Скрипт настройки DNS c защитой от DNS spoofing (НЕ ПРОВЕРЕНО)

Здесь выкладываем скрипты
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
Ответить
sergey.ermolin
Сообщения: 3
Зарегистрирован: 31 окт 2018, 16:13

Добрый день.
Пришла мне тут идея, по защите от DNS spoofing, скрипт в блокнотике нарисовал, а проверить не могу, так как нет доступа к микротику.
"in-interface-list=Internet" заменить на входящий интерфейс, чаще всего "in-interface=eth1"
или типа того.

В общем нужна проверка, критика и советы приветствуются. В RAW блокирую, так как это ближе всего ко "входу", и если где-то рубить входящий DNS spoofing, то только там.

Идея вот такая:

Код: Выделить всё

# For ROS >6.4
# 
# Задаём адреса нужных нам серверов 
#			OpenDNS
:local ns1 "208.67.222.222";
:local ns2 "208.67.220.220";
#			GoogleDNS
:local ns3 "8.8.8.8";
:local ns4 "8.8.4.4";

# DNS Set Включаем DNS Сервер, с нужными серверами
/ip dns set allow-remote-requests=yes servers=$ns1,$ns2,$ns3,$ns4
# Делаем лист адресов DNS
/ip firewall address-list
add address=$ns1 list=DNS_Adress_List
add address=$ns2 list=DNS_Adress_List
add address=$ns3 list=DNS_Adress_List
add address=$ns4 list=DNS_Adress_List
# Все остальное на UDP/53 кроме интересующих нас серверов безжалостно режем на подлете, тоесть в RAW
/ip firewall raw
add action=drop chain=prerouting dst-port=53 protocol=udp in-interface-list=Internet src-address-list=!DNS_Adress_List


Вернуться к началу
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

а смысл ?
посмотрел ( похоже что ничего не сломается правда и работать не будет, потому как DNS отвечает с порта 53 на Ваш случайный, а у Вас в правиле dts port) : DNS микротика открывает соединения со вполне случайного порта , ответы на другой порт ему "пофиг", как и ответы на открытый порт в котором ждется другой ответ. То есть в случае "атаки по площадям" он вполне устоит, а если целенаправленная атака, то UDP протокол не предполагает доверия полю SRC HOST источника, а выяснить кто DNS у атакуемого не так и сложно ( немного техники и немного социальной инженерии)
В случае паранои можно найти себе вышестоящий сервер ( построить свой), и работать только по TCP.
Для простых эспериментов есть виртуальная машина с роутер OS.


Вернуться к началу
sergey.ermolin
Сообщения: 3
Зарегистрирован: 31 окт 2018, 16:13

Спасибо, действительно заигрался с переменными.
имхо дропать 53 порт в рав не повредит, последняя строчка должна выглядеть так.

Код: Выделить всё

/ip firewall raw
add action=drop chain=prerouting dst-port=53 protocol=udp in-interface-list=Internet


Вернуться к началу
Ответить

Вернуться в «Готовые скрипты Mikrotik»