Obcházení nastavení v hosts

[beer]

Zajímavé, takže /etc/hosts se dle vás tedy nedá používat pro blokování domén. No, má zkušenost je jiná. A těch lidí, kteří blokují například reklamy prostřednictvím tohoto souboru budou miliony (na linuxu, na windows, na androidu) a všichni asi žijí v iluzi, že blokují, ale oni přitom neblokují. V iluzi žijí i tvůrci Adawaye, Spybot Search && Destroy (který přes windowsí hosts soubor blokuje spywarové domény).

[Reklama]

[JardaP .]

Tak teoreticky by to slo. Kdyby aplikace mela vlastni resolver a pouzila vlastni DNS, ktere ji nezablokuju nebe nepresmeruju na firewallu.... Ale ktery vul by to tak delal a kdo by se sral s necim, co uz v systemu je. Na co by pak byl OS, kdyz ho pak pouziju jen jako jakysi lepsi DOS s grafickou nadstavbou.

Jinak se tu asi rozsiril zmatek v pojmech. Nekdo tvrdi, ze v hosts muzu presmerovat a ti zablokovat domeny, coz by normalne melo fungovat, ale jini tu mluvi o koze a rikaji, ze na dany server se stejne lze dostat, coz lze, pokud znam ip adresu. To je ale opravdu o koze, protoze pak nemluvime o domenach, ale o ip adesach a ty se blokuji jinak.

[Filip Jirsák]

Blokováním reklamna úrovni operačního systému si představím blokování na úrovni /etc/hosts, nebo například prostřednictvím privoxy, iptables

Akorát že je v tom takový drobný rozdíl, že když zablokujete přístup na nějakou IP adresu přes iptables, tak se na tu IP adresu žádná aplikace nepřipojí, i kdyby se na hlavu stavěla. Když „zablokujete“ přístup na nějakou doménu přes /etc/hosts, tak se na tu doménu aplikace klidně připojí a ani nemusí zjistit, že jste se pokoušel něco blokovat.

[Filip Jirsák]

To silně pochybuju, že by kdokoliv soudný nepoužíval standardní resolver, ale přitom nějak proprietárně zpracovával /etc/hosts, který je jedním z konfiguračních souborů pro tento resolver.

Chromium /net/dns/ (vás bude zajímat dns_hosts.cc)

[beer]

Blokováním reklamna úrovni operačního systému si představím blokování na úrovni /etc/hosts, nebo například prostřednictvím privoxy, iptables

Akorát že je v tom takový drobný rozdíl, že když zablokujete přístup na nějakou IP adresu přes iptables, tak se na tu IP adresu žádná aplikace nepřipojí, i kdyby se na hlavu stavěla. Když „zablokujete“ přístup na nějakou doménu přes /etc/hosts, tak se na tu doménu aplikace klidně připojí a ani nemusí zjistit, že jste se pokoušel něco blokovat.

Blokovat ip adresy nemá smysl, protože jedna ip adresa může být použita pro více webů a mohlo by dojít k blokování regulérního webu, který chci zobrazit. Navíc reklamní servery nepoužívají v konfiguracích ip adresy, ale domény - stačí se podívat na zdroják libovolného webu, kde vidíte reklamy. Doména může mít navíc i více ip adres (nač blokovat všechny, když můžu blokovat jen doménu?) a ip adresy se mění častěji, nežli domény (změna poskytovatele, dyndns, dynamická ip adresa, může být jiná ip adresa pro různé lokality). Blokovat reklamy zabanováním ip adres nepovažuji za efektivní řešení. To už je lepší blokovat prostřednictvím DNS, ale je to složitější na konfirguraci, nežli blokovat prostřednictvím /etc/hosts. Mám web bez reklam a s automatickou aktualizací "černé listiny".

[Reklama]

[Filip Jirsák]

Zajímavé, takže /etc/hosts se dle vás tedy nedá používat pro blokování domén. No, má zkušenost je jiná. A těch lidí, kteří blokují například reklamy prostřednictvím tohoto souboru budou miliony (na linuxu, na windows, na androidu) a všichni asi žijí v iluzi, že blokují, ale oni přitom neblokují. V iluzi žijí i tvůrci Adawaye, Spybot Search && Destroy (který přes windowsí hosts soubor blokuje spywarové domény).

