# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  hosts file - руль и защита вашего браузера

## drongo

Обычно файл hosts находится  в ХР (..\WINDOWS\system32\drivers\etc\hosts)
                                в 98 (...\windows\ hosts)

(Очень редко он может находиться в другом месте. В каком - определяется в этой ветке реестра *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\Tcpip\Parameters*. Смотрим параметр DataBasePath, определяющий местонахождение "истиного" файла hosts.)

Этот файл определяет соответствие доменных имен IP-адресам. Для каких практических целей может быть использован файл hosts? Для ускорения работы в интернете посредством обхода обращения к DNS серверу для часто посещаемых страниц и блокирования доступа к некоторым нежелательным сайтам, а также запрета обращения к адресам баннерообменных сетей.


По умолчанию этот файл содержит всего одну запись: 127.0.0.1    localhost
В этом же файле может находится и краткая справка Microsoft с правилами добавления новых записей.


Правила следующие: Каждый элемент должен располагаться в отдельной строке. IP-адрес должен находиться в первом столбце, за ним должно следовать соответствующее имя. IP-адрес и имя узла должны разделяться хотя бы одним пробелом. Кроме того, в некоторых строках могут быть вставлены комментарии они должны следовать за именем узла и отделяться от него символом #. То есть все, что пишется после знака # рассматривается как комментарий и игнорируется при обработке файла.


Немного теории. Если вы набираете в адресной строке броузера адрес сайта, то сначала броузер связывается с DNS сервером, который преобразует этот обычный адрес в IP адрес запрашиваемого сервера. В строке состояния броузера в этот момент пишется: "Поиск узла...". Если запрашиваемый узел найден, то в строке состояния выводится текст "Узел найден, ожидается ответ...", и устанавливается TCP соединение по стандартному для данного сервиса порту.


Ускорение работы в интернет можно достичь сопоставив явно в файле hosts доменные имена часто посещаемых ресурсов соответствующим IP адресам. Это позволит не обращаться к серверу DNS, а сразу устанавливать соединение.


Узнать IP адрес нужного узла можно с помощью программы ping (..\WINDOWS\system32\ping.exe). Например, чтобы узнать IP адрес сайта www.yandex.ru, наберите в командной строке cmd.exe и нажмите OK, в открывшемся окне наберите команду ping www.yandex.ru. Вы получите статистику пингования по данному узлу и IP адрес сайта. Также для получения IP адреса можно воспользоваться специальными утилитами сторонних разработчиков.


Может возникнуть вопрос: а не проще ли добавить IP адреса в избранное заменив привычные www адреса? Нет, не проще, так как во многих случаях при такой попытке соединения вы уаидите сообщение об ошибке. Дело в том, что многие серверы используют виртуальные хосты, когда по одному IP-адресу может находиться несколько виртуальных веб-серверов. Эти виртуальные серверы, как правило, отличаются доменными именами третьего уровня.


Для блокирования нежелательных сайтов можно назначить этому сайту адрес вашего собственного компьютера: 127.0.0.1 При обращении к такому сайту броузер попытается загрузить его с вашего компьютера, в результате чего будет выдано сообщение об ошибке. Точно так же можно блокировать и баннеры, перечислив список баннерных сетей и назначив им адрес 127.0.0.1

Пример файла hosts:

127.0.0.1 localhost  #адрес вашего компьютера
213.180.194.113 mic-hard.narod.ru #указываем адрес для ускорения загрузки сайта www.mic-hard.narod.ru
127.0.0.1 bs.yandex.ru #блокируем баннеры Яндекса

как делать :

1)Правой кнопкой по  hosts  , properties (свойства) ,убрать галку с read only (только чтение)если стоит. ок
2)Правой кнопкой по  hosts  ,открыть с помощью wordpad (notepad), галку не ставь .
3)ставим адреса которые хотим запретить или разрешить как указано выше.

4)После изменения сохраним (save) ,
5)вновь нажми правой кнопкой на пропертиес  ,поставь read only , arhive чтоб защитить от программ шпионов

опция 5 и небольшой список на пару сотен "плохих" сайтов и/или которые ставят шпионов  уже встроен в программу spybot .
Плохие подрозумеваются -не соблюдают ваше личное "Privacy" -конфидициальность .





источники :mic-hard.narod.ru , личный опыт .

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

Hosts file project
http://remember.mine.nu
 весьма рекомендую. Хотя кое-что надо править

----------


## Minos

Еще за этим файлом надо обязательно следить, именно через него зачастую блокируются сайты антивирусов, например
добавив такую строку : 127.0.0.1 drweb.com, вирус заблокирует все обращения  к странице DrWeb.

