Задать вопрос
dollar
@dollar
Делай добро и бросай его в воду.

В чём может быть причина мистической подмены доменов?

Конфигурация системы следующая:
1) Локальный DNS (Acrylic DNS Proxy, на этой же машине, 127.0.0.1) переводит все домены в 127.0.0.1, кроме доменов из белого списка, они перечислены в AcrylicHosts.txt.
2) Все приложения проксифицированы и получают доступ в Интернет через SOCKS (MicroTik в локальной сети) с помощью Proxifier. Прямое подключение (через шлюз) заблокировано и невозможно.

И вроде всё хорошо работает, без сбоев, но некоторые приложения сообщают о невозможности соединения (со своими серверами, без уточнения адреса). В логе Proxifier это сопровождается примерно такими строками:
[08.11 23:51:09] svchost.exe (2784) - www.mozilla.org resolve via 127.0.0.1:53 : DNS
[08.11 23:51:10] some_app.exe (2856) - www.mozilla.org(127.0.0.1):80 : direct connection

mozilla.org - это реальный пример.
То есть эти приложения обращаются к доменам, к которым было недавно обращение из других мест (это гипотеза). Когда такое приложение встретилось впервые, я сначала грешил на его разработчиков. Мол, что за дичь, случайные обращения к разным популярным сайтам. Но когда попались другие приложения с похожим поведением, то я понял, что дело не в них.

Сначала я пытался добавить эти домены в белый список в надежде, что подобные приложения что-то там проверяют для себя. Но каждый раз подключение происходит к новому сайту. Например, облака (всех брендов), центры сертификации (приложение перебирает их все), популярные сайты и т.д.

Собственно, вопрос, в чём же может быть дело?
  • Вопрос задан
  • 311 просмотров
Подписаться 1 Сложный 6 комментариев
Решения вопроса 1
dollar
@dollar Автор вопроса
Делай добро и бросай его в воду.
В общем, причина оказалась простая. Кэширование DNS здесь ни при чём, только кэш в самом Proxifier.
  1. Некий soft1 резолвит запрещённый адрес xxxxx1.com, который резолвится в 127.0.0.1
  2. Некий soft2 резолвит запрещённый адрес yyyyy2.com, который тоже резолвится в 127.0.0.1
  3. Proxifier запоминает, что 127.0.0.1 - это yyyyy2.com, чтобы как-то обозначать обращения к этому адресу. Запоминает последний удачный резолв.
  4. Далее soft1 хочет много раз подсоединиться к 127.0.0.1, и в логе отображается yyyyy2.com, хотя этот домен к soft1 не имеет никакого отношения.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@imageman
Похоже на DNS кэширование.
https://docs.microsoft.com/en-us/windows-server/ne...
https://my.keyweb.ru/knowledgebase.php?action=disp...

Вопрос в другом: зачем такое довольно сложное решение? Уточните проблему, возможно подскажут альтернативное решение (firewall, к примеру).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы