Урок: файл hosts.

Как мы знаем, посредством интернет-протокола компьютерные сети объединены в глобальную сеть Интернет, где каждый узел имеет уникальный сетевой адрес.
В четвертой версии протокола (IPv4) используются четырёхбайтные адреса. Например, IP-адресом портала mail.ru является числовая последовательность
217.69.139.200. Однако, людям для идентификации сетевых ресурсов удобнее работать с текстовыми записями - URLами. Система доменных имен (DNS) связывает
цифровые IP-адреса узлов с их доменными именами. Подробнее о доменных именах и про URL читаем урок: URL.

Для администрирования сетевых соединений в Windows и других ОС используется специальный файл hosts. Файл hosts предназначен для
содержания базы приоритетных доменных имен и трансляции их в сетевые адреса хостов. Во всемирной паутине (www) хостом является веб-сервер сайта,
отправляющий клиенту контент запрашиваемых страниц. Клиент, это - браузер установленный на компьютере пользователя.

Получив от пользователя запрос содержащий доменное имя ресурса, браузер сначала сопоставляет его с записями в файле hosts. Если доменное имя в файле
не найдено, просматривается DNS-кэш браузера. DNS-кэш формируется из адресов посещаемых пользователем ресурсов. Использование такого накопителя ускоряет
соединение с известными браузеру страницами.

Не найдя доменного имени в указанных директориях браузер перенаправляет запрос DNS-серверу. Приложение DNS-сервера преобразует доменное имя в
соответствующий IP-адрес по которому и производится соединение. Так выполняется прямой запрос с трансляцией имени хоста в его IP-адрес.

Очевидно, что редактируя файл hosts можно управлять сетевыми соединениями.

По умолчанию файл hosts содержит только комментарии поясняющие правила внесения в него записей. На скриншоте показан фрагмент файла в Windows 7:

Этот файл находится в системном разделе диска - С:\Windows\System32\drivers\etc\hosts. Открыв его стандартным приложением "Блокнот" можно прописывать
нужные нам редиректы - перенаправления доменных имен.

Блокирование доступа к определенным ресурсам понадобится, например, при родительском контроле. Открыв журнал или историю просмотров в браузере можно
выявить нежелательные для посещения несовершеннолетними доменные имена узлов.

Стандартное доменное имя localhost зарезервировано для частных адресов и определяет локальный компьютер пользователя с IP-адресом
127.0.0.1. Если сопоставить этому адресу доменное имя, запрос будет перенаправлен на локальный компьютер пользователя и соединения с
целевым ресурсом не получится.

Запустим "Блокнот" с правами администратора:

и откроем в нем файл hosts, выбрав в папке "etc" все типы файлов:

Теперь, дополним содержимое файла такими, например, записями:

Сохраняем файл с изменениями и закрываем его. Так можно перекрыть доступ к некоторым ресурсам.

Также можно сделать перенаправления сетевых соединений на заданные IP-адреса:

С такими редиректами в файле hosts пользователь вместо желанного сайта знакомств попадает на популярную ярмарку вакансий, например. Понятно, что для
переадресации запросов нужно знать IP-адреса целевых хостов.

Посмотрим как можно определить сетевой адрес узла по его доменному имени.

Транслируем доменное имя в IP-адрес средствами операционной системы. С правами администратора вызываем командную строку. Для этого в
строке поиска окна "Пуск" набираем cmd и из контекстного меню запускаем от админа:

Вписываем команду ping avito.ru, нажимаем клавишу "Enter" и получаем IP-адрес ресурса:

Существует множество сервисов для сопоставления доменных имен с IP-адресами. Один из популярных: https://goo.gl/PjfAhI.

Записи с подменой IP-адресов в файле hosts для блокирования доступа к ресурсам или перенаправления на поддельные и посторонние сайты могут производиться
и вредоносными программами запущенными на локальном компьютере.

Когда браузер не открывает доступные ранее страницы или перебрасывает на несоответствующие доменным именам сайты стоит проверить файл hosts и удалить в
нем посторонние записи. Однако, вирусописатели для маскировки инфицированного файла hosts применяют некоторые дополнительные уловки.

Попробуем самостоятельно модифицировать истинный файл hosts и заменить его фальшивым подобно известным сценариям.

От имени администратора откроем новый файл приложением "Блокнот" и скопируем в него содержимое файла hosts. Сохраним этот файл в папке
С:\Windows\System32\drivres\etc с именем hosts и расширением *txt:

Теперь откроем истинный файл hosts и пропишем в нем редиректы как на приведенных выше примерах. Сохраним изменения и закроем. Затем выделим файл, пройдем в
его свойства и назначим атрибут "Скрытый":

Истинный файл hosts станем невидимым в папке "etc" и будет выполнять прописанные в нем сетевые соединения. А пользователь, открыв в папке копию
оригинального файла увидит в нем только комментарии обозначенные значком #.

Обнаружить подмену несложно. Достаточно в параметрах папок отключить опцию скрытия расширений для файлов:

чтобы выявить текстовый hosts. Истинный файл hosts, как известно, не имеет расширения.

Копию hosts в конечную папку etc можно сохранить и без расширения, заменив в имени файла вторую букву на русскую "о". Для выявления подмены в этом случае,
в интерфейсе настроек папок, который открывается через "Пуск"-"Панель управления"-"Параметры папок" нужно включить функцию отображения скрытых файлов и папок:

и в результате в папке отобразятся оба файла:

Удаляем фальшивый и в истинном файле убираем ненужные записи.

Также, измененная посторонней программой копия файла hosts может находится и не в папке "etc". При этом в реестре прописывается директория обращения к ней.

Сочетанием клавиши "Windows" с буквой "R" откроем окно "Выполнить":

и командой "regedit" пройдем в реестр. В реестре проследуем по ключу: HKEY_LOCAL_MACHINE - SYSTEM - CurrentControlSet - services - Tcpip. В этой ветке, в разделе
"Parameters" увидим путь к папке с файлом hosts:

В таком случае, изменяем значение параметра "DataBasePath" - прописываем правильный путь к оригинальному файлу:

Перезагружаем компьютер для сохранения правки в реестре и удаляем модифицированный дубликат. Теперь, браузер будет обращаться к истинному файлу hosts в папке
С:\Windows\System32\drivers\etc.

Таким образом, мы ознакомились с трюками которые применяются для фальсификации сопоставлений доменных имен использующих подмену файла hosts.

Для ускорения подключений к избранным ресурсам и блокировки доступа к нежелательным грамотно редактируем файл hosts - управляем сетевыми соединениями.