Как клонировать DNS запросовы на внешние сервисы?

Question

[Василий]

Необходимо клонировать запросы на несколько внешних систем фильтрации (свой DNS сервер в локальной сети, все клиенты работают через него), чтобы реализовать подобную схему:

• [рабочий] запрос на внешний быстрый отказоустойчивый DNS, ответ от которого и будет отдан клиенту;
  
• [клон] запрос на внешний сервис типа dns.yandex.ru для последующего анализа ответа (входит ли в блокируемые);
  
• [клон] запрос на внешний сервис типа rejector.ru и аналогичные для последующего анализа ответа (входит ли в блокируемые).
  

Вопрос не в выборе сервисов фильтрации DNS или сравнения их эффективности, а в технической и эффективной реализации схемы клонирования трафика и журналирования ответов.
Платформа для решения - не имеет значения Win или *nix, сетевое оборудование. Подобная задача возникает в сетях с разным обеспечением.

Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.
Использовать один сервис (платный/бесплатный), на который завернуть рабочий DNS трафик нельзя, т.к.

• бывают ложные блокировки;
  
• база одного ресурса меньше баз нескольких ресурсов.
  

Answer 1

[Сергей]

А для чего все это? Вы хотите за пользователями следить? Так поставьте прокси.
Если был ДНС-запрос - это еще не означает что по адресу кто-то пошел. Всего-лишь запрос и только

Comments

[Василий]

Откуда такая паранойя про слежку? вопрос - как DNS запрос клиента направить на несколько внешних DNS серверов и обработать ответы (один отдать, остальные - в журнал)

[Сергей]

Василий: А зачем?

[Василий]

>> Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.

[Сергей]

Василий: Бред какой-то.. ну да ладно.
Вот: как сделать: firstwiki.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D0...
Далее настраиваете на ДНС рекурсивные запросы на ваш ДНС с логированием.
Потом тратите кучу времени на изучение логов.

[Василий]

Сергей: в статье есть описание как клонировать DNS запросы или все запросы заворачиваются на один DNS и анализируются логи? Перезапуск боевого DNS сервера крупной сети каждый час - чревато.

[Сергей]

Василий: Естественно заворачиваются. ДНС не клонирует запросы. Он не для этого предназначен
А перезапускать не нужно.
Мне кажется вы не совсем понимаете что хотите. И еще мне кажется что ваши задачи нужно решать не на ДНС. Но какая у вас задача, я так и не понял.
Анализировать запросы.. ЗАЧЕМ??? Как уже сказал, не проще ли прокси поставить? И анализируйте на нем сколько угодно

[Василий]

Сергей

>>Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.
Использовать один сервис (платный/бесплатный), на который завернуть рабочий DNS трафик нельзя, т.к.

бывают ложные блокировки;
база одного ресурса меньше баз нескольких ресурсов.

[Василий]

Сергей: DNS штатно не умеет клонировать запросы, поэтому и спрашивают как это можно реализовать.
Надеюсь выше понятно описано, почему не подходит решение с прокси и заворачивать весь трафик на один сервис фильтрации?

[Сергей]

Василий: Какие еще блокировки?? ДНС ничего не блокирует.
О какой базе идет речь?? Вы про кэш ДНС?? Или про зоны которые он держит у себя?

[Василий]

Сергей: существуют системы фильтрации на базе DNS (opendns.org rejector.ru dns.yandex.ru skydns.ru и др.)
они позволяют блокировать (выдавать специфический ответ) на домены из black list (фишинг, вирусы, ботнеты и т.д.)

[Сергей]

Василий: Да вы ничего не объяснили.
ДНС не умеет ничего клонировать. Он не для этого предназначен. Он может только принимать запросы, и отвечать на них. ВСЕ! Информацию он берет или из кэша, или из локальной базы, или делаю рекурсивные запросы на другие ДНС, например рутовый.
Никаких клонов. Это не та технология.
Если вас не устраивает прокси, поставьте анализатор трафика. любой. Их полно.
Если и этого мало, поставьте логирование на пограничном файрволе.

[Сергей]

Василий: "существуют системы фильтрации на базе DNS (opendns.org rejector.ru dns.yandex.ru skydns.ru и др.)
они позволяют блокировать (выдавать специфический ответ) на домены из black list (фишинг, вирусы, ботнеты и т.д." - ну так я же писал, поставьте на своем ДНС рекурсивный запрос. Например на тот же яндекс.

[Василий]

Сергей: перечитайте, пожалуйста, вопрос. Прекрасно понимаю как работает DNS. Анализатор трафика и логи (на сервере или на граничном оборудовании) не решают поставленного вопроса. Не проблема знать все домены, проблема проверять их по актуальным базам, желательно, с минимальной задержкой. Есть вариант скриптом брать журнал граничного DNS и формировать запросы на внешние сервисы фильтрации, но это кривой костыль.

[Сергей]

Василий: Не понимаю. А рекурсивные запросы - тоже плохо?

[Василий]

Сергей: перечитайте, пожалуйста, вопрос. И в вопросе и в переписке с Вами указано, почему нельзя использовать один сервис фильтрации. Во всех вышеперечисленных обнаруживались ложные срабатывания.

[Василий]

Сергей: Рекурсивные запросы куда? Если на один внешний сервис - да (причины описаны выше).

