Android ルート化不要Firewall総合
>>786
TCP/IPを勉強しなおせ。ホスト名は名前解決時にしか送信されない。
ホスト名を使うIP通信の場合、先行してOSなどがDNS(UDP)による名前解決を行う。
そして、ホスト名を使う通信もIP決め打ちの通信も、最終的にはIPアドレスのみを宛先としたTCP/UDP通信として実行される。
NRFWで横取りしたパケットにはIPアドレスしか書かれていない。このIPアドレスに対してホスト名ベースのフィルタルールを適用するためには、「DNSの逆引きを利用してホスト名を取得する」
「先行して行われた名前解決の通信内容をNRFWで解釈・キャッシュ(または改竄)してそのキャッシュから該当通信のホスト名を割り出す」という方法が考えられるがNRFWでは前者の方法を使っている。
前者の方法では実際にDNSで正引きした名前は得られないし(例えばwww.google.co.jpを相手にDNSで引くと173.194.38.88などが得られるが、
この逆引きはnrt19s17-in-f24.1e100.netになる)、逆引きの結果が得られるまでフィルタルールの適用ができず、逆引きは基本的に正引きよりも時間がかかる。
後者の方法は名前解決の通信を全て横取りして全て自前で分析しなければならない上、名前解決はDNSだけでなくNetBIOSやhostsファイルなどもある。
cm.g.doubleclick.netとかは広告用の鯖だが、コレNRFWではnrt19s17-in-f26.1e100.netとかになるからな?
後追加で指摘しとくと、UDPもNRFWを通過するがUDPは送信元アプリが特定できないため現状は全て通過させるルールになってる。
VPNの網に引っかかっても、適用するルールで通過が指定されてれば通過するんだよ。
TCP/IPを勉強しなおせ。ホスト名は名前解決時にしか送信されない。
ホスト名を使うIP通信の場合、先行してOSなどがDNS(UDP)による名前解決を行う。
そして、ホスト名を使う通信もIP決め打ちの通信も、最終的にはIPアドレスのみを宛先としたTCP/UDP通信として実行される。
NRFWで横取りしたパケットにはIPアドレスしか書かれていない。このIPアドレスに対してホスト名ベースのフィルタルールを適用するためには、「DNSの逆引きを利用してホスト名を取得する」
「先行して行われた名前解決の通信内容をNRFWで解釈・キャッシュ(または改竄)してそのキャッシュから該当通信のホスト名を割り出す」という方法が考えられるがNRFWでは前者の方法を使っている。
前者の方法では実際にDNSで正引きした名前は得られないし(例えばwww.google.co.jpを相手にDNSで引くと173.194.38.88などが得られるが、
この逆引きはnrt19s17-in-f24.1e100.netになる)、逆引きの結果が得られるまでフィルタルールの適用ができず、逆引きは基本的に正引きよりも時間がかかる。
後者の方法は名前解決の通信を全て横取りして全て自前で分析しなければならない上、名前解決はDNSだけでなくNetBIOSやhostsファイルなどもある。
cm.g.doubleclick.netとかは広告用の鯖だが、コレNRFWではnrt19s17-in-f26.1e100.netとかになるからな?
後追加で指摘しとくと、UDPもNRFWを通過するがUDPは送信元アプリが特定できないため現状は全て通過させるルールになってる。
VPNの網に引っかかっても、適用するルールで通過が指定されてれば通過するんだよ。
|
|
|