DNS спуфинг в благих целях

densan1 · Непрочитанное сообщение **densan1** » 2019-12-06 16:17:47

Здравствуйте.
Ставим в организации смартТВ и ТВ с приставками на андроид. На них будет стоять ПО Xibo, посредством которого будем показывать рекламу в офисах. Есть проблема: в андроидах нет возможности указать адрес NTP, с которым нужно синхронизиовать время, а без него нет возможности в нужные дни показывать нужные ролики, т.к. дата время при каждой обесточке сбрасывается. Выпустить любой трафик наружу запрещено.
Просмотрел трафик с андроида, при перезагрузке он пытается взять время с ограниченного числа серверов типа 2.android.pool.ntp.org.
Возникла идея: указать в настройках андроида ДНС сервер, на котором для 2.android.pool.ntp.org прописать IP внутреннего NTP сервера. А остальные запросы транслировать на внутренний DNS.
Посмотрел описание NTP трафика - как я понял в нем нет никакой проверки на безопасность.
Вопрос: настраивал named на поддержку зоны 2-го уровня, а тут как я понял нужно подменять зону org. Посоветуйте пожалуйста где почитать на этот счет. Возможно named не очень хороший выбор, если так - посоветуйте другой софт.
Заранее благодарю.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

novik · Непрочитанное сообщение **novik** » 2019-12-07 3:36:46

unbound.conf

Код: Выделить всё

local-zone: "2.android.pool.ntp.org." static
       local-data: "2.android.pool.ntp.org. 300 IN A 192.168.0.1"

Как-то так наверное можно.

ыть · Непрочитанное сообщение **ыть** » 2019-12-07 17:54:28

чем вам намед то не нравится?
есть такая штука как "ращепление мозга".. так "ращепляйте" его для внутренних и внешних запросов, какая проблема?

зы. реклама - ЗЛО!
расстреливать всех рекламщиков без суда и следствия!

хороший товар в рекламе не нуждается (кроме айфонов конечно)!

guest · Непрочитанное сообщение **guest** » 2019-12-07 18:42:53

ыть » 2019-12-07 17:54:28
чем вам намед то не нравится?

дык он его не умеет

вот и лезет с unbound везде, где нужно и где не нужно, видимо и unbound никогда реально,
как primary не настраивал.

Unbound - лучший в какчестве кеширующего, чтобы уж поставить наконец точку для
тех кто поиском нарвется на советы.

зы. реклама - ЗЛО!
расстреливать всех рекламщиков без суда и следствия!
хороший товар в рекламе не нуждается (кроме айфонов конечно)!

Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/

Alex Keda

guest писал(а): ↑
2019-12-07 18:42:53
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/

это только для гостей
зарегистрированные пользователи, рекламы не видят

Alex Keda

по сабжу, с похожей ситуацией столкнулся на HuaWei PT530
прописал в hosts соотвествие IP и имени, благо оно позвляло редактировать "локальные имена ДНС"

novik · Непрочитанное сообщение **novik** » 2019-12-08 4:36:12

guest писал(а): ↑
2019-12-07 18:42:53
для тех кто поиском нарвется на советы…

Совет работает.

Код: Выделить всё

ping 2.android.pool.ntp.org
PING 2.android.pool.ntp.org (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.050 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.087 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.046 ms

А те, которые не хотят именно unbound, конечно могут править hosts, настраивать named, bind, nsd и т.д. похожих результатов можно добиться разными способами, кому каким удобнее, по обстоятельствам.

Fast_Deer

Может и опоздал с ответом, но все же..
Про named: небходимо создать свою master зону (android.pool.ntp.org) и там прописать ("завернуть") трафик на нужный IP в локальной сети, типа

Код: Выделить всё

$TTL    3600

@       IN      SOA     2.android.pool.ntp.org. root.domain.you.  (
                                20191208; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum TTL

; DNS Server
        IN      NS      dns.domain.you. ; my DNS server

; Machine Names
localhost               IN A 127.0.0.1
2.android.pool.ntp.org.       IN A you.IP.ADRESS.NTP-server
3                    IN CNAME 2
4                    IN CNAME 2
1                    IN CNAME 2

вписать в named.conf

Код: Выделить всё

// Настраиваем зону android.pool.ntp.org для NTP-server'a на you.IP.ADRESS.NTP-server
zone "android.pool.ntp.org" {
                type master;
                file "master/android.pool.ntp.org";
                notify yes; };  #  при изменении зоны все вторичные DNS сервера получают уведомление

Естественно, нужные поля заменить на свои и перезапустить bind.
Рецепт рабочий в том случае, если на клиенте жестко не прописан IP DNS сервера. Я так у себя "заворачивал" трафик на машину в локальной сети.

По поводу Unbound:
Я давно рассматриваю вопрос переезда на Unbound, но меня останавливает (может от незнания) невозможность держать собственную зону (даже несколько: вариант с "заворачиванием" трафика) и передачей этих зон на вторичные сервера, так как прописывать изменения на каждом сервере не комильфо, а основной DNS сервер иногда бывает в оффлайн (принудительно). Может кто развеет мои сомнения и расскажет как это сделать, то буду премного благодарен!

novik · Непрочитанное сообщение **novik** » 2020-01-27 3:04:29

Fast_Deer писал(а): ↑
2020-01-27 1:35:17
держать собственную зону (даже несколько: вариант с "заворачиванием" трафика) и передачей этих зон на вторичные сервера

Это не то что 2.android.pool.ntp.org подменить, вам для такого авторитарный DNS-сервер нужен, а не рекурсивный. От того же nlnetlabs, но только не Unbound, а NSD.

novik · Непрочитанное сообщение **novik** » 2020-01-27 3:18:56

Fast_Deer писал(а): ↑
2020-01-27 1:35:17
Я давно рассматриваю вопрос переезда на Unbound

Можно рекурсивные запросы обрабатывать Unbound-ом, а авторитарные NSD-ой.

ыть · Непрочитанное сообщение **ыть** » 2020-01-27 6:19:40

guest писал(а): ↑
2019-12-07 18:42:53
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/

это правильная реклама )) не грех и поддержать товарищей.. за 12 то рублёв ))

в отличие от этих, плять, уродов: "сабаки делают вашу жизнь лучше"..
куда ни глянь: сабачьи морды... саепале, плять..

Fast_Deer

novik писал(а): ↑
2020-01-27 3:04:29
Это не то что 2.android.pool.ntp.org подменить, вам для такого авторитарный DNS-сервер нужен, а не рекурсивный.

novik писал(а): ↑
2020-01-27 3:18:56
Можно рекурсивные запросы обрабатывать Unbound-ом, а авторитарные NSD-ой.

Тогда понятно: нет смысла заморачиваться с переходом. У меня сейчас тот же bind (named) работает в обоих ипостасях: и в авторитарном (держит мою зону) и рекурсивном.
Буду исходить из принципа: "работает - не трожь!"