linux 5353端口禁止,系统运维|解决DNS污染与劫持之使用特殊DNS端口
os:ubuntu 12.04 LTS
软件:dnsmasq
dns测试:
dig www.facebook.com @8.8.8.8 +short
37.61.54.158
在wiki词条域名服务器缓存污染中可以发现37.61.54.158在虚假ip地址中,说明此dns已遭污染。
dig www.facebook.com @208.67.222.222 -p 443
31.13.79.49
31.13.79.49为facebook的正确地址。google的dns服务不支持特殊端口查询,但opendns支持,其ip为208.67.222.222,208.67.222.220,支持的特殊端口为443,5353。
在ubuntu中,我们可以用dnsmasq来指定被污染ip用特殊端口查询.
从Ubuntu 12.04开始网络管理器默认开启了dnsmasq,但出于安全的考虑没有开启其缓存功能。这个改动至少在我这里导致了一些问题,比如偶尔出现网速变慢。 经过尝试,可以完全禁用该服务,或者设置使用谷歌DNS服务,同时开启dnsmasq的本地缓存(可以大幅提高重复访问网站时的响应速度)。
完全禁用的方法:
sudo vim /etc/NetworkManager/NetworkManager.conf
注释掉里面的dns=dnsmasq
然后重启网络管理器
sudo restart network-manager
重新安装完整dnsmasq:
sudo apt-get install dnsmasq
然后
sudo vi /etc/resolv.conf
确保resolv.conf内容为:
nameserver 127.0.0.1
然后
sudo vim /etc/dnsmasq.conf
直接在文件最后添加:
listen-address=127.0.0.1
bind-interfaces
cache-size=100000
domain-needed
resolv-file=/etc/resolv.dnsmasq
server=/facebook.com/208.67.222.222#5353
其中
server=/facebook.com/208.67.222.222#5353
即可指定访问facebook网站时向opendns的5353端口进行dns请求,以此类推。
这个设置支持泛解析,比如
server=/com/208.67.222.222#5353
即指定所有.com域名。
重启dnsmasq:
sudo service dnsmasq restart
再测试dns:
dig www.facebook.com +short
若返回31.13.79.49或其他不在虚假ip表里的ip即成功。
ps:用命令
ps -fC dnsmasq|more
查阅得知dnsmasq在ubuntu中的dns设置在/var/run/dnsmasq/resolv.conf中。
dnsmasq的日志记录在/var/log/syslog中。
linux 5353端口禁止,系统运维|解决DNS污染与劫持之使用特殊DNS端口相关推荐
- Linux内外部命令和系统运维
Linux命令是bash命令的子集,位于/bin./sbin./usr/bin目录下,包含文件操作.网络.系统服务等方面,其中/sbin为超级管理员目录,/bin为普通管理员目录,/usr/bin为一 ...
- linux 建立lun分区,系统运维|在 iSCSI Target 服务器中使用LVM创建和设置LUN(二)
LUN是逻辑单元号,它与iSCSI存储服务器共享.iSCSI 目标器通过TCP/IP网络共享它的物理驱动器给发起程序(initiator).这些来自一个大型存储(SAN:Storage Area Ne ...
- Linux怎么卸载unbound,系统运维|如何在 Arch Linux 中安装 DNSCrypt 和 Unbound
DNSCrypt 是一个用于对 DNS 客户端和 DNS 解析器之间通信进行加密和验证的协议.它可以阻止 DNS 欺骗或中间人攻击. DNSCrypt 可用于大多数的操作系统,包括 Linux,Win ...
- linux ubuntu 安装ftp,系统运维|如何在 Ubuntu 下安装和配置 FTP 服务器
FTP(文件传输协议)是一个较老且最常用的标准网络协议,用于在两台计算机之间通过网络上传/下载文件.然而, FTP 最初的时候并不安全,因为它仅通过用户凭证(用户名和密码)传输数据,没有进行加密. 警 ...
- linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! .下面开始这个新年版审计工具的介绍. 安全防护是首先要考虑的问题.为了避免别人盗取我们的数据,我们需要时刻关注它.安全防护包括很多东西, ...
- Linux脚本免交互,系统运维|sshpass:一个很棒的免交互 SSH 登录工具,但不要用在生产服务器上...
在大多数情况下,Linux 系统管理员使用 SSH 登录到程 Linux 服务器时,要么是通过密码,要么是无密码 SSH 登录或基于密钥的 SSH 身份验证. 如果你想自动在 SSH 登录提示符中提供 ...
- linux 配置离线yum,系统运维|创建局域网内的离线 YUM 仓库
在早先的教程中,我们讨论了如何使用 ISO 镜像和在线 Yum 仓库的方式来创建自己的 Yum 仓库.创建自己的 Yum 仓库是一个不错的想法,但若网络中只有 2-3 台 Linux 机器那就没啥必要 ...
- linux dns chroot,系统运维|在 CentOS7.0 上搭建 Chroot 的 Bind DNS 服务器
BIND(Berkeley internet Name Daemon)也叫做NAMED,是现今互联网上使用最为广泛的DNS 服务器程序.这篇文章将要讲述如何在 chroot 监牢中运行 BIND,这样 ...
- linux忘记mysql密码_linux下忘记mysql root密码解决办法 | 系统运维
引言:在linux系统中,如果忘记了MySQL的root密码,有没有办法重新设置新密码呢? 答案是肯定的,下面教大家一个比较简单的重置MySQL root密码的办法: 1.编辑MySQL配置文件my. ...
最新文章
- 27.3. source code
- 实验4.1 循环控制 一
- 算法杂货铺——分类算法之贝叶斯网络(Bayesian networks)
- Junit Hamcrest Eclemma
- OpenCASCADE绘制测试线束:几何命令之近似值
- nginx的日志配置
- kotlin中mainactivity无法直接调用xml中的控件_使用52North 客户端接口调用OGC WPS服务...
- Vmware中的centos虚拟机克隆之后没有eth0
- 我开源的软件只能我拿来赚钱
- 最详尽使用指南:超快上手Jupyter Notebook
- Android 4.0 开机启动广播
- 基于ffmpeg+SDL的加密视频播放器的开发(一)
- 赋能未来的昆腾全新Scalar存储平台
- 计算机毕业设计ssm基于ssm框架的动漫网站设计与实现q6dcx系统+程序+源码+lw+远程部署
- html-canvas-绘制简单线条
- 木马 + 流氓软件 + 垃圾软件 玩死 Win 2000 pro~
- 《乐队的夏天》刺猬乐队下半年音乐节巡演时间表
- 解决pprint安装不上 | pprint_一个漂亮的打印机
- Java面试-001
- 工信部首次发声:培育一批进军元宇宙等新兴领域的创新型中小企业