Я всегда использовал DNS- серверы на Google 8.8.8.8 и 8.8.4.4 сразу после входа в любую сеть. Однако недавно я узнал, что не получу доступ к какому-либо сайту, если не настрою в конфигурации моей ОС получение адреса DNS-сервера по умолчанию, подключенного к сети моего кампуса.
Есть ли какая-либо причина, по которой сетевая конфигурация или сетевое устройство делают невозможным нормальную работу подключенного узла с настраиваемым адресом DNS-сервера? Если так, как я мог обмануть это?
Многие организации ограничивают прямой доступ к внешним DNS-серверам, блокируя DNS-запросы и ответы на брандмауэре (т. Е. Блокируют UDP-порт 53). Это обычная практика безопасности для защиты от атак. Одной из таких атак является атака спуфинга DNS, когда злоумышленник перенаправит ваши DNS-запросы на "злой" сервер имен. Когда вы зайдете на сайт www.mybank.com, злой сервер имён вернет адрес поддельного сайта банка, где они могут обмануть вас и раскрыть ваши учетные данные.
Организация только позволяет своему DNS-серверу делать внешние запросы, потому что, по-видимому, он лучше защищен, чем ваш ПК.
Как правило, нет никакого способа обойти заблокированный порт, и даже если бы он был, моя практика - подрывать политики безопасности. Мне было бы любопытно, почему вы находите необходимость использовать другой DNS-сервер, чем тот, который раздается по DHCP.
Возможно, сеть вашего кампуса фильтрует этот DNS-сервер. Или, скорее всего, фильтрует любые DNS, кроме их. Вы можете попробовать это, например, с помощью инструмента для прямого запроса DNS (например, «nslookup - 8.8.8.8») и попробовать с различными DNS-серверами, если он применяется ко всем им.
Причиной этого является контроль: передавая DNS, они могут отфильтровывать некоторые разрешения имен (т. Е. Многие страны используют DNS-фильтрацию для некоторых P2P-сайтов, таких как TPB или Youtube, и не разрешают ее или не разрешают по некоторым IP-адресам, которые они используют). и, конечно, регистрация (все запросы могут быть очень легко зарегистрированы, чтобы увидеть, что каждый компьютер в сети кампуса пытается просмотреть). Большой брат в действии!
Если кто-то хочет быть менее негативным, то вы можете увидеть это также как оптимизацию пропускной способности: поскольку использование их DNS и их DNS эффективно кэшируют, это может помешать многим запросам выходить из сети.
Если DNS-запросы (т. Е. Пакеты к портам tcp/udp 53 и т.д.) Отфильтрованы в вашей сети, то с этим ничего не поделать (просто).
Большинство организаций не хотят, чтобы DNS-трафик выходил за границы или область контроля, поэтому они могут применять политику к людям внутри своей организации. Локальные DNS-серверы могут блокировать определенные домены или классификации сайтов.
Если так, как я мог обмануть это?
В моей организации самый распространенный способ обойти политику безопасности - DNSCrypt, который использует HTTPS для DNS-запросов; сделать проверку практически невозможно. Я также использую эту технику дома, поэтому мой провайдер не может заблокировать сайты, на которые я захожу.
Уклонение от корпоративной политики, вероятно, не этично, поэтому я настоятельно рекомендую против этого.
