Wie kann ein DNS-Server die IP eines Benutzers ändern?

Wie kann ein DNS-Server die IP eines Benutzers ändern?

Beispielsweise lautet die WAN-IP von Benutzer A 2.2.2.2. Wenn der Benutzer diesen bestimmten DNS-Server in seinem Router oder in den IPv4-Einstellungen seines Betriebssystems einrichtet, ändert sich seine WAN-IP beispielsweise zu 3.3.3.3.

Wie ist das möglich?

Und aus Sicherheitsgründen denke ich, dass dies die Clients sicherer macht, da es wie ein VPN funktioniert.

Das einzige Problem, das ich dabei sehe, ist, dass, wenn zwei Benutzer, die diesen DNS verwenden, auf dieselbe Website zugreifen, sie unter derselben IP-Adresse angezeigt werden. Die Administratoren dieser Website könnten daher denken, dass eine doppelte Buchführung erfolgt und sie möglicherweise sperren.

Antwort1

Wie ist das möglich?

Das ist es nicht.


Okay, es ist gewissermaßen möglich, aber die Idee ist bei weitem nicht so gut, wie es klingt.

Der DNS-Server teilt den Clients lediglich mit, wo ihr tatsächliches Ziel liegt – er transportiert die Datenpakete nicht selbst und hat daher keine Möglichkeit, sie zu verändern. (Der Client kann für DNS-Anfragen und echte Datenverbindungen sogar völlig unterschiedliche Internet-Links verwenden.)

Um das gewünschte Ergebnis zu erzielen, müsste der DNS-Server gefälschte Antworten liefern, die immer auf einen Relay-Server als Ziel verweisen (und hoffen, dass Clients diese Antworten nicht aufgrund von DNSSEC-Verifizierungsfehlern als offensichtlich gefälscht ablehnen). Dieser Relay-Server müsste als „transparenter Proxy“ fungieren, alle Verbindungen akzeptieren, den Handshake lesen, dann neue Verbindungen zum tatsächlichen Ziel herstellen und die Daten weiterleiten. (Hierfür gibt es bereits Software, die allerdings auf die Weiterleitung von Verbindungen aus einem einzelnen LAN abzielt.)

Der Relay-Server hat keine allgemeine Möglichkeit zu erkennen, welche TCP-Verbindung oder welches UDP-Datagramm welcher ursprünglichen Domäne entspricht. Dies ist nur mit einigen spezifischen Protokollen wie HTTP oder TLS (HTTPS, SMTPS, IMAPS, FTPS) möglich, die die Domäne als Teil des anfänglichen Handshakes einschließen.

Und aus Sicherheitsgründen denke ich, dass dies die Clients sicherer macht, da es wie ein VPN funktioniert.

Nur für Anfragen, die tatsächlich DNS betreffen – es kann nichts für „direkte“ IP-Verbindungen tun, z. B. wenn ein Spiel Server-IP-Adressen vom Anmeldeserver erhält oder wenn ein BitTorrent-Client Peer-IP-Adressen von einem Tracker erhält. Diese würden Ihr System vollständig umgehen.

Außerdem nur für die wenigen zuvor erwähnten Protokolle, die den Hostnamen im ersten Handshake senden. Ihre Clients könnten überhaupt kein anderes Protokoll verwenden – fast keine Spiele, kein VoIP, kein SSH, kein BitTorrent und meist keine echten VPNs.

Nur wenn die Kundendeaktivierendie Sicherheitsfunktion namens „DNSSEC“ und vertrauen Ihnen, dass Sie bei allen ihren DNS-Abfragen absichtlich falsche Informationen angeben.

Auch,Es kann keine Paketverschlüsselung bereitstellen(noch nicht einmal Integritätsschutz), der eines der wichtigsten Verkaufsargumente eines VPN ist! Für viele Benutzer ist dies der Hauptgrund für die „Sicherheit“.

(Außerdem sind viele Client-IPv4-Adressen bereits dynamisch und/oder gemeinsam genutzt; die Notwendigkeit, sie zu verbergen, hat auf der Prioritätenliste eine eher niedrige Priorität.)

Also nein, es verhält sich nicht wie ein VPN.

Antwort2

Anstatt eines DNS-Servers sollten Sie die Einrichtung eines Proxy Server:

Ein Proxyserver ist ein Server (ein Computersystem oder eine Anwendung), der als Vermittler für Anfragen von Clients fungiert, die Ressourcen von anderen Servern suchen.

Ein Proxy ermöglicht Ihnen dann, unter einer anderen IP-Adressidentität online zu gehen, nämlich der IP-Adresse des Proxys selbst.

Jeder Client, der den Proxy verwendet, stellt eine andere Verbindung dar. Daher können mehrere Personen den Proxy problemlos verwenden, obwohl es so aussieht, als hätten sie alle dieselbe IP-Adresse.

verwandte Informationen