
למה אתה מתכוון "ביצעו חסימה"? |
Man in the middle attack
ביצוע חסימה - > ברגע שאתה מנסה לגשת לאתר (DNS) אתה מופנה לאתר אחר (כמו ב captive) רק שפה אתה פשוט מקבל גישה כאילו האתר לא קיים או לא עובד. |
למה לי הם לא עושים את זה? למה רק לו?
אולי זה האתר עצמו (sdarot.tv) עושה זאת רק לגולשים מסוימים?
נראה לי מוזר
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 16:24
נושא ההודעה:
|
למה? כי יש החלטה של בית המשפט לחסום את האתר הזה
http://www.themarker.com/1.3151705
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 16:28
נושא ההודעה:
|
תודה!
הדבר הזה צריך להיות חלק מהסטנדרט.
אגב זה נכון שרימון גם מבצעים את זה, אבל הלקוחות שלהם ביודעין מבקשים שירות כזה (של סינון אתרים שונים) כך שזה לא פסול, והם לא משנים את זה ברמת ה-DNS אלא בפרוקסי השקוף (SQUID) שלהם.
אין כל פסול בלחסום (או לא לענות) לשאילתות DNS של אתרים שבית משפט הורה לחסום (למרות שגם על זה אפשר להתווכח), אבל לבצע סינון על שרתי DNS שהם לא שלך..פה זה כבר מריח קצת מסריח.
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 16:28
נושא ההודעה:
|
OK
הצו יצא לפני שבועיים.
למה אני לא חסום? פרוטקציה?
גם אני רוצה להיות חסום - יש פה אפליה.
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2016 - 17:25
נושא ההודעה:
|
Anonymous : | OK
הצו יצא לפני שבועיים.
למה אני לא חסום? פרוטקציה?
גם אני רוצה להיות חסום - יש פה אפליה. |
Anonymous : | האמת היא שפעם נתנו לי כתובות DNS שדרכם היה ניתן להגיע לכמה אתרים שעד היום כל שמחת החיים יוצאת ממני כשאני נזכר במה שראיתי בהם ותאמינו לי שלא ממש חקרתי אותם לעומק.
גם עכשיו ועוד מחכה לי יציאה היום. |
|
|
חזרה לתוכן הדיון |
פורסם: 30/12/2016 - 09:49
נושא ההודעה: Maor212
|
Anonymous : | OK
הצו יצא לפני שבועיים.
למה אני לא חסום? פרוטקציה?
גם אני רוצה להיות חסום - יש פה אפליה. |
אתה לקוח בזק בינלאומי?
|
|
חזרה לתוכן הדיון |
פורסם: 30/12/2016 - 10:57
נושא ההודעה:
|
Maor212 : |
תודה!
הדבר הזה צריך להיות חלק מהסטנדרט.
אגב זה נכון שרימון גם מבצעים את זה, אבל הלקוחות שלהם ביודעין מבקשים שירות כזה (של סינון אתרים שונים) כך שזה לא פסול, והם לא משנים את זה ברמת ה-DNS אלא בפרוקסי השקוף (SQUID) שלהם.
אין כל פסול בלחסום (או לא לענות) לשאילתות DNS של אתרים שבית משפט הורה לחסום (למרות שגם על זה אפשר להתווכח), אבל לבצע סינון על שרתי DNS שהם לא שלך..פה זה כבר מריח קצת מסריח. |
זהו, הם גם משנים את זה ברמת הDNS. למשל גוגל מחזיר שרתים שלהם במקום השרתים של גוגל. כך הגעתי לפתרון הזה.
|
|
חזרה לתוכן הדיון |
פורסם: 30/12/2016 - 14:09
נושא ההודעה: Re: Maor212
|
Anonymous : | Anonymous : | OK
הצו יצא לפני שבועיים.
למה אני לא חסום? פרוטקציה?
גם אני רוצה להיות חסום - יש פה אפליה. |
אתה לקוח בזק בינלאומי? |
כן. בוודאי לקוח שלהם!
הנה ראיה שאני לא חסום
https://postimg.org/image/o5cgjxgo7/
יש תאריך העלאה למטה
אני חושב שאני אולי יודע למה, אבל בוא קודם נשמע מה אומרים פה
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 12:26
נושא ההודעה: Re: Maor212
|
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 16:06
נושא ההודעה:
|
סתם תהייה, DNSSEC לא אמור למנוע בדיוק את מה שפותח השרשור מתאר?
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 16:19
נושא ההודעה:
|
Anonymous : | סתם תהייה, DNSSEC לא אמור למנוע בדיוק את מה שפותח השרשור מתאר? |
לא , DNSSEC בודק אימות DNSCRYPT אמור למנוע
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 16:26
נושא ההודעה:
|
Anonymous : | Anonymous : | סתם תהייה, DNSSEC לא אמור למנוע בדיוק את מה שפותח השרשור מתאר? |
לא , DNSSEC בודק אימות DNSCRYPT אמור למנוע |
נו ואם מתבצע אימות שהרשומות DNS אכן נכונות, הספקיות לא יכולות להתערב.
