作者 主題: [分享]Squid : Block Spyware with DNS  (閱讀 4220 次)

0 會員 與 1 訪客 正在閱讀本文。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
[分享]Squid : Block Spyware with DNS
« 於: 2006-11-25 16:23 »
Squid 去 block spyware 除了用 squidGuard 之外
還可以用什麼方法?

找到一篇用 DNS 來阻斷的方法
原理很簡單 把 spyware 的 domain 加到 DNS Server
只要有人 query 就直接回 127.0.0.1
IT 就不用每台去加 /etc/hosts 了
作者還貼心提供 update script - update.sh 更新

Malware Prevention through black-hole DNS
http://www.bleedingsnort.com/blackhole-dns

ref: http://actychen.blogspot.com/2006/11/block-spyware-with-dns.html
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

apage

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
Re: [分享]Squid : Block Spyware with DNS
« 回覆 #1 於: 2006-11-27 08:43 »
引述: "acty"
Squid 去 block spyware 除了用 squidGuard 之外
還可以用什麼方法?

找到一篇用 DNS 來阻斷的方法
原理很簡單 把 spyware 的 domain 加到 DNS Server
只要有人 query 就直接回 127.0.0.1
IT 就不用每台去加 /etc/hosts 了
作者還貼心提供 update script - update.sh 更新

Malware Prevention through black-hole DNS
http://www.bleedingsnort.com/blackhole-dns

ref: http://actychen.blogspot.com/2006/11/block-spyware-with-dns.html

使用之後,/var/log/message 不斷出現以下類似訊息狂洗:
引用

Nov 27 01:55:55 dns named[25460]: zone pukkasearch.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone puntodefuga.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone py0.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone q8cross.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone qfind.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone qksrv.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone qksz.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone qsrch.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone questions-reponses.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone quickcrawl.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone quickreplies.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone ramrod.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone ranafrog.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone rape-picture.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone rape-portal.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone rape-video.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone rapepic.net/IN: loaded serial 1
Nov 27 01:55:55 dns named[25460]: zone rapidpass.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone rareporn.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone razespyware.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone get.razespyware.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone support.razespyware.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone razvrat.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone re-direct-ss01.net/IN: loaded serial 1
Nov 27 01:55:56 dns named[25460]: zone reachsearch.net/IN: loaded serial 1


用 top 指令觀看,發現 iowait 99% = =
當下立刻停止...懷疑是 Server 太舊..硬碟快掛了=.=
目前想換另一台新點的 Server 作看看會不會有相似反應...
我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena

apage

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
[分享]Squid : Block Spyware with DNS
« 回覆 #2 於: 2006-11-27 10:30 »
換 Server 後,有大約20%~70% 的佔用時間,但大約30秒後就停止,所以一開始 iowait 的情形應該是讀取那些 domain 所佔用的,
因為那些 domain 數量很多,所以太舊的機器可能會比較慢吧...
(後來讓它跑完,大概快10分鐘,P3 866的機器)
我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena

apage

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
[分享]Squid : Block Spyware with DNS
« 回覆 #3 於: 2006-11-28 13:17 »
試用報告,效果明顯非常不錯,目前只剩下 smtp talk 類型廣告無法防,
其他廣告幾乎都甚少見到了!
我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
[分享]Squid : Block Spyware with DNS
« 回覆 #4 於: 2006-11-28 15:20 »
引述: "apage"
試用報告,效果明顯非常不錯,目前只剩下 smtp talk 類型廣告無法防,
其他廣告幾乎都甚少見到了!




請教一下 smtp talk 是什麼??
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

apage

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
[分享]Squid : Block Spyware with DNS
« 回覆 #5 於: 2006-11-29 14:18 »
引述: "acty"
引述: "apage"
試用報告,效果明顯非常不錯,目前只剩下 smtp talk 類型廣告無法防,
其他廣告幾乎都甚少見到了!




請教一下 smtp talk 是什麼??


http://phorum.study-area.org/viewtopic.php?t=43059

就是這串囉!
我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena