'DNS-Spoofing' offiziell

Blöder Titel, ich weiß…

Moin Experten,

ich habe mich in den letzten Tagen mal wieder durch einige Gigabyte an Proxy-Logs gearbeitet (man gönnt sich ja sonst nix) und mir sind dabei unzählige geblockte Calls von diversen Update-Programmen auf den PCs aufgefallen. Das ist jetzt kein existentielles Problem - am Firewall bzw. Proxy verschwinden diese Anfragen eh’ im Datennirvana.

Aber: eigentlich hätte ich es lieber, wenn diese Anfragen erst gar nicht ins LAN gingen. (Ja, ich bin halt noch so ein alter IT-Saurier, der sich über unnütz übertragene Pakete aufregt ^^)

Auf einem Privat-PCs würde ich einfach einen entsprechenden Eintrag in der hosts machen und auf 127.0.0.1 umleiten. Aus die Maus.

Das kann und will ich aber nicht an mehreren tausend (XP-)PCs machen! Mir wurde glaubhaft versichert, dass man über unseren DNS-Server nicht einfach z.B. „update.softwarefirma.com“ sperren, aber „www.softwarefirma.com“ durchlassen könne (kenne mich leider mit DNS nicht wirklich aus).

Also: fällt jemandem eine nette, zentral administrierbare Lösung ein, wie man auf Windows XP-PCs beliebige DNS-Namen auf den localhost umleiten könnte?

Wir setzen eine Softwareverteilung ein, können also nicht nur GPOs, sondern im Prinzip fast alles auf den PCs aus der Ferne manipulieren. Was wir nicht können ist: die nicht gewünschten Updates in den Anwendungen selbst zu deaktivieren (wäre ja eigentlich naheliegend). Auch eine zentrale Manipulation der hosts mittels selbstgebasteltem Parser oder ähnlichem wäre mir zu spannend und kommt eher nicht in Frage.

Gruß und Danke im Voraus
Stefan

Mir wurde glaubhaft versichert, dass man über unseren
DNS-Server nicht einfach z.B. „update.softwarefirma.com
sperren, aber „www.softwarefirma.com“ durchlassen könne (kenne
mich leider mit DNS nicht wirklich aus).

Mal abgesehen davon, dass du ‚update.softwarefirma.com‘ nicht zu sperren brauchst, weil diese Adresse (im Ggsatz zur www.up…-Adresse) nicht auflöst, spricht technisch nichts dagegen, diese Adresse im DNS-Server umzubiegen. Ich kenne nur den MS-DNS-Server (Active Directory) und Bind9, aber beide erlauben problemlos, eine neue Zone update.softwarefirma.com anzulegen und diese auf localhost oder ins Nirwana aufzulösen.

Betroffen von einer solchen Zoneneinrichtung sind sämtliche Hosts unter update.softwarefirma.com, nicht aber softwarefirma.com und alle anderen untergeordneten Domänen.

Andererseits: Sowas tutet man nicht!

Gruß

Hallo Herrmann,

Danke für Deine Antwort.

Mal abgesehen davon, dass du ‚update.softwarefirma.com‘ nicht
zu sperren brauchst, weil diese Adresse (im Ggsatz zur
www.up…-Adresse) nicht auflöst

Aber hallo wie das auflöst: dem geneigten Leser zum Test (natürlich nur ein absolut willkürliches Beispiel): nslookup swupmf.adobe.com

spricht technisch nichts
dagegen, diese Adresse im DNS-Server umzubiegen. Ich kenne nur
den MS-DNS-Server (Active Directory) und Bind9, aber beide
erlauben problemlos, eine neue Zone update.softwarefirma.com
anzulegen und diese auf localhost oder ins Nirwana aufzulösen.

Da muss ich wohl doch noch mal nachfragen…

Andererseits: Sowas tutet man nicht!

Hehe, jo, die DNS-Jungs haben auch geguckt, als hätten sie grade in eine Zitrone gebissen… *grins*

Gruß
Stefan

Ahoi!

Auf einem Privat-PCs würde ich einfach einen entsprechenden
Eintrag in der hosts machen und auf 127.0.0.1 umleiten. Aus
die Maus.

Das kann und will ich aber nicht an mehreren tausend (XP-)PCs
machen!

Aber das kannst du doch zentral machen!
Einfach bei einem vorhandenen Windows-Server den DNS-Server-Denst aktivieren, diesem Server die alten DNS-Server von Hand unterjubeln, die IP dieses Servers im DHCP-Server als Standard-DNS-Server eintragen (geht sogar im Router - damit die anderen Rechner auch via DHCP deinen lokalen Server als DNS mitbekommen).

Und dann munter die hosts-Datei auf deinem „persönlichen“ DNS-Server patchen.

Ich filter damit bei uns in der Firma ein Großteil der lästigen Werbung aus. Okay, windowsupdate.com erwischt du damit nicht, weil die Auflösung fest verdrahtet im System vorliegt (Gott sei Dank! Stell dir mal vor, was man da anstellen könnte, wenn man die IP Hijacken könnte . . .), aber sonst geht alles.

lg, mabuse

Moin,

Einfach bei einem vorhandenen Windows-Server den
DNS-Server-Denst aktivieren, diesem Server die alten
DNS-Server von Hand unterjubeln, die IP dieses Servers im
DHCP-Server als Standard-DNS-Server eintragen (geht sogar im
Router - damit die anderen Rechner auch via DHCP deinen
lokalen Server als DNS mitbekommen).

Und dann munter die hosts-Datei auf deinem „persönlichen“
DNS-Server patchen.

Klappt das nur mit einem Windows-DNS-Server? Weil: warum soll ich sonst noch mit einem neuen Server rumfummeln, wenn ich das gleich beim Haupt-DNS machen könnte. Muss ich gleich nächste Woche mal ausprobieren. Mal schauen was unser NW6.5 DNS-Server dazu meint.

Gruß
Stefan

Klappt das nur mit einem Windows-DNS-Server?

Lass es mich so sagen: ich hab’s bisher nur mit einem Windows-Server ausprobieren können.
Aber wenn Linux auch eine hosts-Datei mitbringt, sehe ich keinen Grund, warum es da nicht auch gehen sollte.

Weil: warum soll ich sonst noch mit einem
neuen Server rumfummeln, wenn ich das gleich beim Haupt-DNS machen könnte.

Da hast du absolut recht mit.

Muss ich gleich nächste Woche mal ausprobieren.

Halt uns auf dem Laufenden, ja?
Könnte ja auch für andere noch nützlich sein.

lg, mabuse