To, že si myslíte, že něco blokujete, ještě neznamená, že něco doopravdy blokujete. Původní tazatel si také myslel, že blokuje domény, ale zjistil, že to není pravda – tak se zeptal, a na rozdíl od některých zde přítomných si to nechal vysvětlit.

Vy žádné domény neblokujete, vy přepisujete překlad některých konkrétních jmen prováděný knihovní funkcí getaddrbyname, případně aplikacemi, které provádí překlad jiným způsobem, ale berou v úvahu /etc/hosts. Když třeba budete na tu „zablokovanou“ doménu posílat e-mail, normálně se odešle, protože při odesílání e-mailu mají přednost jiné záznamy, než ty, které přepisuje /etc/hosts. Když budete komunikovat přes Jabber, opět se bez problémů spojíte, protože se používají jiné DNS záznamy. Takže to ani nemusí být nějak nestandardně se chovající programy.

Až ten spyware začne používat generované názvy domén třetího řádu (že bude komunikovat s libovolnou adresou ve tvaru *.spyware.com), přijďte nám povyprávět o tom, jak jste tu doménu spyware.com zablokoval pomocí /etc/hosts.

[beer]

Zajímavé, takže /etc/hosts se dle vás tedy nedá používat pro blokování domén. No, má zkušenost je jiná. A těch lidí, kteří blokují například reklamy prostřednictvím tohoto souboru budou miliony (na linuxu, na windows, na androidu) a všichni asi žijí v iluzi, že blokují, ale oni přitom neblokují. V iluzi žijí i tvůrci Adawaye, Spybot Search && Destroy (který přes windowsí hosts soubor blokuje spywarové domény).

To, že si myslíte, že něco blokujete, ještě neznamená, že něco doopravdy blokujete. Původní tazatel si také myslel, že blokuje domény, ale zjistil, že to není pravda – tak se zeptal, a na rozdíl od některých zde přítomných si to nechal vysvětlit.

Vy žádné domény neblokujete, vy přepisujete překlad některých konkrétních jmen prováděný knihovní funkcí getaddrbyname, případně aplikacemi, které provádí překlad jiným způsobem, ale berou v úvahu /etc/hosts. Když třeba budete na tu „zablokovanou“ doménu posílat e-mail, normálně se odešle, protože při odesílání e-mailu mají přednost jiné záznamy, než ty, které přepisuje /etc/hosts. Když budete komunikovat přes Jabber, opět se bez problémů spojíte, protože se používají jiné DNS záznamy. Takže to ani nemusí být nějak nestandardně se chovající programy.

Až ten spyware začne používat generované názvy domén třetího řádu (že bude komunikovat s libovolnou adresou ve tvaru *.spyware.com), přijďte nám povyprávět o tom, jak jste tu doménu spyware.com zablokoval pomocí /etc/hosts.

Nepotřebuji blokovat poštu nebo jabber. Pokud budou reklamní nebo spyware domény používat automaticky generované subdomény, tak změním řešení. /etc/hosts to neumí blokovat, ale myslím, že již zmíněné privoxy ano.

[beer]

Zajímavé, takže /etc/hosts se dle vás tedy nedá používat pro blokování domén. No, má zkušenost je jiná. A těch lidí, kteří blokují například reklamy prostřednictvím tohoto souboru budou miliony (na linuxu, na windows, na androidu) a všichni asi žijí v iluzi, že blokují, ale oni přitom neblokují. V iluzi žijí i tvůrci Adawaye, Spybot Search && Destroy (který přes windowsí hosts soubor blokuje spywarové domény).

To, že si myslíte, že něco blokujete, ještě neznamená, že něco doopravdy blokujete. Původní tazatel si také myslel, že blokuje domény, ale zjistil, že to není pravda – tak se zeptal, a na rozdíl od některých zde přítomných si to nechal vysvětlit.

