Могу ли я получить доступ к заблокированному веб-сайту через виртуальную машину, если в хост-операционной системе заблокирован веб-адрес в файле hosts?

5069
Vinayak

Я просматривал статью о Net Nanny, в которой упоминалось о том, как дети могут обойти его веб-фильтр.

Среди других методов я видел это:

Один из способов, которым подростки могут полностью обойти фильтр, - это установить на компьютер программу, которая запускает виртуальную машину, по сути, компьютер внутри компьютера. Так, например, если операционная система вашего компьютера - Windows, хитрый подросток может загрузить программу с виртуальной операционной системой Windows, на которой не установлена ​​Net Nanny, и затем просматривать веб-страницы без фильтра.

Теперь мне было интересно, если это все еще возможно, если файл hosts в хост-системе заблокировал доступ ко всем нежелательным веб-сайтам (предположим на данный момент, что такой огромный, регулярно обновляемый файл hosts существует), включая сайты с контентом для взрослых, веб-прокси, P2P-файлообменники и т. д.

Теперь можно было бы посетить эти заблокированные сайты из веб-браузера, работающего на виртуальной машине? Давайте также предположим, что VPN не используется, и ни Tor, ни Google не «кэшируют» представление веб-страницы .

16
Я попытался запустить Ubuntu на моей установке Windows 7 с установленным K9, но взломать не удалось пройти защиту K9 :( shortstheory 9 лет назад 0
Вы, должно быть, делаете что-то не так, потому что я могу легко обойти это. Vinayak 9 лет назад 1
ОБНОВЛЕНИЕ: Вы, вероятно, устанавливаете режим сетевого подключения виртуальной машины как NAT. Измените это на "Bridged", и K9 больше не поможет. Vinayak 9 лет назад 0

2 ответа на вопрос

26
Darth Android

Yes. The hosts file does not block anything, it just tells the computer where it can find named websites. When you try to go to google.com, the system will check it's hosts file for that name, and if it exists, it'll use the IP there instead of looking up the IP from a DNS server.

A virtual machine has its own host file, and performs it's own name resolution (i.e., checking its own hosts file and contacting its own DNS server), independent from the host computer.

Even if you redirected google.com to 127.0.0.1 (A common way of "blocking" a website), you can still get to google simply by typing in 173.227.93.99 in your web browser instead.

Additionally, IP-based filters on the host OS may be useless depending on how the VM network is configured. Usually, the VM is "bridged" with the host networking, meaning that all the incoming traffic is duplicated and sent to the VM so that it can see all of the network traffic that the host does. Even if the host is configured to block or filter certain IPs (such as with a firewall), the VM will still get to see its "copy" of the data, which will allow the VM to browse the internet and ignore a filter installed on the host computer.

Remember the cardinal rule of computers and security: If I can physically touch a computer system, then given time I can have full control over it; Kids have lots of free time, and by no means are they an exception to this rule. It's trivial to reboot a system into safemode and remove NetNanny or any other piece of software installed upon it.

If you wish to filter/restrict/monitor what your kids do on the internet, you need to do so at the network level, not the system level. Look into what features your router supports (such as NetNanny Integration like @Keltari suggests), and if it will support alternate router firmwares such as DD-WRT which can do a scheduled disconnect of the child's computer (Say, from 10pm to 6am each day).

Even then, network filtering is often a game of Whack-A-Mole, and often easily thwarted by proxies like Tor; It is next to impossible to stop someone from accessing the internet that really wants to (just ask China or other countries that have massive firewalls which ultimately don't work perfectly).

With kids, you either have to talk with them and explain to them the perils of the Internet and have enough trust that they won't intentionally go seeking the bad sites (and then use NetNanny merely as a backup to stop accidental navigations), or you have to not let them use a connected computer unsupervised.

