Чи можу я отримати доступ до заблокованого веб-сайту через віртуальну машину, якщо хост ОС має веб-адресу, заблоковану у файлі хостів?


16

Я переглядав цю статтю Net Nanny, в якій згадувалося про різні способи, як її веб-фільтр можна було обійти дітьми.

Серед інших методів я побачив це:

Один із способів, яким підлітки можуть обійти фільтр цілком, - це встановити програму, яка працює на віртуальній машині на комп’ютері, по суті, на комп'ютері. Так, наприклад, якщо операційною системою вашого комп'ютера є Windows, хитрий підліток може завантажити програму, яка запускає віртуальну операційну систему Windows, в якій не буде встановлена ​​програма Net Nanny, а потім переглядати веб-сайти без фільтра.

Тепер мені було цікаво, чи це все ще можливо, якщо файл хостів у хост-операційній системі заблокує доступ до всіх небажаних веб-сайтів (припустимо на даний момент, що існує такий величезний, регулярно оновлений файл хостів), включаючи сайти із вмістом для дорослих, веб-проксі, сайти для обміну файлами P2P тощо

Тепер, чи можна було б відвідувати ті заблоковані сайти з веб-браузера, що працює у вікні VM? Припустимо також, що жодна VPN не використовується, а також не є "кешований" перегляд веб-сторінки Tor або Google .


Я спробував запустити ubuntu на моїй установці Windows 7 із встановленим K9, але злом не пройшов захисні сили K9 :(
shortstheory

1
Ви, мабуть, робите щось не так, тому що я міг це легко обійти.
Виняк

ОНОВЛЕННЯ: Можливо, ви встановили режим мережевого підключення VM як NAT. Змініть це на "Містко" і K9 вже не допоможе.
Виняк

Відповіді:


26

Так. hostsФайл нічого не блокує, він просто повідомляє комп'ютер , де він може знайти названі сайти. Коли ви спробуєте перейти google.com, система перевірить, чи є hostsфайл на це ім'я, і ​​якщо він існує, він буде використовувати IP-адресу там, а не шукати IP-адресу з DNS-сервера.

Віртуальна машина має власний файл хоста і виконує власну роздільну здатність імені (тобто перевірку власного файлу хостів та звернення до власного DNS-сервера), незалежно від хост-комп'ютера.

Навіть якщо ви перенаправлені google.comна 127.0.0.1(поширений спосіб "блокування" веб-сайту), ви все одно можете перейти до google, просто набравши 173.227.93.99натомість у веб-переглядачі.

Крім того, фільтри на основі IP на хост-операційній системі можуть бути марними залежно від налаштування мережі VM. Зазвичай, VM "з'єднаний" з мережею хостів, це означає, що весь вхідний трафік дублюється і надсилається до VM, щоб він міг бачити весь мережевий трафік, який робить хост. Навіть якщо хост налаштований для блокування чи фільтрації певних IP-адрес (наприклад, з брандмауером), VM все одно побачить свою "копію" даних, що дозволить ВМ переглядати Інтернет та ігнорувати фільтр, встановлений на хост-комп'ютер.


Запам’ятайте кардинальне правило комп’ютерів та безпеку: якщо я можу фізично торкнутися комп’ютерної системи, то за даний час я можу мати повний контроль над нею; Діти мають багато вільного часу, і це аж ніяк не є винятком із цього правила. Перезавантажити систему в safemode нереально і видалити NetNanny або будь-який інший встановлений на ній програмний продукт.

Якщо ви хочете фільтрувати / обмежувати / стежити за тим, що роблять ваші діти в Інтернеті, це потрібно робити на рівні мережі, а не на системному рівні. Подивіться, які функції підтримує ваш маршрутизатор (наприклад, NetNanny Integration, як @Keltari пропонує), і чи він підтримуватиме альтернативні прошивки маршрутизатора, такі як DD-WRT, які можуть робити планове відключення дитячого комп'ютера (скажіть, з 10 вечора до 6 ранку щодня ).

Вже тоді мережева фільтрація часто є грою Whack-A-Mole, і часто легко перешкоджає проксі, як Тор; Поруч із неможливим зупинити когось із доступу до Інтернету, який дійсно хоче (просто попросіть Китай чи інші країни, які мають величезні брандмауери, які в кінцевому рахунку не працюють ідеально).

З дітьми вам або доведеться поговорити з ними і пояснити їм небезпеку Інтернету і мати достатню довіру, що вони навмисно не будуть шукати погані сайти (а потім використовувати NetNanny просто як резервну копію для зупинки випадкових навігацій) або ви не повинні дозволяти їм використовувати підключений комп'ютер без нагляду.


2
+1. Перевірте, чи підтримує ваш маршрутизатор netnanny інтеграція. Якщо ні, ви завжди можете придбати той, який є.
Келтарі

Спасибі! Мені було просто цікаво про те саме (тобто, якби це працювало, мережевий адаптер VM був "зв'язаний" з хостом або якщо він був налаштований як NAT)
Vinayak

1
@Vinayak Переглянь мої зміни до мого допису; Проксі-сервер "чорного списку" (де ви додаєте сайти для блокування) може допомогти, якщо ви хочете зупинити випадкову навігацію до поганих сайтів, але в кінцевому підсумку хтось може її обійти, якщо захоче. Проксі-сервер "білого списку" (де ви додаєте сайти, до яких можна дозволити, а все інше заблоковано) може перешкоджати відвідувачам відвідувати небажані сайти, але потрібно підтримувати багато, набагато більше роботи, оскільки вам потрібно додати кожен домен або IP-адресу до білого списку . На сайті типу SuperUser, ймовірно, є 5-10 різних доменів, які повинні бути допущені в білий список, якщо не більше.
Darth Android

1
@DarthAndroid Якщо питання "Чи можна отримати доступ до заблокованого веб-сайту через віртуальну машину ...", чи не першим словом вашої відповіді є "так", а не "ні"?
Цифровий Кріс

13
+1 для "розмови з дітьми" ... часто найкраща відповідь.
Бред

0

Файл хостів НЕ блокує зображення, оголошення та веб-сайти, якщо ви перейдете до URL-адреси з адресою або 0.0.0.0, або 127.0.0.1. Система перевіряє хост-файл на адреси, і якщо ви надаєте йому "домашню" або "нульову" адресу як місце для пошуку ресурсу, то цей елемент фактично блокується.

Люди використовують це весь час для блокування шкідливих сайтів, рекламних URL-адрес та багатьох інших. OpenDNS робить те ж саме для вас, блокуючи доступ до категорій веб-сайтів тощо, які ви не хочете бачити.

Правильна відповідь ТАК, ви МОЖЕТЕ обійти блокування вмісту файлів хостів за допомогою віртуальної машини, оскільки віртуальна машина використовує власний файл хостів.

Але сказати, що файл господарів нічого не блокує, це просто завантаження гною.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.