Vy žádné domény neblokujete, vy přepisujete překlad některých konkrétních jmen prováděný knihovní funkcí getaddrbyname, případně aplikacemi, které provádí překlad jiným způsobem, ale berou v úvahu /etc/hosts. Když třeba budete na tu „zablokovanou“ doménu posílat e-mail, normálně se odešle, protože při odesílání e-mailu mají přednost jiné záznamy, než ty, které přepisuje /etc/hosts. Když budete komunikovat přes Jabber, opět se bez problémů spojíte, protože se používají jiné DNS záznamy. Takže to ani nemusí být nějak nestandardně se chovající programy.

Až ten spyware začne používat generované názvy domén třetího řádu (že bude komunikovat s libovolnou adresou ve tvaru *.spyware.com), přijďte nám povyprávět o tom, jak jste tu doménu spyware.com zablokoval pomocí /etc/hosts.

Nepotřebuji blokovat poštu nebo jabber. Pokud budou reklamní nebo spyware domény používat automaticky generované subdomény, tak změním řešení. /etc/hosts to neumí blokovat, ale myslím, že již zmíněné privoxy ano.

PS: i generovaných domén je omezený počet, například plokuji všechny tyto:

Kód: [Vybrat]

ad.doubleclick.net.10100.9025.302br.net
ad.doubleclick.net.10102.9025.302br.net
ad.doubleclick.net.10104.9025.302br.net
ad.doubleclick.net.10106.9025.302br.net
ad.doubleclick.net.10108.9025.302br.net
ad.doubleclick.net.10110.9025.302br.net
ad.doubleclick.net.10113.9025.302br.net
ad.doubleclick.net.10116.9025.302br.net
ad.doubleclick.net.10119.9025.302br.net
ad.doubleclick.net.10122.9025.302br.net
ad.doubleclick.net.10125.9025.302br.net
ad.doubleclick.net.10128.9025.302br.net
ad.doubleclick.net.10168.9003.302br.net
ad.doubleclick.net.10171.9003.302br.net
ad.doubleclick.net.10174.9003.302br.net
ad.doubleclick.net.10177.9003.302br.net
ad.doubleclick.net.10180.9003.302br.net
ad.doubleclick.net.10183.9003.302br.net
ad.doubleclick.net.10186.9003.302br.net
ad.doubleclick.net.10189.9003.302br.net
ad.doubleclick.net.10192.9003.302br.net
ad.doubleclick.net.10195.9003.302br.net
ad.doubleclick.net.10198.9003.302br.net
ad.doubleclick.net.10201.9003.302br.net
ad.doubleclick.net.10246.9027.302br.net
ad.doubleclick.net.10250.9027.302br.net
ad.doubleclick.net.10258.9027.302br.net
ad.doubleclick.net.10261.9027.302br.net
ad.doubleclick.net.10273.9027.302br.net
ad.doubleclick.net.10279.9027.302br.net
ad.doubleclick.net.10282.9027.302br.net
ad.doubleclick.net.10294.9027.302br.net
ad.doubleclick.net.10304.9027.302br.net
ad.doubleclick.net.10307.9027.302br.net
ad.doubleclick.net.10310.9027.302br.net
ad.doubleclick.net.10313.9027.302br.net
ad.doubleclick.net.10316.9027.302br.net
ad.doubleclick.net.10319.9027.302br.net
ad.doubleclick.net.10322.9027.302br.net
ad.doubleclick.net.10325.9027.302br.net
ad.doubleclick.net.10328.9027.302br.net
ad.doubleclick.net.10331.9027.302br.net
ad.doubleclick.net.10334.9027.302br.net
ad.doubleclick.net.10337.9027.302br.net
ad.doubleclick.net.10341.9005.302br.net
ad.doubleclick.net.10342.9005.302br.net
ad.doubleclick.net.10344.9005.302br.net
ad.doubleclick.net.10346.9005.302br.net
ad.doubleclick.net.1040.9008.302br.net
ad.doubleclick.net.1041.9008.302br.net
ad.doubleclick.net.1043.9008.302br.net
ad.doubleclick.net.10515.9027.302br.net
ad.doubleclick.net.10518.9027.302br.net
ad.doubleclick.net.10524.9027.302br.net
ad.doubleclick.net.10526.9027.302br.net
ad.doubleclick.net.10530.9027.302br.net
ad.doubleclick.net.10533.9027.302br.net
