Forum » Omrežja in internet » Dve domeni z istim IPjem
Dve domeni z istim IPjem
Aleks Nafi ::
Domeni bitchute.com in bigpornlist.com imata iste IPje:
Če domeni vpišeš v brskalnik, pa se prikažeta različni strani. Kako je to mogoče?
>nslookup bitchute.com Server: xxx Address: xxx Non-authoritative answer: Name: bitchute.com Addresses: 2606:4700:20::6818:1757 2606:4700:20::6818:1657 104.24.23.87 104.24.22.87 >nslookup bigpornlist.com Server: xxx Address: xxx Non-authoritative answer: Name: bigpornlist.com Addresses: 104.24.23.87 104.24.22.87
Če domeni vpišeš v brskalnik, pa se prikažeta različni strani. Kako je to mogoče?
- spremenilo: Aleks Nafi ()
Invictus ::
Zato ker se gre samo za ime...
Nauči se kaj je IP naslov in kaj DNS...
Nauči se kaj je IP naslov in kaj DNS...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
garamond ::
Kaj se zgodi, ko v brskalnik vpišeš naslov spletne strani:
1. brskalnik pridobi IP naslov strežnika iz naslova spletne strani - to informacijo da DNS
2. brskalnik se poveže s pridobljenih IP-jem strežnika in zahteva dotično spletno stran
Kaj pa, če v brskalnik neposredno vpišeš IP naslov? Večinoma bo javilo napako - če je na enem strežniku z enim IP naslovom dostopnih več spletnih strani, strežnik ne bo vedel katero si želel obiskati.
1. brskalnik pridobi IP naslov strežnika iz naslova spletne strani - to informacijo da DNS
2. brskalnik se poveže s pridobljenih IP-jem strežnika in zahteva dotično spletno stran
Kaj pa, če v brskalnik neposredno vpišeš IP naslov? Večinoma bo javilo napako - če je na enem strežniku z enim IP naslovom dostopnih več spletnih strani, strežnik ne bo vedel katero si želel obiskati.
A parody of extremism is impossible to differentiate from sincere extremism.
Aleks Nafi ::
Saul Goodman ::
temu se reče vhost oz virtualen host. en IP = strežnik ima lahko veliko vhostov (virtualnih hostov) = različnih domen.
ko vpišeš domeno pošlješ request strežniku in ta sam ugotovi, na kater vhost te mora preusmerit (tisti, ki gosti stran te iste domene). IP lahko analiziraš dalje. če stran gosti pri kakšnem shared hosting ponudniku, boš našel še ogromno drugih domen, ki gostijo na tem istem strežniku.
edit: v tvojem primeru je IP v lasti cloudflare. to pa je CDN provider, ki ga lahko uporabiš tudi sam. v tem primeru se lahko zgodi, da bi tudi tvoja spletna stran občasno imela isti IP. ker cloudflare vse strani "preslika" k sebi in jih naprej ponuja preko svojih CDN strežnikov (deluje kot nekakšen proxy). cloudflare druge strani uporabljajo predvsem kot content distributorja (tvoja stran je na slovenskem strežniku, obiskovalca imaš iz japonske, zato cloudflare servira kopijo tvoje strani iz njihovega japonskega strežnika = stran se mu hitreje naloži) ali DDos protekcijo, saj imajo dovolj široke pipe, da lahko z lahkoto požrejo take napade.
ko vpišeš domeno pošlješ request strežniku in ta sam ugotovi, na kater vhost te mora preusmerit (tisti, ki gosti stran te iste domene). IP lahko analiziraš dalje. če stran gosti pri kakšnem shared hosting ponudniku, boš našel še ogromno drugih domen, ki gostijo na tem istem strežniku.
edit: v tvojem primeru je IP v lasti cloudflare. to pa je CDN provider, ki ga lahko uporabiš tudi sam. v tem primeru se lahko zgodi, da bi tudi tvoja spletna stran občasno imela isti IP. ker cloudflare vse strani "preslika" k sebi in jih naprej ponuja preko svojih CDN strežnikov (deluje kot nekakšen proxy). cloudflare druge strani uporabljajo predvsem kot content distributorja (tvoja stran je na slovenskem strežniku, obiskovalca imaš iz japonske, zato cloudflare servira kopijo tvoje strani iz njihovega japonskega strežnika = stran se mu hitreje naloži) ali DDos protekcijo, saj imajo dovolj široke pipe, da lahko z lahkoto požrejo take napade.
