DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)

Все остальное

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 23 июл 2011, 10:24

Я вывел логи в сессию, но не получается вывести дебаг.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 24 июл 2011, 14:37

ничего не понял
что не именно получается ?
выполнить команду debug ? скопировать с экрана вывод этой команды ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 24 июл 2011, 19:44

Я немного профан в дебаге, но благодаря Вам разобрался с этим функционалом, спасибо!

Результат:

Код: Выделить всё
Jul 24 16:42:08.433: DNS: Incoming UDP query (id#58148)
Jul 24 16:42:08.433: DNS: Type 1 DNS query (id#58148) for host 'freebsd.org' from 213.238.8.9(6960)
Jul 24 16:42:08.433: DNS: Best interface for 192.168.2.21 is Vlan5
Jul 24 16:42:08.433: DNS: Re-sending DNS query (type 1, id#38812) to 192.168.2.21
Jul 24 16:42:08.433: %FIB-4-FIBCBLK: Missing cef table for tableid 65535 during CEF samecable event
delta(config)#
Jul 24 16:42:08.521: DNS: Incoming UDP query (id#38812)
Jul 24 16:42:08.525: DNS: Type 1 response (id#38812) for host <freebsd.org> from 192.168.2.21(53)
Jul 24 16:42:08.525: DOM: dom2cache: hostname is freebsd.org, RR type=1, class=1, ttl=3600, n=4
Jul 24 16:42:08.525: DNS: Forwarding back A response - no director required
Jul 24 16:42:08.525: DNS: Finished processing query (id#58148) in 0.092 secs
Jul 24 16:42:08.525: DNS: Forwarding back reply to 213.238.8.9/6960
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 27 июл 2011, 08:14

судя по дебагу циска выполнила forward DNS запроса, но сама она рекурсией не занимается
cisco_forwarding_DNS_server.gif


команда
Код: Выделить всё
ip dns spoofing 192.168.2.1
точно у тя дана ?
вообщем покажи все строчки конфига связанные с DNS, которые есть на твоем девайсе.

подампай этот запрос на своем DNS сервере и как обстоят на нем дела с рекурсивными запросами ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 29 июл 2011, 01:43

В предыдущем варианте в спуфинг был указан на 192.168.2.21

Сейчас 192.168.2.1. Это вывод с включенным ip domain lookup

Код: Выделить всё
Jul 28 22:15:24.114: DNS: Incoming UDP query (id#50755)
Jul 28 22:15:24.118: DNS: Type 1 DNS query (id#50755) for host 'ya.ru' from 213.238.8.14(55748)
Jul 28 22:15:24.118: DNS: Best interface for 192.168.2.21 is Vlan5
Jul 28 22:15:24.118: DNS: Re-sending DNS query (type 1, id#65397) to 192.168.2.21
Jul 28 22:15:24.118: %FIB-4-FIBCBLK: Missing cef table for tableid 65535 during CEF samecable event
Jul 28 22:15:24.142: DNS: Incoming UDP query (id#65397)
Jul 28 22:15:24.142: DNS: Type 1 response (id#65397) for host <ya.ru> from 192.168.2.21(53)
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
delta#
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DOM: dom2cache: hostname is ya.ru, RR type=1, class=1, ttl=7200, n=4
Jul 28 22:15:24.142: DNS: Forwarding back A response - no director required
Jul 28 22:15:24.142: DNS: Finished processing query (id#50755) in 0.028 secs
Jul 28 22:15:24.146: DNS: Forwarding back reply to 213.238.8.14/55748


Вывод с выключенным ip domain lookup (Внешним клиентам перестают отдаваться ответы, то что нужно)

Код: Выделить всё
Jul 28 22:19:33.643: DNS: Incoming UDP query (id#7144)
Jul 28 22:19:33.643: DNS: Type 1 DNS query (id#7144) for host 'ya.ru' from 213.238.8.14(59326)
Jul 28 22:19:33.643: DNS: Spoofing reply to query (id#7144)
Jul 28 22:19:33.643: DNS: Finished processing query (id#7144) in 0.000 secs


Результат запроса клиента из внутренней сети с выключенным ip domain lookup на роутере

Код: Выделить всё
C:\Documents and Settings\Администратор>nslookup
*** Can't find server name for address 192.168.2.1: Server failed
Default Server:  UnKnown
Address:  192.168.2.1

> ya.ru
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    ya.ru.domain.local
Address:  192.168.2.1


Результат запроса клиента из внутренней сети с включенным ip domain lookup на роутере

Код: Выделить всё
C:\Documents and Settings\Администратор>nslookup
Default Server:  delta.domain.local
Address:  192.168.2.1

> ya.ru
Server:  delta.domain.local
Address:  192.168.2.1

Non-authoritative answer:
Name:    ya.ru
Addresses:  77.88.21.3, 87.250.250.3, 87.250.250.203, 87.250.251.3
          93.158.134.3, 93.158.134.203, 213.180.204.3


