lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: anbei die gewünschten Ausgaben. Wenn ich in den Taskmanager (Systemüberwachung) schaue, wird dnsmasq immer noch mit der Option --listen-adress=127.0.1.1 gestartet (wohl vom networkmanager wenn man wlan startet). Denke, solange man in den Einstellungen des Netzwerkmanagers 'Netzwerkverbindungen=>Funknetzwerk=>Ipv4 Einstellungen=>Automatisch(DHCP)' eingestellt hat, wird immer mit den selben Voreinstellungen gestartet. In den früheren Versionen (Ub1204 zum Beispiel) startet dnsmasq jedenfalls immer mit --listen-adress=127.0.0.1. Vielleicht wurde das geändert, um spoofen (man in the middle Attacken) zu erschweren/unmöglich zu machen?? Habe da nicht so den Durchblick, aber seltsam sieht das schon aus.
Nein, das sieht gut aus. Wenn Du dir deinen Beitrag vom 26. Januar 2015 19:36 Uhr anschaust (netstat), dann wirst Du sehen, dass der dnsmasq auch auf der IP-Adresse 127.0.0.1 lauscht. Joule schrieb: Ausgaben nach Entfernen des 2ten Eintrages in /etc/resolvconf/resolv.conf.d/head und Neustart des wlan Netzes (dnsmasq wird dann vom networkmanager neu gestartet).
§
cat /etc/resolvconf/resolv.conf.d/head
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1nn@FujAH530:~$
§
cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1nameserver 127.0.1.1
nn@FujAH530:~$ dig +short twitter.com
dig: parse of /etc/resolv.conf failed => REMjoule: jetzt geht gar nichts mehr, aber immerhin eine Reaktion.
Seltsam ist die Ausgabe von: "cat /etc/resolv.conf", weil Du evtl. in der "/etc/resolvconf/resolv.conf.d/head" keinen Zeilenumbruch gemacht hast oder was weiß ich, welchen Editor Du wie benutzt hast.
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Tag lubux, das ist der Inhalt von /etc/resolvconf/resolv.conf.d/head, jetzt mit Zeilenumbruch am Schluß, editiert von einem 2ten System aus.
Inhalt von /etc/resolvconf/resolv.conf.d/head, jetzt mit Zeilenumbruch am Schluß, editiert von einem 2ten System aus:
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1
$
Und noch mal per cat aus dem gestarteten Xub1404:
nn@FujAH530:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1
nach Start von wlan in xub1404 sieht es dann so aus:
nn@FujAH530:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1
nameserver 127.0.1.1
nn@FujAH530:~$ dig +short twitter.com REMjoule: spooft nicht.
199.16.156.6
199.16.156.198
199.16.156.230
199.16.156.38
Jetzt sind 2 Umbrüche da, der parse Fehler ist weg, dafür wird twitter.com wieder aufgelöst? / joule
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: nn@FujAH530:~$ dig +short twitter.com REMjoule: spooft nicht.
199.16.156.6
199.16.156.198
199.16.156.230
199.16.156.38 }}}
..., dafür wird twitter.com wieder aufgelöst? / joule
Wie sind die Ausgaben von:
nslookup twitter.com
nslookup twitter.com 8.8.8.8
sudo tcpdump -vvveni any host 127.0.1.1 and port 53
?
