前几天去朋友的公司玩,在走过工作区的时候,瞟见了一大姐在浏览色情网站。当即立断和朋友说了这个问题。
都是“资本家”并不愿意花钱请人来自己的公司摸鱼,也绝对厌恶出现在工作场所上色情网站这种不体面的事情。
那么如何杜绝呢?
这件事,要从早早年间说起,在很早之前web服务器是有分级内容选项的,在一个web服务商在建立一个站点的时候,会设置一下http头的标头信息。
在这里面就有内容分级的设置。
可以通过将http头的标项rating内容设置为“adult”,或者“
RTA-5042-1996-1400-1577-RTA”来告知浏览器这是一个成人网站,浏览器在载入网站的时候会检测一下rating标头决定是不是对这个网站的内容依据用户的设置显示出来。
当然了,对应的浏览器上也有对于内容审查的设置项目。
这个对应项目就是针对于网站的分级来做的客户端限制。
一般的来说,正经的色情网站在都会在自己的http标头中给出这项设置,大大方方的告诉大家自己是一个色情网站。例如:
但是你也知道,人嘛……总有一些网站担心这种方式会抵消自己的用户流量,而并不去设置这个标签。导致很多人会误入到色情网站中。当然了也有一些利益熏心的人也会故意把这些标签取消掉。
所以目前的情况是在很多浏览器上,内容分级都成了聋子的耳朵——摆设一般。甚至已经有一些浏览器自己也主动的舍弃掉了内容分级的设置功能。
怎么办?
其实我们是可以利用一些服务商提供的安全DNS系统将色情网站阻挡在网络系统之外的。
例如Norton DNS,这是提供了一定程度安全性的免费公共 DNS ,一共提供三项安全策略:
A — 安全(病毒、钓鱼网站和诈骗网站):199.85.126.10
B — 安全 + 色情:199.85.126.20
C — 安全 + 色情 + 其他:199.85.126.30
如果我们需要防范色情网站的话,采用方案B在公司内部署就可以了。
说下方法:
在公司路由器的DHCP服务选项中,将所有客户机的DNS服务器地址设置为199.85.126.20
这时候通过公司内网络上网的设备DNS服务器的地址就会被更新为方案B的199.85.126.20。
当用户试图进入色情网站的时候。
色情网站的网址就会被安全DNS的规则所阻止。
从而在浏览器中显示无法打开。
当然了,这时候会有一些大聪明觉得,你不就是改了一下DHCP分配的DNS地址吗?洒家改其他可以用的不行吗?
好了,我们来说说DNS劫持?
通常的情况下,对企业内部的局域网进行DNS分配的时候我们都会采用两个策略,第一是有一个很明显的DNS地址,这个地址也就是DHCP服务器给大家分配的地址。
但是,还会制定一个DNS劫持策略,让在这个局域网内的所有DNS请求都转发到我们希望的DNS服务器上。
怎么做?
以MikroTik router OS系统为例:
进入Router OS的IP防火墙NAT设置,在其中增加两个项目:
很简单写,
将chain设置为dstnat,src.Address(源地址)设置为自己的局域网网段。这个例子是192.168.0.0/24,也就是整个192.168.0的局域网。协议Protocol,设置为TCP,目标端口 Dst Port设置为53。
这样就选出了在局域网上需要访问DNS服务器的所有数据包。
然后在动作选项中设置为dst-nat,将数据包进行劫持,转发到地址 199.95.126.20的53端口上。
由于DNS可以走TCP协议和UDP协议,因此再做一条和UDP相关的设置,其实也就是在协议的部分将TCP改写成UDP
设置完成这两个项目,在局域网内的DNS数据就全部被劫持。无论是客户机设置的DNS是什么地址,最终都会被这两条设置转发到诺顿的安全DNS服务器上进行解析。
这时候,无论大聪明们怎么折腾,在这样设置的局域网内访问色情网站的事情就被完全杜绝了。
经过这件事,你学到了点什么吗?