----------


## santy

> Еще за этим файлом надо обязательно следить, именно через него зачастую блокируются сайты антивирусов, например
> добавив такую строку : 127.0.0.1 drweb.com, вирус заблокирует все обращения  к странице DrWeb.


Работают ли правила hosts для клиентов при выходе в инет из локальной сети через ISA? (можно, конечно, и правила настроить в ISA, но...)

----------


## drongo

> Работают ли правила hosts для клиентов при выходе в инет из локальной сети через ISA? (можно, конечно, и правила настроить в ISA, но...)


скорее всего нет ,даже если через прокси ходишь - hosts  не влияет   :Sad:

----------


## pig

Они могут работать частично. Если браузеру сказано ходить в какую-то подсеть (обычно локальная сеть и localhost) прямо, то для неё работает hosts. Для всего прочего работают правила прокси.

----------


## santy

> скорее всего нет ,даже если через прокси ходишь - hosts  не влияет


угу, пробовал сегодня на некоторых машинах через hosts закрыть нежелательные сайты - не работает...  :Sad:  (остается только создавать правила на ISA, тоже надо разбираться.)

*pig*:Они могут работать частично...

не могли бы подсказать как это сделать?

----------


## pig

А надо? Hosts работает на те подсети, куда вы ходите напрямую, а не через прокси. То есть, на вашу локальную сети и ваш локальный компьютер.

Можете редактировать Hosts на прокси-машине - там это подействует, причём на всю сеть.

----------


## santy

т.е. если прокси, или ISA Server развернуты на выделенном сервере, то редактировать hosts операционки на данном сервере? или все-таки, настройки прокси будут доминировать?

----------


## pig

Смотря какие настройки. Hosts - это подмена DNS, не более того. Но и не менее. Можете все нежелательные запросы точно так же заворачивать на localhost. Только это будет localhost уже прокси-сервера.

У меня NAT не позволяет обратиться к собственному сайту по его публичному IP, поэтому я прописал в Hosts для него адрес внешнего интерфейса машины. В результате через прокси вижу, как выглядит сайт для посетителей снаружи.

----------


## Павлик

Здравствуйте. Подскажите пожалуйста, что за второй локалхост у меня подозрительный?
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
127.0.0.1       localhost
::1             localhost
Что это за единичка такая??? :Huh:

----------


## Torvic99

А это адрес заглушки в IPv6.
З.Ы. может все таки попробуете пользоваться поиском хотя бы http://www.google.com

----------


## Павлик

*Torvic99*, Там кругом вирусы  :Smiley:

----------


## Kuzz

*Павлик*, здесь их тоже хватает.. Особенно в "Помогите"

----------


## Павлик

*Kuzz*, Так это же Ваш сайт, а Я Вам как братьям доверяю. Кстати, Кузз что там с моим КонФИГОМ посмотрел, посмотрел и ушол ничего не сказал  :Sad: . Кидаете Вы меня на произвол судьбы  :Smiley: . Может Я уже состою в бот сети :Smiley:

----------


## antanta

Подозреваю, что многие тут это знают, но, зачем-то скрывают...
В этой ветке *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\Tcpip\Parameters*
есть параметр DataBasePath, определяющий местонахождение "истиного" файла hosts. 
Возможно, начинающим этот боян поможет. Извините. Не сдержался.

----------


## Kuzz

> В этой ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
> есть параметр DataBasePath


Ну да, об этом многие знают.. Просто особой ценности нет.

Если зловреду ("правильно написанному") понадобится hosts - он тоже сможет прочитать этот ключ..

----------


## antanta

Я вижу проблему с другой стороны. Если юзерр будет, пыхтя, изучать хостс в дефолтном месте, от этого не всегда будет толк. 
    Поскольку данный ресурс претендует на..., то надо как-то соответствовать и давать достаточно полную инфу, раз уж начали, чтобы не вводить начинающих пользователей в заблуждение, и не давать повода отзываться нелестно о ресурсе. Извините.

----------


## PavelA

> Я вижу проблему с другой стороны. Если юзерр будет, пыхтя, изучать хостс в дефолтном месте, от этого не всегда будет толк.


Это вариант - теория. За три года работы здесь ни одного случая с измененным данным ключом реестра.

----------


## antanta

> Это вариант - теория. За три года работы здесь ни одного случая с измененным данным ключом реестра.


 Угу. А я вообще ни одного хорошего руткита не видел. Впрочем, это само собой следует из определения "хороший руткит".   :Smiley: 
 По аналогии, не каждый сможет попасть на этот сайт, если у него проблемы с файлом hosts.
 В любом случае, "не видел" - это не аргумент. Такие вещи полезно знать начинающим, авось в нужный момент всплывет в памяти. Ну и престиж ресурса...
 Кстати, AVZ не зря проверяет это дело (это я начинаю прикрываться авторитетами  :Smiley:   )

----------


## anton_dr

> Такие вещи полезно знать начинающим, авось в нужный момент всплывет в памяти. Ну и престиж ресурса...