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
c3p0 ::
Aleks Nafi je izjavil:
Hvala! Se da to kako sfiltrirati?
Ne vem kaj točno bi filtriral oz. kaj je namen. Prijetno večerno branje je RFC, ki definira HTTP/1.1:
https://tools.ietf.org/html/rfc2616
SeMiNeSanja ::
Verjetno OP gleda kam mu hodijo uporabniki... pa je naletel na primer, ko je na istem IP naslovu gostujeta tako 'sprejemljiva', kot tudi 'nesprejemljiva' stran.
Vsekakor bi bilo dobro, da bi bolj podrobno razložil svojo željo po 'filtriranju'.
Vse se da nekako filtrirat... najbolj banalno 'filtriraš', da zmanipuliraš DNS server oz. hosts datoteko, da se neželeni naslov ne resolva. Pod 'manipulacijo DNS serverja spadajo tudi storitve kot OpenDNS, Cisco Umbrella, Strongarm, DNSWatchGo,....
Ta način je razmeroma omejen razmeroma enostavno se ga tudi zaobide, če veš na kakšen način se te 'blokira'. Bolj uporaben je za tiste, ki se želijo zaščititi (ti se ne bodo trudili zaobiti zadevo), ne pa toliko za tiste, ki želijo nekomu vsiliti neka pravila, kaj sme brskati.
Za resnejše (tudi vsiljeno) filtriranje pa se uporablja požarne pregrade, katere (odvisno od proizvajalca) na različne načine blokirajo neželene vsebine, med drugim tudi preko kategorizacije spletišč (blokiraš kategorijo 'porn'...).
Če imaš trmaste uporabnike, ki poleg vsega obvladujejo še določene networking finte, lahko tako blokiranje hitro postane igra mačke z mišjo. Zato marsikdo reče, da to ni problem tehnologije, temveč problem za kadrovsko službo. Niso nujno vse rešitve tehnološke.
Vsekakor bi bilo dobro, da bi bolj podrobno razložil svojo željo po 'filtriranju'.
Vse se da nekako filtrirat... najbolj banalno 'filtriraš', da zmanipuliraš DNS server oz. hosts datoteko, da se neželeni naslov ne resolva. Pod 'manipulacijo DNS serverja spadajo tudi storitve kot OpenDNS, Cisco Umbrella, Strongarm, DNSWatchGo,....
Ta način je razmeroma omejen razmeroma enostavno se ga tudi zaobide, če veš na kakšen način se te 'blokira'. Bolj uporaben je za tiste, ki se želijo zaščititi (ti se ne bodo trudili zaobiti zadevo), ne pa toliko za tiste, ki želijo nekomu vsiliti neka pravila, kaj sme brskati.
Za resnejše (tudi vsiljeno) filtriranje pa se uporablja požarne pregrade, katere (odvisno od proizvajalca) na različne načine blokirajo neželene vsebine, med drugim tudi preko kategorizacije spletišč (blokiraš kategorijo 'porn'...).
Če imaš trmaste uporabnike, ki poleg vsega obvladujejo še določene networking finte, lahko tako blokiranje hitro postane igra mačke z mišjo. Zato marsikdo reče, da to ni problem tehnologije, temveč problem za kadrovsko službo. Niso nujno vse rešitve tehnološke.
bbbbbb2015 ::
Aleks Nafi je izjavil:
Zakaj se prikažeta dve različni strani, če se resolvata na isti strežnik (IP)?
Ker sta na oni strani dva različna virtualna strežnika, ločena po *imenih* (na istem IPju).
V HTTP requestu je zapisano ime, na kateri strežnik zahteva leti in potem http server, na katerega je zahteva naslovljena, zahtevo obdela.