ad.doubleclick.net.1054.9009.302br.net
ad.doubleclick.net.1057.9009.302br.net
ad.doubleclick.net.1060.9009.302br.net
ad.doubleclick.net.10660.9031.302br.net
ad.doubleclick.net.10661.9031.302br.net
ad.doubleclick.net.10665.9031.302br.net
ad.doubleclick.net.10666.9031.302br.net
ad.doubleclick.net.10667.9031.302br.net
ad.doubleclick.net.10668.9031.302br.net
ad.doubleclick.net.1066.9009.302br.net
ad.doubleclick.net.10669.9031.302br.net
ad.doubleclick.net.10670.9031.302br.net
ad.doubleclick.net.1069.9009.302br.net
ad.doubleclick.net.1072.9009.302br.net
ad.doubleclick.net.10750.9029.302br.net
ad.doubleclick.net.10762.9029.302br.net
ad.doubleclick.net.10777.9029.302br.net
ad.doubleclick.net.10786.9029.302br.net
ad.doubleclick.net.1078.9009.302br.net
ad.doubleclick.net.10792.9029.302br.net
ad.doubleclick.net.10798.9029.302br.net
ad.doubleclick.net.10816.9029.302br.net
ad.doubleclick.net.1081.9009.302br.net
ad.doubleclick.net.10846.9029.302br.net
ad.doubleclick.net.1084.9009.302br.net
ad.doubleclick.net.10855.9029.302br.net
ad.doubleclick.net.1087.9009.302br.net
ad.doubleclick.net.10882.9029.302br.net
ad.doubleclick.net.10888.9029.302br.net
ad.doubleclick.net.10903.9029.302br.net
ad.doubleclick.net.10921.9029.302br.net
ad.doubleclick.net.1093.9009.302br.net
ad.doubleclick.net.10939.9029.302br.net
ad.doubleclick.net.1096.9009.302br.net
ad.doubleclick.net.1102.9009.302br.net
ad.doubleclick.net.1105.9009.302br.net
ad.doubleclick.net.1108.9009.302br.net
ad.doubleclick.net.1111.9009.302br.net
ad.doubleclick.net.1114.9009.302br.net
ad.doubleclick.net.1115.9009.302br.net
ad.doubleclick.net.1118.9009.302br.net
ad.doubleclick.net.1131.9009.302br.net
ad.doubleclick.net.1134.9009.302br.net
ad.doubleclick.net.11375.9033.302br.net
ad.doubleclick.net.11381.9033.302br.net
ad.doubleclick.net.11384.9033.302br.net
ad.doubleclick.net.11393.9033.302br.net
ad.doubleclick.net.11396.9033.302br.net
ad.doubleclick.net.11545.9033.302br.net
ad.doubleclick.net.11551.9033.302br.net
ad.doubleclick.net.11557.9033.302br.net
ad.doubleclick.net.11567.9033.302br.net
ad.doubleclick.net.11568.9033.302br.net
ad.doubleclick.net.11569.9033.302br.net
ad.doubleclick.net.11572.9033.302br.net
ad.doubleclick.net.1164.9009.302br.net
ad.doubleclick.net.1165.9009.302br.net
ad.doubleclick.net.11704.9033.302br.net
ad.doubleclick.net.11719.9033.302br.net
ad.doubleclick.net.11770.9034.302br.net
ad.doubleclick.net.11773.9034.302br.net
ad.doubleclick.net.11774.9034.302br.net
ad.doubleclick.net.11776.9034.302br.net
ad.doubleclick.net.11779.9034.302br.net
ad.doubleclick.net.11780.9034.302br.net
ad.doubleclick.net.11785.9034.302br.net
ad.doubleclick.net.11786.9034.302br.net
ad.doubleclick.net.11788.9034.302br.net
ad.doubleclick.net.11789.9034.302br.net
ad.doubleclick.net.11791.9034.302br.net
ad.doubleclick.net.11792.9034.302br.net
ad.doubleclick.net.11797.9034.302br.net
ad.doubleclick.net.11798.9034.302br.net
ad.doubleclick.net.11800.9034.302br.net
ad.doubleclick.net.11801.9034.302br.net
ad.doubleclick.net.11803.9034.302br.net
ad.doubleclick.net.11804.9034.302br.net
ad.doubleclick.net.11806.9034.302br.net
ad.doubleclick.net.11807.9034.302br.net
ad.doubleclick.net.11812.9034.302br.net
ad.doubleclick.net.11813.9034.302br.net
ad.doubleclick.net.11821.9034.302br.net
ad.doubleclick.net.11822.9034.302br.net
ad.doubleclick.net.11823.9034.302br.net
....