Ну вот Вы нас и просветили. А вместе с нами толпу начинающих пользователей, которые правят до посинения файл в дефолтном месте, а на самом то деле - он оно как...

PS: Но - спасибо, внёс правку.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

А теперь попросим Олега напомнить нам о троянах, которые патчат DLL, чтобы расположение HOSTS система искала в совсем другом ключе реестра.

----------


## antanta

> Ну вот Вы нас и просветили. А вместе с нами толпу начинающих пользователей, которые правят до посинения файл в дефолтном месте, а на самом то деле - он оно как...


 Помилуйте, Вас просветить... Нащет пользователей - а что не так? Если бы это сделал кто-то другой в этой теме раньше, я бы не стал так бурно реагировать.  
 Из ничего раздули флейм.

----------


## Infernal_lightning

> Такие вещи полезно знать начинающим, авось в нужный момент всплывет в памяти.


Простите конечно, но когда у начинающего пользователя заблочат сайт Вконтакте или Одноклассники, там будет просто паника, а не лихорадочные попытки вспомнить "истинное" место хранения файла hosts.
Хотя, может у нас с Вами разные представления о начинающем пользователе :Wink:  Но Вы правы - информация действительно может иногда оказаться полезной.

----------


## antanta

> А теперь попросим Олега напомнить нам о троянах, которые патчат DLL, чтобы расположение HOSTS система искала в совсем другом ключе реестра.


 *Неужели диалог занял конструктивное русло...
 Вероятно, кто-то и это отнесет к экзотике.
  Такие DLL  могут быть восстановлены с помощью sfc, чего не скажешь о ключах реестра.
 PIG, я не желаю нивелировать ценность Вашего высказывания. Просто пытаюсь отбиться от нападок некоторых тут  :Smiley:

----------


## VV2006

Если в дополнительных параметрах протокола TCP/IP на вкладке WINS убрать галку "Включить просмотр LMHOSTS", по идее, системе будет безразлично содержимое этого файла.

----------


## pig

LMHOSTS и HOSTS - две большие разницы.

----------


## bolshoy kot

> А теперь попросим Олега напомнить нам о троянах, которые патчат DLL, чтобы расположение HOSTS система искала в совсем другом ключе реестра.


О таком не знаю, но есть троян "zapinit", который патчит "user32.dll", чтобы система искала AppInit_DLLs в другом ключе реестра.

----------


## nuclearass

А как не сайт а конкретный IP-адрес забанить? Меня с сегодняшнего дня достаёт 184.82.147.106:80 (getlersan.org, появляется сообщение от NOD32 "адрес заблокирован" каждый раз, когда открывается любая страница), я не хочу писать 127.0.0.1 getlersan.org.

----------


## Torvic99

> я не хочу писать 127.0.0.1 getlersan.org.


Как раз вот так и надо блокировать, но вам скорее всего надо в раздел "Помогите" обратиться по правилам!

----------


## nuclearass

Я проблему с getlersan.org уже решил чисткой папки "автозагрузка", меня интересует, как с помощью файла hosts блокировать не сайты а конкретные IP-адреса.

----------


## L_Zep

*nuclearass*,
программа Hosts Editor: OSHE (редактор hosts-файла, который позволяет удобно и быстро просматривать и изменять содержимое файла hosts), описание и страница закачки здесь: 
http://www.online-solutions.ru/produ...ts-editor.html

----------


## Torvic99

> меня интересует, как с помощью файла hosts блокировать не сайты а конкретные IP-адреса.


Никак! Файл hosts служит для сопоставления имени с IP-адресом. А блокировать конкретные IP-адреса нужно при помощи файрвола.

----------


## triax

А почему при изменении места расположения host файла через реестр, но при копировании старого неизмененного host файла в папку вин/систем32/драйверс/этсетера браузеры не берут во внимание новое расположении а читают из вин/систем32/драйверс/этсетера
может у них внутри зашит поиск сперва в папках вин/систем....... а потом в новом расположении?

----------


## antanta

> А почему при изменении места расположения host файла через реестр, но при копировании старого неизмененного host файла в папку вин/систем32/драйверс/этсетера браузеры не берут во внимание новое расположении а читают из вин/систем32/драйверс/этсетера
> может у них внутри зашит поиск сперва в папках вин/систем....... а потом в новом расположении?


Наверное, MS наложило заклинание в виде секурити апдейта.

----------