+1. Проверьте, поддерживает ли ваш маршрутизатор нетнанную интеграцию, некоторые делают. Если нет, вы всегда можете приобрести тот, который делает. Keltari 9 лет назад 2
Спасибо! Мне было просто интересно узнать то же самое (то есть, сработает ли это, если сетевой адаптер виртуальной машины «соединен» с хостом или если он настроен как NAT) Vinayak 9 лет назад 0
@Vinayak Если он настроен как NAT, то брандмауэры и IP-фильтры на хосте будут влиять на виртуальную машину. Darth Android 9 лет назад 0
@DarthAndroid: Я только что попробовал это в VMWare Player с сетевым адаптером, настроенным как NAT, и он все еще работал. Это было интересно. Хост не мог получить доступ к заблокированным сайтам, но гость мог. Vinayak 9 лет назад 0
@Vinayak Это зависит от того, как блокируются сайты (я не использовал NetNanny и не смотрел, как именно он работает). Если вы настроите виртуальную машину как NAT, а затем настроите брандмауэр Windows для блокировки IP-адреса, я ожидаю, что виртуальная машина не сможет связаться с этим IP-адресом. Darth Android 9 лет назад 0
Спасибо! Я определенно рассмотрю интегрированные маршрутизаторы DD-WRT и NetNanny. Из любопытства, поможет ли это, если бы между виртуальной машиной и Интернетом находился ограничительный прокси (не уверен, так ли это называется)? Как в корпоративной среде? Vinayak 9 лет назад 0
@Vinayak Посмотрите мои изменения в моем сообщении; Прокси-сервер «черного списка» (где вы добавляете сайты, которые нужно заблокировать) может помочь, если вы хотите остановить случайную навигацию по плохим сайтам, но в конечном итоге кто-то может обойти это, если захочет. Прокси-сервер «белого списка» (где вы добавляете сайты, которые должны быть разрешены, а все остальное заблокировано) может помешать людям переходить на нежелательные сайты, но требует много, гораздо больше работы для обслуживания, поскольку вам необходимо добавить каждый домен или IP-адрес в белый список , Сайт вроде SuperUser, вероятно, имеет 5-10 разных доменов, которые должны быть в белом списке, если не больше. Darth Android 9 лет назад 1
Хорошая редакция, кстати. Я бы +10, если бы мог. Vinayak 9 лет назад 0
@DarthAndroid Если вопрос «Могу ли я получить доступ к заблокированному веб-сайту через виртуальную машину ...», не должно ли первое слово вашего ответа быть «да», а не «нет»? Digital Chris 9 лет назад 1
@DigitalChris Исправлено; Кажется, я пропустил более половины вопроса, который был задан. Darth Android 9 лет назад 0
+1 за «общение с детьми» ... часто лучший ответ. Brad 9 лет назад 12
+1 за «поговорить со своими детьми» и «за невозможность помешать кому-либо получить доступ к Интернету, который действительно хочет». У меня большой опыт работы со всеми видами фильтров, не потому, что я когда-либо пытался получить доступ к чему-то неуместному, а потому, что мне часто приходилось обходить чрезмерно усердные фильтры, чтобы выполнить свою работу. В общем, с ними довольно легко обойтись, если вы много знаете о сетевом взаимодействии (и на самом деле даже не так сложно, просто имея базовые знания). reirab 9 лет назад 0
«127.0.0.1 (распространенный способ« блокирования »веб-сайта)» - я думаю, что использование 0.0.0.0 лучше для «блокировки», чем использование localhost. PTwr 9 лет назад 0
«Поговори со своими детьми» - это хорошо, и да, во что бы то ни стало, ты должен объяснить опасности своим детям. Но для тех (обычно мужчин) подростков, у которых уже есть склонность (или зависимость) к просмотру определенных провокационных материалов, разговор не остановит их. Тем не менее, +1 для запланированной блокировки маршрутизатора в качестве вторичной меры. Я также добавил бы, используйте надежный пароль маршрутизатора (и имя пользователя!) И службу разрешения DNS, такую ​​как OpenDNS (opendns.com). Ogre Psalm33 9 лет назад 0
@Ogre Psalm33: я попытался использовать OpenDNS FamilyShield и настроил его на своем маршрутизаторе, и он хорошо работал на всех устройствах, подключенных к Wi-Fi, но эта мера также была легко предотвращена путем ручного изменения записей DNS-сервера сетевого адаптера для использования чего-то еще, например Google DNS. Vinayak 9 лет назад 0
@Vinayak Я полагаю, что DD-WRT позволяет вам перехватывать и перенаправлять все DNS-запросы в сервисном меню точки доступа. Вы могли бы взглянуть на это. Я не проверял это, хотя, так что не уверен, что это работает так легко. Darth Android 9 лет назад 0
Спасибо! Но, как вы предположили, я полагаю, что общение с детьми является наиболее эффективным способом борьбы с этой проблемой. Vinayak 9 лет назад 0
0
Boss

The hosts file DOES block images, ads and websites if you preceed the URL with the address of either 0.0.0.0 or 127.0.0.1. The system checks the hosts file for addresses and if you give it the "home" or "null" address as a place to look for a resource, then that item is effectively blocked.

People use it all the time to block malicious sites, advertising URLs and many other things. OpenDNS does the same thing for you by blocking access to categories of websites, etc. that you don't want to see.

The correct answer is YES you CAN get around the hosts file's blocking of content by using a virtual machine, because the virtual machine uses its own hosts file.

But to say the hosts file doesn't block anything is just a load of manure.

Похожие вопросы