[beer]

Jeden ukázkový blokovací soubor (pouze s blokováním na ipv4)

https://goo.gl/3yhOM9

[Filip Jirsák]

i generovaných domén je omezený počet

Ano, jedna část doménového jména může mít až 63 znaků, začíná písmenem, pokračují písmena (26 znaků), číslice a pomlčka, na konci může být písmeno nebo číslice (36 znaků). To je jenom 10⁹⁸ možností. Když bude blokovaný hodný a generovat bude jenom jednu část, tedy třeba jen doménu 3. řádu. Jen co budou na trhu yottabajtové disky, pár jich kupte a můžete to blokování realizovat.

[beer]

i generovaných domén je omezený počet

Ano, jedna část doménového jména může mít až 63 znaků, začíná písmenem, pokračují písmena (26 znaků), číslice a pomlčka, na konci může být písmeno nebo číslice (36 znaků). To je jenom 10⁹⁸ možností. Když bude blokovaný hodný a generovat bude jenom jednu část, tedy třeba jen doménu 3. řádu. Jen co budou na trhu yottabajtové disky, pár jich kupte a můžete to blokování realizovat.

Zatím má můj /etc/hosts cca 4 MB, tak to nebude v realitě zas až tak horké.

[lojza]

mimochodem ten flashxp sel obejit jen tak ze jsem si zjistil ktera to je IP adresa a udelal toto:

route -p add 96.30.5.209 mask 255.255.255.255 127.0.0.1

predpokladam spravne ze ani routovaci tabulka ale neni vsespasitelna a programy to umi obejit ?

[hawran diskuse]

...
Zatím má můj /etc/hosts cca 4 MB, tak to nebude v realitě zas až tak horké.

Tak, tak, čím větší, tím lepší!

[beer]

...
Zatím má můj /etc/hosts cca 4 MB, tak to nebude v realitě zas až tak horké.

Tak, tak, čím větší, tím lepší!

To bych neřekl, ale systém to zvládá v pohodě a stránky se načítají rychleji, nežli bez toho, takže bych řekl, že ta velikost není na závadu. Záznamy jsou tam unikátní a seřazené. Nicméně jsou na blocklistu i záznamy, které když je blocklist vypnutý, neodpovídají na ping a normálně se nenačtou, nebudou třeba již potřeba, možná je proberu - ty, které odpoví na ping, tak ty tam nechám a ty, které neodpoví, vymažu. Velikost by se mohla tím snížit. Akorát že může dojít k tomu, že ta blockovaná doména může být živá a na ping neodpovídá schválně.

[pavlix]

To silně pochybuju, že by kdokoliv soudný nepoužíval standardní resolver, ale přitom nějak proprietárně zpracovával /etc/hosts, který je jedním z konfiguračních souborů pro tento resolver.

Díky. Hrabu se v sítích a resolvingu denně a potřebuju se taky někdy pořádně zasmát. Myslím, že by nebyl problém z hlavy vyjmenovat desítku běžně dostupných balíků, které obsahují software, který samostatně čte (a prasuje) /etc/hosts. Kromě toho, že to dělá většina DNS knihoven (k DNS navíc podporují hosts), dělá to i jeden z mých vlastních projektů a dokonce lépe než glibc, kde je parser /etc/hosts docela omezený a (nejspíš stále ještě) zabugovaný.

Takže věc se má tak, že /etc/hosts čte opravdu kde kdo, stejně jako kde kdo čte /etc/resolv.conf, snad jen ten nsswitch.conf je specifický pro glibc resolver, ale i ten budu asi brzo ve svém projektu parsovat.

https://github.com/pavlix/netresolve