Дебаг на роутере

Код: Выделить всё
Jul 28 22:30:29.700: DNS: Forwarding back reply to 192.168.2.22/1267
Jul 28 22:30:29.708: DNS: Incoming UDP query (id#3)
Jul 28 22:30:29.708: DNS: Type 1 DNS query (id#3) for host 'ya.ru' from 192.168.2.22(1268)
Jul 28 22:30:29.708: DNS: Best interface for 192.168.2.21 is Vlan5
Jul 28 22:30:29.708: DNS: Finished processing query (id#3) in 0.000 secs


Настройки в конфиге связанные с ДНС

Код: Выделить всё
ip name-server 192.168.2.21
ip dns server
ip dns spoofing 192.168.2.1
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 29 июл 2011, 09:59

Код: Выделить всё
*** Can't find server name for address 192.168.2.1: Server failed

это он PTR (обратку) для 192.168.2.1 ищет
подними на DNS`е 192.168.2.21 обратную зону 2.168.192.in-addr.arpa и опиши в ней обратку для 192.168.2.1
и укажи ip domain name в настройках циски
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 31 июл 2011, 21:58

Сделал, результат тот же... Теперь не ругается на обратку, но возвращает:

При выключенном ip domain lookup

Клиент внутренней сети

Код: Выделить всё
C:\Documents and Settings\Администратор>nslookup
Default Server:  delta.domain.local
Address:  192.168.2.1

> google.com
Server:  delta.domain.local
Address:  192.168.2.1

Non-authoritative answer:
Name:    google.com.domain.local
Address:  192.168.2.1


Cisco

Код: Выделить всё
delta#
Jul 31 18:50:03.348: DNS: Incoming UDP query (id#1)
Jul 31 18:50:03.348: DNS: Type 12 DNS query (id#1) for host '1.2.168.192.in-addr.arpa' from 192.168.2.22(1851)
Jul 31 18:50:03.348: DNS: Finished processing query (id#1) in 0.000 secs
delta#
Jul 31 18:50:15.832: DNS: Incoming UDP query (id#2)
Jul 31 18:50:15.832: DNS: Type 1 DNS query (id#2) for host 'subnets.ru.domain.local' from 192.168.2.22(1852)
Jul 31 18:50:15.832: DNS: Spoofing reply to query (id#2)
Jul 31 18:50:15.832: DNS: Finished processing query (id#2) in 0.000 secs


При включенном ip domain lookup

Клиент внутренней сети
Код: Выделить всё
C:\Documents and Settings\Администратор>nslookup
Default Server:  delta.domain.local
Address:  192.168.2.1

> subnets.ru
Server:  delta.domain.local
Address:  192.168.2.1

Non-authoritative answer:
Name:    subnets.ru
Address:  91.217.137.1


Cisco

Код: Выделить всё
delta(config)#
Jul 31 18:53:04.271: DNS: Incoming UDP query (id#2)
Jul 31 18:53:04.271: DNS: Type 1 DNS query (id#2) for host 'subnets.ru.delta.local' from 192.168.2.22(1856)
Jul 31 18:53:04.271: DNS: Best interface for 192.168.2.21 is Vlan5
Jul 31 18:53:04.271: DNS: Re-sending DNS query (type 1, id#62012) to 192.168.2.21
Jul 31 18:53:04.271: %FIB-4-FIBCBLK: Missing cef table for tableid 65535 during CEF samecable event
delta(config)#
Jul 31 18:53:04.275: DNS: Incoming UDP query (id#62012)
Jul 31 18:53:04.279: DNS: Type 1 response (id#62012) for host <subnets.ru.delta.local> from 192.168.2.21(53)
Jul 31 18:53:04.279: DNS: Response code 3 (id#62012) from 192.168.2.21(53)
Jul 31 18:53:04.279: DNS: Finished processing query (id#2) in 0.008 secs
Jul 31 18:53:04.279: DNS: Forwarding back reply to 192.168.2.22/1856
Jul 31 18:53:04.283: DNS: Incoming UDP query (id#3)
Jul 31 18:53:04.287: DNS: Type 1 DNS query (id#3) for host 'subnets.ru' from 192.168.2.22(1857)
Jul 31 18:53:04.287: DNS: Best interface for 192.168.2.21 is Vlan5
Jul 31 18:53:04.287: DNS: Finished processing query (id#3) in 0.004 secs



Меня смущает что и в первом и во втором случае конструкция:

Код: Выделить всё
subnets.ru.delta.local
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 03 авг 2011, 16:58

plastilin писал(а):Меня смущает что и в первом и во втором случае конструкция:

это он добавляет название своего домена.
в nslookup спрашивай доменнное имя, но с точкой на конце:
Код: Выделить всё
nslookup subnets.ru.

ставя точку в коце ты явно даешь понять что это полное имя и ничего в конец подставлять не надою
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 09 авг 2011, 10:51

Спрашивал с точкой на конце, результат отличается только отсутствием дописывания самого себя.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Пред.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13