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Hier die neuen Ausgaben:
nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: twitter.com
Address: 199.16.156.198
Name: twitter.com
Address: 199.16.156.230
Name: twitter.com
Address: 199.16.156.38
Name: twitter.com
Address: 199.16.156.102
nn@FujAH530:~$ nslookup twitter.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: twitter.com
Address: 199.16.156.38
Name: twitter.com
Address: 199.16.156.70
Name: twitter.com
Address: 199.16.156.6
Name: twitter.com
Address: 199.16.156.230
nn@FujAH530:~$ sudo tcpdump -vvveni any host 127.0.1.1 and port 53
[sudo] password for nn:
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
stehender Cursor => öffnet man jetzt den Firefox, passiert nichts
nach Beendigung durch Str+C:
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel
nn@FujAH530:~$
Ganz nebenbei,wenn ich in //ubuntuforums.org/showthread.php?t=2218655&s=1f1deac815b009ca53930709aed196ec&highlight=How+can+i+get+dnsmasq+working+in+14.04%3F und //www.stgraber.org/2012/02/24/dns-in-ubuntu-12-04/ reinlese, könnte es sein, daß wir da was versuchen das gar nicht geht? Da steht sinngemäß drin, daß seit Ub12.04 das Verhalten von Netzwerkmanager und dnsmasq 'harcoded' ist, also so nicht konfigurierbar und uns das bisher mit dnsspoof nicht aufgefallen ist, weil in Ub1204 die dnsmasq Startoption --listen-adress=127.0.0.1 eingesetzt wird? Ich kann das aber nicht wirklich beurteilen, spekulier nur mal laut mit. / joule
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Hallo lubux, für die Links habe ich wohl die falsche Sytax benutzt, mußt Du mit Copy/Paste aufrufen. / joule
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: Hier die neuen Ausgaben:
nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: twitter.com
Address: 199.16.156.198
Name: twitter.com
Address: 199.16.156.230
Name: twitter.com
Address: 199.16.156.38
Name: twitter.com
Address: 199.16.156.102
Evtl. war hier der dns-cache noch nicht richtig gelöscht. Versuch mal:
sudo killall dnsspoof
sudo sh -x /etc/init.d/dns-clean restart
sudo sh -x /etc/init.d/nscd restart
sudo kill -s USR1 $(pidof dnsmasq)
sudo nohup /usr/sbin/dnsspoof -i lo -f /etc/hostsfile 'dst port 53' &
sudo nohup /usr/sbin/dnsspoof -i wlan0 -f /etc/hostsfile 'dst port 53' &
ps -fC dnsspoof
nslookup twitter.com EDIT: Es muss auch mit 14.04 und größer funktionieren. Auch wenn da was hardcodiert ist, dnsspoof macht man-in-the-middle und muss zwischen Client und lauschendem Port 53 agieren.
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Die neuen Ausgaben:
nn@FujAH530:~$ sudo killall dnsspoof
[sudo] password for nn:
nn@FujAH530:~$ sudo sh -x /etc/init.d/dns-clean restart
+ PATH=/sbin:/bin:/usr/sbin:/usr/bin
+ test -f /usr/sbin/pppconfig
+ mkdir /var/run/pppconfig
+ true
+ test -f /etc/ppp/ip-down.d/0dns-down
+ . /lib/lsb/init-functions
+ run-parts --lsbsysinit --list /lib/lsb/init-functions.d
+ [ -r /lib/lsb/init-functions.d/20-left-info-blocks ]
+ . /lib/lsb/init-functions.d/20-left-info-blocks
+ [ -r /lib/lsb/init-functions.d/50-ubuntu-logging ]
+ . /lib/lsb/init-functions.d/50-ubuntu-logging
+ LOG_DAEMON_MSG=
+ FANCYTTY=
+ [ -e /etc/lsb-base-logging.sh ]
+ true
+ . /etc/default/rcS
+ UTC=no
+ exit 0
nn@FujAH530:~$ sudo sh -x /etc/init.d/nscd restart
sh: 0: Can't open /etc/init.d/nscd
nn@FujAH530:~$ sudo kill 2199 REMjoule: das war dsnmasq
nn@FujAH530:~$ sudo nohup /usr/sbin/dnsspoof -i lo -f /etc/hostsfile 'dst port 53'
nohup: ignoriere Eingabe und hänge Ausgabe an »nohup.out“ an
^C
nn@FujAH530:~$ sudo nohup /usr/sbin/dnsspoof -i lo -f /etc/hostsfile 'dst por53' &
[1] 3820
nn@FujAH530:~$ sudo nohup /usr/sbin/dnsspoof -i wlan0 -f /etc/hostsfile 'dst port 53' &
[2] 3821
nn@FujAH530:~$ ps -fC dnsspoofnohup: nohup: ignoriere Eingabe und hänge Ausgabe an »nohup.out“ an
ignoriere Eingabe und hänge Ausgabe an »nohup.out“ an REMjoule: damit kann ich nicht umgehen, habe mit Str+C jeweils abgebrochen. Welche Ausgabe soll da wo dran gehängt werden?