נניח ועכשיו שרת ה-DNS של הספקית שלי נפרץ והחליפו את רשומות ה-DNS של הבנק שלי ברשומות DNS של שרת אחר.
אני נכנס לאתר הבנק ומקיש את פרטי ההתחברות שלי - לפורץ יש את הפרטים.
DNSDEC אמור למנוע את המצב הזה, או שאני טועה?
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 16:27
נושא ההודעה:
|
לא יותר פשוט להחליף ספקית? אני לא מבינה למה אתן בכלל נאמנות לחברות הללו, שנים לא הייתי בבזק בגלל השמועות שהיא דפקה תעבורה וניסתה למכור חבילות יקרות יותר (חבילת גיימריות) תמורת תעבורה טובה יותר.
תפסקנה להיות פראייריות.
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 17:27
נושא ההודעה:
|
girlsJustWantToHaveFun : | לא יותר פשוט להחליף ספקית? אני לא מבינה למה אתן בכלל נאמנות לחברות הללו, שנים לא הייתי בבזק בגלל השמועות שהיא דפקה תעבורה וניסתה למכור חבילות יקרות יותר (חבילת גיימריות) תמורת תעבורה טובה יותר.
תפסקנה להיות פראייריות. |
ציטוט: | האם יש לך נתב של בזק ושירותי DNS של בזב"ל ? |
כן. אני מחובר לבזק בטבור ול"אכזבתי" השירות מצוין.
דבר נוסף,
אם יש צו של בית משפט הוא חל על כולם. מה זה משנה ציוד או ספקיות?
אולי יש קיטון בצוע הצו על פני הציבור, והוא מתנהל כצב?
בכל אופן,
לגבי ההוא.. עם "קיטון העם" - הרגת אותי. אני לא מפסיק לצחוק משלוש לפנות בוקר ועד עכשיו כולל שינה..
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 22:35
נושא ההודעה:
|
לא יודע איך הם עשו את זה אבל אי אפשר להגיע לאתר הזה גם משרתים בחו"ל. לא בזק ולא נזק.
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 23:22
נושא ההודעה:
|
הנה עוד ראיה שמפלים אותי לטובה
כרגע, את הטקסט הבא והקישור שבו הוצאתי ישירות מהאתר השורר:
המדריך המלא להסרת החסימה לוינדוס 10\וינדוס 7\אנדרואיד\מאק וכו'
לא התקנתי שום דבר ומעולם לא שמעתי על האתר הזה עד שהופיע פה בדיון.
יש צו לחסימה או אין?!
תאמינו לי, אין לי שמץ של מושג מה מתרחש פה.
|
|
חזרה לתוכן הדיון |
פורסם: 01/01/2017 - 23:22
נושא ההודעה:
|
תיקון "הסורר"
|
|
חזרה לתוכן הדיון |
פורסם: 02/01/2017 - 01:03
נושא ההודעה:
|
girlsJustWantToHaveFun : |
תפסקנה להיות פראייריות. |
אם מדובר על משפט ציווי: „הפסקנה להיות פראייריות״. מה שאי אפשר להגיד על רחה (אמו של שלהבת) אבל אפשר כנראה להגיד על ביתה, מעיין.
|
|
חזרה לתוכן הדיון |
פורסם: 02/01/2017 - 12:14
נושא ההודעה:
|
Anonymous : | Anonymous : | Anonymous : | סתם תהייה, DNSSEC לא אמור למנוע בדיוק את מה שפותח השרשור מתאר? |
לא , DNSSEC בודק אימות DNSCRYPT אמור למנוע |
נו ואם מתבצע אימות שהרשומות DNS אכן נכונות, הספקיות לא יכולות להתערב.
נניח ועכשיו שרת ה-DNS של הספקית שלי נפרץ והחליפו את רשומות ה-DNS של הבנק שלי ברשומות DNS של שרת אחר.
אני נכנס לאתר הבנק ומקיש את פרטי ההתחברות שלי - לפורץ יש את הפרטים.
DNSDEC אמור למנוע את המצב הזה, או שאני טועה? |
אני אשמח אם מישהו יוכל לחדד את זה..
|
|
חזרה לתוכן הדיון |
פורסם: 15/01/2017 - 00:40
נושא ההודעה:
|
הקישור הוסר!
אז זהו הפיתרון היחיד?
עם אנדרואיד ניסיתי עם setprop
קוד: |
setprop net.eth0.dns1 xx.yy.zz.aa |
וזה לא כ"כ עזר.
|
|
חזרה לתוכן הדיון |
פורסם: 15/01/2017 - 01:02
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 15/01/2017 - 10:44
נושא ההודעה:
|
ParanoidAndroid : |
אז זהו הפיתרון היחיד?
עם אנדרואיד ניסיתי עם setprop
קוד: |
setprop net.eth0.dns1 xx.yy.zz.aa |
וזה לא כ"כ עזר. |
אשמח לתשובה עניינית בבקשה.
|
|
חזרה לתוכן הדיון |
|