680x0 ::
Obe domeni kažeta na ponudnika CloudFlare, tako kot še nekaj milijonov drugih domen, tako da filtriranje IP naslova tule ne bo prava rešitev.
S preprosto požarno pregrado tule ne bo šlo, potrebuješ napredno požarno pregrado, ki filtrira neposredno HTTP/S promet na podlagi domene, odvisno od ponudnika se tej funkciji reče web filtering, content filtering, domain filtering, web application firewall, ...
Napiši katero opremo imaš na voljo.
S preprosto požarno pregrado tule ne bo šlo, potrebuješ napredno požarno pregrado, ki filtrira neposredno HTTP/S promet na podlagi domene, odvisno od ponudnika se tej funkciji reče web filtering, content filtering, domain filtering, web application firewall, ...
Napiši katero opremo imaš na voljo.
Aleks Nafi ::
Iskreno povedano, filtriral bi rad sam sebe.
V principu gre torej za laptop, Win 7 in firewall, ki zna blokirat IPje, filtrirati DNS/HTTPS pa ne. Geslo od firewalla, ki ima tudi uninstall protekcijo ipd. imam shranjeno na drugi fizični lokaciji.
OpenDNS in podobno ne pride v poštev, ker nočem zbiranja vseh mojih DNS zahtevkov pri enem podjetju.
Idealno bi bilo, da bi lahko ohranil administratorsko geslo od windowsov (torej ne downgrade na user/power user nivo). Obstaja še kakšna druga možnost od manipulacije hosts datoteke?
V principu gre torej za laptop, Win 7 in firewall, ki zna blokirat IPje, filtrirati DNS/HTTPS pa ne. Geslo od firewalla, ki ima tudi uninstall protekcijo ipd. imam shranjeno na drugi fizični lokaciji.
OpenDNS in podobno ne pride v poštev, ker nočem zbiranja vseh mojih DNS zahtevkov pri enem podjetju.
Idealno bi bilo, da bi lahko ohranil administratorsko geslo od windowsov (torej ne downgrade na user/power user nivo). Obstaja še kakšna druga možnost od manipulacije hosts datoteke?
SeMiNeSanja ::
Obstaja več variant... samo vprašanje je, katera zate pride v poštev, ker ne vemo, kaj imaš na razpolago za barantanje.
Najbolj preprosta varianta je vzpostavitev tzv. "DNS Sinkhole". Na Googlu najdeš cel kup linkov, kako vzpostaviti DNS Sinkhole/Blackhole, če imaš Windows server z DNS.
V bistvu lahko uporabiš katerikoli DNS strežnik. Pravzaprav me preseneča, da med zadetki prevladujejo Windows DNS napotki, ker bi kakšen Linux te zadeve zelo lepo urejal, pa nekako bolj 'priročen' je, saj ima le redko kdo doma Windows server.
Ko enkrat razumeš za kaj se gre, je zadevo dokaj preprosto postaviti.
Druga opcija... Web proxy server, npr. Squid. V tem primeru namesto DNS zahtevkov filtriraš HTTP in HTTPS zahtevke. Lahko pa se zatika pri HTTPS... Pa dejansko deluje samo za http/https, ne pa tudi za vse ostale protokole/porte.
Tretja opcija... postaviš malo bolj 'pametno' požarno pregrado. To je pa že lahko vprašanje financ. 'Pamet' se tu plačuje...
Najbolj preprosta varianta je vzpostavitev tzv. "DNS Sinkhole". Na Googlu najdeš cel kup linkov, kako vzpostaviti DNS Sinkhole/Blackhole, če imaš Windows server z DNS.
V bistvu lahko uporabiš katerikoli DNS strežnik. Pravzaprav me preseneča, da med zadetki prevladujejo Windows DNS napotki, ker bi kakšen Linux te zadeve zelo lepo urejal, pa nekako bolj 'priročen' je, saj ima le redko kdo doma Windows server.
Ko enkrat razumeš za kaj se gre, je zadevo dokaj preprosto postaviti.
