对 PiHole 使用 ARP 中毒 + DNS 欺骗而不是将其设置为 DNS 服务器是否安全?

对 PiHole 使用 ARP 中毒 + DNS 欺骗而不是将其设置为 DNS 服务器是否安全?

假设我有一个不懂技术的朋友,我想给他安装一个 PiHole(DNS Blackhole)。是否可以(并且相对安全地)将 Raspberry Pi 配置为即插即用设备来执行此操作?具体来说,我设想的过程分为两个步骤:

  1. 配置 Pi 自动对 LAN 上的所有设备执行 ARP 欺骗“攻击”,以拦截前往路由器的流量
  2. 然后,进行 DNS 欺骗,将所有对黑名单上网站的请求都屏蔽,同时忽略非黑名单上的请求

通过一些搜索,似乎这两个步骤在简单的家庭网络上都应该相当简单。这个问题似乎表明这是可能的,但我并不是安全专家,并且很好奇是否有我不知道的不这样做的充分理由,或者是否存在更好的方法来解决这种情况。

答案1

是的。只要 Pi 位于同一个局域网中,就可以轻松完成此操作。Pi 是否位于物理中间并不重要。这个帖子可能會讓你開心。然而,如果流量很大,Pi 的网络接口可能会成为瓶颈并减慢一切速度。如果你想避免这种情况,只执行 DNS 欺骗而不先拦截全部发往路由器的数据包,那么我担心@jvda 是对的:我不明白如何以简单的“即插即用”方式做到这一点。您可能还会遇到一些路由器(或无线接入点)的问题,这些路由器将无线和有线客户端之间的地址解析(ARP)分开。

答案2

如果不做以下其中一件事,这很难实现:

  • 重新配置路由器的 DHCP 服务器,以将树莓派宣传为本地网络的 DNS 服务器。
  • 对网络拓扑进行重大更改。只有当您实际上可以将 raspberry pi 放置在 LAN 和路由器之间的“中间”时,让 raspberry pi 欺骗路由器的 IP 才会有效。必须将 raspberry pi 配置为转发数据包和/或采用路由器提供的一些服务(例如,服务 DHCP 请求)。

这两种选择都需要对网络设备或拓扑进行一些调整。因此,我认为仅以“即插即用”的方式连接 Raspberry Pi 并不容易。

相关内容