^C
nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer: REMjoule: jetzt funktionierts, aber dsnmasq läuft nicht.
Name: twitter.com
Address: 193.169.13.13
Habe jetzt wlan aus-/eingeschaltet damit dsnmasq wieder startet.
nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer: REMjoule: mit dsnmasq wieder nicht?
Name: twitter.com
Address: 199.16.156.230
Name: twitter.com
Address: 199.16.156.6
Name: twitter.com
Address: 199.16.156.102
Name: twitter.com
Address: 199.16.156.38
Kann das nicht recht interpretieren / joule
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Nachtrag: in ~/nn war eine Datei nohup.out mit folgendem Inhalt:
Nachtrag: in ~/nn war eine Datei nohup.out mit folgendem Inhalt:
dnsspoof: listening on lo [dst port 53]
dnsspoof: listening on lo [dst port 53]
dnsspoof: listening on wlan0 [dst port 53]
127.0.0.1.41965 > 127.0.0.1.53: 14208+ A? twitter.com
/ joule
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer: REMjoule: jetzt funktionierts, aber dsnmasq läuft nicht.
Name: twitter.com
Address: 193.169.13.13
Wie hast Du festgestellt, dass dnsmasq nicht läuft? Welcher dns-Resolver lauscht denn dann auf 127.0.0.1 und Port 53 (siehe oben die gelb markierte Ausgabe von nslookup)?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: Nachtrag: in ~/nn war eine Datei nohup.out mit folgendem Inhalt:
dnsspoof: listening on lo [dst port 53]
dnsspoof: listening on lo [dst port 53]
dnsspoof: listening on wlan0 [dst port 53]
127.0.0.1.41965 > 127.0.0.1.53: 14208+ A? twitter.com
Maßgeblich sind nur die Ausgaben von:
ps -fC dnsspoof
sudo netstat -tulpen | grep -i :53
nslookup twitter.com
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Zuerst zu Deiner Frage von 19:30: habe ich selber gekillt und man kann das in der Systemüberwachung (Taskmanager in Xfce, alle Prozesse aktiviert) sehen. Steht ein REMjoule dabei in 19:06 und so hast Du es ja 18:03 angefordert. Ich habe dann um sicher zu sein wlan aus-/eingeschaltet, um mit dsnmasq zu prüfen.
Deine zweite Frage, wer da noch lauscht kann ich Dir leider nicht beantworten, da kenn' ich mich nicht wirklich aus. Ich nehme aber an dnsspoof, das hat ja 19:06 auch korrekt die umgebogene Adresse 193.169.13.13 zurückgegeben. Wenn ich die neuen Ausgaben (unten) ansehe (hatten wir ähnlich meine ich, weiter oben schon mal) wird ja auf den uns interessierenden Adressen (127.0.0.1:53 tcp und udp) durchaus gelauscht. Ich kann mir das bislang beobachtete Verhalten nur so erklären, daß dnsmasq den port 127.0.0.1:53 gar nicht wirklich offen hat, sondern nur 127.0.1.1:53. Und da dnsmasq vom networkmanager automatisch als lokaler nameserver gestartet wird, geht es nicht mit dnsmasq . Aber das mag die Logik eines Ahnungslosen sein, anders kann ich mir aber das Verhalten nicht erklären. Frage wäre: kann man das System ohne dsnmasq betreiben und einen anderen lokalen nameserver nutzen? Wenn ja , wie? Die neuen Ausgaben sind:
nn@FujAH530:~$ ps -fC dnsspoof
UID PID PPID C STIME TTY TIME CMD
root 3990 1 0 18:56 ? 00:00:00 /usr/sbin/dnsspoof -i wlan0 -f /
root 3991 1 0 18:56 ? 00:00:00 /usr/sbin/dnsspoof -i lo -f /etc
nn@FujAH530:~$ sudo netstat -tulpen | grep -i :53
[sudo] password for nn:
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 0 30934 3867/dnsmasq
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 0 30932 3867/dnsmasq
udp 0 0 127.0.1.1:53 0.0.0.0:* 0 30933 3867/dnsmasq
udp 0 0 127.0.0.1:53 0.0.0.0:* 0 30931 3867/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 111 8360 457/avahi-daemon: r
udp6 0 0 :::5353 :::* 111 8361 457/avahi-daemon: r
nn@FujAH530:~$ nslookup twitter.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: twitter.com
Address: 199.16.156.6
Name: twitter.com
Address: 199.16.156.70
Name: twitter.com
Address: 199.16.156.38
Name: twitter.com
Address: 199.16.156.230
/ joule
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Hallo lubux, habe da noch eine Anmerkung ergänzend zum letzten Beitrag: Kann man dnsspoof veranlassen auf 127.0.1.1:53 zu spoofen? Habe das vor Tagen schon mal probiert, bin aber mit der Syntax nicht klargekommen, es gab immer eine Fehlermeldung. Das wäre aber sicher einfacher als das System ohn dnsmasq zu betreiben. Grüße und schönen Abend noch / joule
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: Kann man dnsspoof veranlassen auf 127.0.1.1:53 zu spoofen?