Druga opcija... Web proxy server, npr. Squid. V tem primeru namesto DNS zahtevkov filtriraš HTTP in HTTPS zahtevke. Lahko pa se zatika pri HTTPS... Pa dejansko deluje samo za http/https, ne pa tudi za vse ostale protokole/porte.
Tretja opcija... postaviš malo bolj 'pametno' požarno pregrado. To je pa že lahko vprašanje financ. 'Pamet' se tu plačuje...
d3m1g0d ::
Jaz imam to narejeno v malem merilu doma.
Tudi jaz imam dve domeni, ki resolvata na isti IP. Vse HTTP in HTTPS povezave iz mojega routerja priletijo preko NATa na reverse proxy strežnik, ki filtrira HTTP requeste glede na URL. Poenostavljeno - ve, kaj je napisano v okence na brskalniku. Potem pa posreduje dvema različnima strežnikoma glede na pravila, ki jih določim.
HTTPS povezava je samo od klienta do proxyja, kar pomeni, da lahko uporabljam isti certifikat za dve strani, hkrati pa mi povezava v LAN-u poteka hitreje, ker gre prek hitrejšega HTTP-ja. Nekateri temu pravijo SSL acceleration.
Delam pa to s pomočjo relayd serverja na OpenBSD-ju. Je zelo močno orodje za postavljanje load balancerjev, proxyjev, itd. Tudi njegov firewall, pf, na katerem temelji malo bolj znan PFsense, je izredno zmogljiv in precej enostaven za postavit, če znaš z linux oz. *nix okolji.
Tudi jaz imam dve domeni, ki resolvata na isti IP. Vse HTTP in HTTPS povezave iz mojega routerja priletijo preko NATa na reverse proxy strežnik, ki filtrira HTTP requeste glede na URL. Poenostavljeno - ve, kaj je napisano v okence na brskalniku. Potem pa posreduje dvema različnima strežnikoma glede na pravila, ki jih določim.
HTTPS povezava je samo od klienta do proxyja, kar pomeni, da lahko uporabljam isti certifikat za dve strani, hkrati pa mi povezava v LAN-u poteka hitreje, ker gre prek hitrejšega HTTP-ja. Nekateri temu pravijo SSL acceleration.
Delam pa to s pomočjo relayd serverja na OpenBSD-ju. Je zelo močno orodje za postavljanje load balancerjev, proxyjev, itd. Tudi njegov firewall, pf, na katerem temelji malo bolj znan PFsense, je izredno zmogljiv in precej enostaven za postavit, če znaš z linux oz. *nix okolji.
Gott ist tot! Gott bleibt tot! Und wir haben ihn getötet!
Poldi112 ::
SSL acceleration je, če imaš ločeno fizično kartico, ki ti vzpostavlja sejo. To kar ti delaš je zgolj, da terminiraš ssl na reverse proxy-ju.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
To je nekako ok za regularni http/s promet, če imaš pošlihtano da dela kot mora (https ima veliko pasti, kjer lahko slabe implementacije proxijev podrejo varnost, ki naj bi jo nudil https). Tudi v tvojem primeru mi ni čisto jasno, če sem te prav razumel - do proxija gre promet po http? To mi nebi bilo všeč niti za doma, za kakšno poslovno mrežo pa je to čisti no-go. Brskalnik ti mora pokazati zeleno ključavnico, če si na legitimni strani s pravimi certifikati. Karkoli drugega bi bilo kot vožnja po regionalki z zavezanimi očmi.
Problem je tudi, ker je to explicitni proxy - torej moraš brskalniku eksplicitno zaukazati, da mora preusmeriti zahteve na proxy server. To lepo deluje za 'pridni' software... problem pa je lahko kakšen malware, ki se požvižga na proxy nastavitve v brskalniku. Deloma to lahko rešiš tako, da na požarni pregradi omejiš http/s zahteve, da smejo prihajati izključno s proxy strežnika, vse ostale pa droppaš.