Answer 2

[Виталий Пухов]

Роскомнадзор перелогиньтесь :) А если по сути, что мешает клиенту в локальной сети сменить DNS сервер на 8.8.8.8 и не париться с вашим. Но допустим если у вас "православные" пользователи, которые не знают как менять dns, ваш вопрос сводится к задаче "как поднять и настроить DNS сервер", чтобы иметь репликацию внешних DNS серверов и другие фичи, данный вопрос без контекта рассматривать бессмысленно, как минимум DNS сервер можно поднять на linux и на windows и инструментарий будет разный.

Comments

[Василий]

Виталий Пухов про РКН - не смешно.
По сути: за пределы ЛВС DNS трафик идет только с одного сервера (FW не пустит других и залогирует особо хитрых). Обход FW, Tor и т.д. не обсуждаем.

[Виталий Пухов]

Василий: тогда вопрос сводится к "на какой ОС будет DNS сервер"

[Василий]

Виталий Пухов: Исправил вопрос, добавил - Платформа для решения - не имеет значения Win или *nix, сетевое оборудование. Подобная задача возникает в сетях с разным обеспечением.

[Виталий Пухов]

Василий: не совсем так, для Windows свои средства, для Unix свои, я имею в виду не клиентов, они могут быть хоть андроиды, а сервер, на котором будет крутиться Ваш DNS сервер

[Василий]

Виталий Пухов , речь не о клиентах, а именно о решении на сервере или сетевом оборудовании.Мне интересно узнать решения для разных ОС. Если Вы знаете решение задачи под одну конкретную платформу - расскажите.

[Виталий Пухов]

Василий: для linux есть OpenDNS https://support.opendns.com/entries/26514730-Web-C... для других платформ можно посмотреть например тут lifehacker.com/5312820/five-best-content-filtering...

[Василий]

Виталий Пухов , подскажите, в приведенных Вами ссылках есть описание технического решения или только перечислены системы фильтрации (сравнения, как работают и т.д.)? Если второе - в вопросе отдельно указано, что это не нужно.

[Виталий Пухов]

Василий: не думаю что где бы то ни было перечислялось техническое решение, ибо для крупных организаций за "создание технического решения" обычно организации берут деньги, или включают это в цену "внедрения решения", мелкие организации отдают эту задачу своим администраторам.

[Василий]

Виталий Пухов отличный ответ (системному администратору - обратитесь к системному администратору! Вы вопрос прочитали?

[Виталий Пухов]

Василий: я имел в виду то что если вы и есть тот самый администратор в небольшой организации то вы можете выбрать тот инструмент, который посчитаете лучше, определить же какой будет лучше сможете лишь вы сами, как правило опытным путем. К примеру лично мне не нравится работать с linux и я бы не выбрал инструмент, который на нем работает, если только он будет не на 300 % лучше аналогичного для Windows. в вашем конкретном случае критерии будут другие скорее всего.

[Василий]

Виталий Пухов можете предложить решение вопроса? На той платформе, которая Вам знакома (MS).

[Виталий Пухов]

Василий: к сожалению конкретного посоветовать не смогу, т.к. у нас это реализовали на базе прокси mcaffe web gateway

[Виталий Пухов]

Василий: перечитал соседнюю ветку, сдается мне что такой функционал отсутствует в таком виде в любом решении, которое сейчас существует, как вариант можно подобное реализовать самому, к примеру если взять за основу проект arsofttoolsnet.codeplex.com можно построить систему, которая будет при запросе к DNS серверу отправлять параллельно запросы к другим DNS серверам, хоть к 10 и в зависимости от их ответов либо отдавать IP либо логировать либо посылать к известному серверу например. Хотя практически смысл в этом не очень большой я думаю, т.к. списки у них всех хоть и есть, но я сомневаюсь в том, что они покрывают весь интернет хотябы на 10%.

[Виталий Пухов]

Василий: ради интереса набросал исходник на основе того проекта что я написал, все так и есть, весь функционал реализуется, если нужно могу доработать до полноценного приложения. Выглядит примерно так, перечисляются DNS сервера например в файле конфигурации, при запросе к DNS серверу запросы отправляются параллельно на каждый из DNS серверов, в зависимости от их ответов отдается результат.

[Василий]

Виталий Пухов: Вы предложили очень интересное решение, к сожалению не силен в С#/.Net, поэтому не могу его оценить. Самописное решение имеет определенные недостатки с т.з. поддержки. Надеюсь найти решение за счет менее кардинальных способов.

[Виталий Пухов]

Василий: На счет поддержки не соглашусь, т.к. поддерживать то что сделал сам проще чем добиться того же от постороннего человека, но это лично мне, т.к. сам пишу. Из готовых выглядит похожим Acrylic DNS Proxy, можно глянуть в его сторону. Свою поделку чуть позже тоже выложу в Open Source.

Answer 3

[ShamblerR]

Помоему включить лубой роутер, они все поддерживают DHCP собственно вот тебе и сервер который будет давать внешние DNS.

Comments

[Василий]

вопрос - как DNS запрос клиента направить на несколько внешних DNS серверов и обработать ответы (один отдать, остальные - в журнал)

Answer 4

[Влад Животнев]

habrahabr.ru/post/178727 начните отсюда читать про возможности powerdns в плане подзапросов. Дальше по вкусу допилите.