Ja, das ist möglich wenn 127.0.1.1 einem Interface zugewiesen ist (wie z. B. 127.0.0.1 mit lo), dann kann man dieses Interface mit "-i <Interface>" für dnsspoof benutzen.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Joule schrieb: Deine zweite Frage, wer da noch lauscht kann ich Dir leider nicht beantworten, da kenn' ich mich nicht wirklich aus.
Welcher Dienst lauscht, kannst Du z. B. mit:
sudo netstat -tulpen
(oder gleichwertig) feststellen. Joule schrieb: Ich nehme aber an dnsspoof, ...
Nein, denn dnsspoof lauscht so nicht bzw. "lauscht" in diesem Fall nur als "man-in-the-middle": Joule schrieb: Ich kann mir das bislang beobachtete Verhalten nur so erklären, daß dnsmasq den port 127.0.0.1:53 gar nicht wirklich offen hat, ...
Doch, dnsmasq hast Du ja so konfiguriert, dass der Port 127.0.0.1:53 offen ist. Das kannst Du auch mit netstat und tcpdump sehen. Joule schrieb:
..., geht es nicht mit dnsmasq . ... Hast Du Anfrage bzw. Antworten von 127.0.1.1:53, weiterhin mit iptables geblockt?
|
Joule
(Themenstarter)
Anmeldungsdatum: 25. August 2008
Beiträge: 82
|
Hallo lubux, hier die Antworten auf Deine Fragen: zu ..127.0.1.1:53, weiterhin mit iptables geblockt?: ja, was anderes war nicht angefordert. Falls nicht erwünscht: wie kann ich diese Regeln wieder löschen, mit iptables kenn ich mich nicht aus. zu..dnsmasq hast Du ja so konfiguriert, dass der Port 127.0.0.1:53..: das ist aus meiner Sicht ja die Crux an der Sache. Das Konfigurieren nutzt da nichts, weil dnsmasq nach wie vor nur mit der Option --listen 127.0.1.1 startet. Das kann man ohne Nachfragen im Taskmanager sehen wenn dnsmasq startet (bei Xfce zeigt dieses Werkzeug, anders als bei Gnome, für alle Prozesse auch die Startoptionen an. Wir hatten weiter oben auf den Befehl 'nn@FujAH530:~$ ps aux | grep -i [d]ns' hin die Ausgabe der Startoptionen für dnsmasq). Das sieht m.E. nur so aus, der port 127.0.0.1:53 wird nach m.E. trotzdem nicht bedient, der networkmanager startet dnsmasq scheinbar immer mit denselben Optionen, auch jetzt, während ich bei Uus.de bin. Ich muß mich da erst mal drauf verlassen, daß der TaskManager richtig anzeigt. Ich hatte ja schon (vor diesem Thema) probiert, in den ipv4 Einstellung für Funknetzwerke (GUI des Netzwerkmanagers) anstatt 'Automatisch (DHCP)' eine andere Einstellung 'manuell' zu wählen. Man muß dann mindestens 2 Netzwerkadressen angeben. Das ist mir aber nicht gelungen, am Verhalten hat sich nichts geändert, habe dann den Defaultfall 'Automatisch (DHCP)' wieder eingestellt. So weit erst mal, melde mich nachmittags wieder, muß jetzt weg. / joule
|