Toda promet ni samo http/s. Sploh rizični promet zna iti tudi po kakšnih drugih portih in protokolih. Zato ni čisto nepomembno, če lahko tudi DNS zahteve filtriramo, tako da znane problematične fqdn naslove preusmerimo čisto nekam drugam (npr. na localhost ali 0.0.0.0).
Te zadeve se da nanesti skupaj in spentljat, da tudi periodično pobirajo podatke z znanih blacklist, vendar zna biti vzdrževanje precej zahtevno. Za ljubiteljsko rabo in učenje ok... Za produkcijo / poslovno rabo, pa se nebi šel tega. Imaš rešitve, ki imajo vse to in še veliko tega integrirano in te letno ne stanejo nič bistveno več, kot če nekomu plačuješ, da vse proxije, DNS sinkhole in pfSense redno vzdržuje na profesionalnem nivoju.
Problem je tudi, ker je to explicitni proxy - torej moraš brskalniku eksplicitno zaukazati, da mora preusmeriti zahteve na proxy server. To lepo deluje za 'pridni' software... problem pa je lahko kakšen malware, ki se požvižga na proxy nastavitve v brskalniku. Deloma to lahko rešiš tako, da na požarni pregradi omejiš http/s zahteve, da smejo prihajati izključno s proxy strežnika, vse ostale pa droppaš.
Toda promet ni samo http/s. Sploh rizični promet zna iti tudi po kakšnih drugih portih in protokolih. Zato ni čisto nepomembno, če lahko tudi DNS zahteve filtriramo, tako da znane problematične fqdn naslove preusmerimo čisto nekam drugam (npr. na localhost ali 0.0.0.0).
Te zadeve se da nanesti skupaj in spentljat, da tudi periodično pobirajo podatke z znanih blacklist, vendar zna biti vzdrževanje precej zahtevno. Za ljubiteljsko rabo in učenje ok... Za produkcijo / poslovno rabo, pa se nebi šel tega. Imaš rešitve, ki imajo vse to in še veliko tega integrirano in te letno ne stanejo nič bistveno več, kot če nekomu plačuješ, da vse proxije, DNS sinkhole in pfSense redno vzdržuje na profesionalnem nivoju.
Poldi112 ::
On govori o serverju za reverse proxy-jem, ne o proxy-ju pred clienti. Standardna zadeva, ko imaš SSL med clientom in reverse proxy-jem, ki nato po http komunicira z dejanskim web serverjem.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
On govori o serverju za reverse proxy-jem, ne o proxy-ju pred clienti. Standardna zadeva, ko imaš SSL med clientom in reverse proxy-jem, ki nato po http komunicira z dejanskim web serverjem.
Ups.. to je druga stvar... bolj odgovor na poste z začetka teme.
Sem ga razumel, da ima postavljen kot proxy za 'odhodni' promet, ne pa za 'dohodnega'. Druga zgodba, ki nima veze z zadnjimi posti v temi.
c3p0 ::
Te zadeve se da nanesti skupaj in spentljat, da tudi periodično pobirajo podatke z znanih blacklist, vendar zna biti vzdrževanje precej zahtevno. Za ljubiteljsko rabo in učenje ok... Za produkcijo / poslovno rabo, pa se nebi šel tega. Imaš rešitve, ki imajo vse to in še veliko tega integrirano in te letno ne stanejo nič bistveno več, kot če nekomu plačuješ, da vse proxije, DNS sinkhole in pfSense redno vzdržuje na profesionalnem nivoju.
Dobro, tudi nekateri cenejši routerji znajo to sami osveževat preko skripte.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Firefox dobiva privzeto vključen "DNS over HTTPS" (strani: 1 2 )Oddelek: Novice / Brskalniki | 20346 (17539) | c3p0 |
» | En IP dva serverja in 2 domeniOddelek: Omrežja in internet | 1911 (1651) | neooo |
» | Težave z DNS strežnikomOddelek: Omrežja in internet | 4602 (3794) | Bakunin |
» | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 15809 (14753) | SeMiNeSanja |
» | Postavitev strežnika in lokalnega omrežjaOddelek: Omrežja in internet | 1771 (1488) | NoName |