我总是习惯设置DNS服务器到谷歌的8.8.8.8和8.8.4.4我登录任何网络后都可以。但是最近我发现,除非我在操作系统配置中设置连接到校园网络的默认 DNS 服务器地址,否则我无法访问任何网站。
是否有任何原因导致网络配置或网络设备导致连接的节点无法使用自定义 DNS 服务器地址正常工作?如果是这样,我该如何欺骗它?
答案1
许多组织通过在防火墙上阻止 DNS 请求和回复(即阻止 UDP 端口 53)来限制对外部 DNS 服务器的直接访问。这是一种常见的安全做法,可保护您免受攻击。DNS 欺骗攻击就是这样一种攻击,攻击者会将您的 DNS 查询重定向到“邪恶”的名称服务器。当您浏览 www.mybank.com 时,邪恶的名称服务器将返回一个假银行网站的地址,他们可以欺骗您泄露您的登录凭据。
该组织只允许其 DNS 服务器进行外部查询,因为据推测它比您的 PC 受到更好的保护。
通常没有办法绕过被阻止的端口,即使有,我也不会破坏安全策略。我很好奇为什么你觉得需要使用与通过 DHCP 分发的 DNS 服务器不同的 DNS 服务器。
答案2
大多数组织不希望 DNS 流量离开边界或控制区域,以便他们可以对组织内的人员实施政策。本地 DNS 服务器能够阻止某些域或站点分类。
如果是这样,我该如何欺骗它?
在我的组织中,人们用来绕过安全策略的最常见技巧是DNS加密,它使用 HTTPS 进行 DNS 请求;这使得检查几乎不可能。我也在家里使用这种技术,所以我的 ISP 无法阻止我访问的任何网站。
逃避公司政策可能不符合道德规范,因此我强烈建议不要这样做。
答案3
你的校园网络可能正在过滤该 DNS 服务器。或者最有可能的是正在过滤任何DNS,除了他们的 DNS。例如,您可以尝试使用工具直接查询 DNS(例如“nslookup - 8.8.8.8”),然后尝试使用各种 DNS 服务器(如果它适用于所有 DNS 服务器)。
这背后的原因是一种控制:通过传递他们的 DNS,他们可以过滤掉一些名称解析(即许多国家/地区对某些 P2P 网站(如 TPB 或 Youtube)使用 DNS 过滤,不解析它或将其解析为他们喜欢的 IP),当然还有日志记录(可以非常轻松地记录所有查询,以查看校园网络中的每台 PC 正在尝试浏览的内容)。老大哥在行动!
如果人们希望不那么消极,那么你也可以将其视为带宽优化:因为使用他们的 DNS,并且如果他们的 DNS 有效地进行缓存,这可以防止许多请求从网络传出。
如果 DNS 查询(即发往 tcp/udp 端口 53 等的数据包)在您的网络中被过滤,那么您实际上无法对此做任何(简单的)事情。