Есть в нашей операционной системе такой файл, который злоумышленники очень часто используют в своих целях. Этот файл называется hosts. Всего лишь небольшое изменение в этом файле может заблокировать доступ к нужным сайтам (в лучшем случае) или же сразу перенаправить на вредоносный сайт.

Только представьте – мы набираем в адресной строке адрес нужного нам сайта (например, odnoklassniki.ru), а вместо этого попадаем на какой-то «левый» сайт (который, кстати, может быть «как две капли воды» похож на оригинал) где нас пытаются уговорить пройти авторизацию (чтобы выманить персональные данные) или заплатить деньги. Нам кажется, что мы на сайте «Одноклассники», но на самом деле мы на сайте злоумышленника. Согласитесь, это неприятно!

Как же такое происходит и что это за файл hosts? Давайте разбираться.

Файл hosts представляет собой обычный текстовый файл, но только не имеющий расширения. Т.е. полное имя этого файла - hosts (после имени файла нет ничего).

Находится этот файл в системном разделе жесткого диска (в папке C:\Windows\system32\drivers\etc) и служит для связи имен сайтов с их IP-адресами.

Выглядит этот файл так:

Для Windows XP:

# Copyright (c) 1993-1999 MicrosoftCorp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Для Windows Vista:

# Copyright (c) 1993-2006 MicrosoftCorp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

Для Windows 7:

# Copyright (c) 1993-2009 MicrosoftCorp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost



Пока сложно понять? На самом деле в этом нет ничего сложного!

Попробую объяснить проще, а если всё равно что-то останется непонятным, то ещё ниже мы всё разберем на практике (и в картинках), а также рассмотрим, как редактировать этот файл.

Итак, зачем нужен файл hosts…


Известно ли вам, что буквенные адреса сайтов были придуманы только для того, чтобы нам с вами было проще их запоминать? На самом же деле все компьютеры (в том числе и наш) в интернете общаются, используя только цифровые адреса сайтов. Другими словами - каждый сайт имеет свое буквенное имя (URL-адрес), а также цифровой адрес (IP-адрес), который обычно мы даже не знаем.

Таким образом, на любой сайт можно попасть, набрав в адресной строке браузера его URL-адрес (например, www.odnoklassniki.ru) или же IP-адрес (217.20.147.94) – в любом случае мы попадем на один и тот же сайт.

Но согласитесь, что нам легче запомнить www.odnoklassniki.ru, нежели 217.20.147.94 и поэтому мы обычно используем именно буквенные имена, а уже компьютер (а точнее браузер) самостоятельно разбирается, какому именно IP-адресу соответствует введенное нами имя. Делается это благодаря так называемым DNS-серверам (специальные удаленные компьютеры), которые хранят URL и IP всех сайтов и связывают их между собой.

Именно поэтому, для того чтобы браузер узнал какой именно IP соответствует введенному нами URL-адресу, ему необходимо связаться с DNS-сервером, а уже потом перейти на сайт, используя полученный IP-адрес.

Однако любой браузер, прежде чем связаться с DNS-сервером всегда проверяет файл hosts на нашем локальном компьютере, т.к. файл hosts это тоже своего рода DNS (но только местного масштаба) и функции у него те же – связывать URL и IP сайтов.

Набирая в своем браузере URL-адрес какого-либо сайта, мы просто ждем, пока откроется нужный сайт, а на самом деле в компьютере происходит следующее:

1. Сначала браузер ищет введенный нами URL-адрес в файле hosts.

2. Если URL найден, браузер открывает тот сайт, IP-адрес которого записан в файле hosts рядом с введенным URL. Сайт открыт и на этом все заканчивается.

3. Если же введенный URL не обнаружен в файле hosts, тогда браузер обращается к кэшу DNS (временное хранилище предыдущих запросов на нашем ПК) и если находит адрес, то открывает сайт согласно IP из кэша.

4. Если имя не обнаружено в кэше DNS, браузер обращается к DNS-серверу и если сайт с таким именем существует, DNS-сервер переводит URL-адрес в IP-адрес и браузер открывает сайт.

Как видите, файл hosts имеет приоритет (проверяется первым) и поэтому злоумышленнику достаточно внести в этот файл нужный адрес, чтобы браузер открыл тот сайт, IP которого стоит рядом с адресом.

Все ещё сложно? Тогда давайте перейдем к примерам.

Допустим, мы добавили в конец файла hosts такие строки:

217.20.147.94 vk.com
217.20.147.94 www.vk.com

Обратите внимание, что для одного сайта обычно пишется две строки (с www и без), чтобы при любом наборе адреса попасть на указанный IP.

Теперь набирая в браузере URL-адрес сайта «Вконтакте» (vk.com) мы будем попадать на сайт «Одноклассники», т.к. IP-адрес именно этого сайта записан рядом с вводимым URL.

Вот такая вот элементарная подмена адресов и мы уже попадаем не туда куда хотели:

редактируем файл hosts

И если в моем примере такая переадресация не нанесет особого вреда, то в реальной жизни переадресация может быть не такой безобидной!

Кроме переадресации этот файл может содержать строки, которые блокируют сайты. Выглядит это так:

файл hosts

IP-адрес 127.0.0.1 это адрес нашего (локального) компьютера, поэтому такая строка сообщает браузеру, что на нашем компьютере сайт с указанным URL не должен открываться. И браузер будет выполнять такую команду, сообщая нам, что не может открыть сайт:

файл hosts

Если после 127.0.0.1 будут находиться адреса антивирусных сайтов (например, 127.0.0.1 www.kaspersky.ru), то это и будет причиной, по которой мы не можем обновить антивирусные базы и открыть сайты антивирусных сервисов.

Как видите, содержимое файла hosts имеет огромное значение и поэтому очень важно, чтобы он выглядел именно так, как показано в начале урока (в соответствии с установленной Windows).

Чтобы проверить и при необходимости изменить свой файл hosts его необходимо открыть. Сделать это проще всего с помощью Блокнота. Для этого находим файл (путь к нему я указывал выше), щелкаем по нему правой кнопкой мыши и выбираем пункт открыть:

файл hosts

В следующем окне находим Блокнот и нажимаем Ok:

файл hosts

А далее просто проверяем, чтобы файл hosts не содержал ничего лишнего:

файл hosts

Если же вы видите, что в файле есть посторонние строки, то их лучше удалить:

файл hosts

После удаления лишних строк файл hosts необходимо сохранить, используя команду Файл – Сохранить:

файл hosts

Если ваш файл hosts имел посторонние записи, то после таких изменений стоит сразу перезагрузить компьютер, а также желательно обновить антивирус и проверить компьютер на наличие вирусов.

Если у вас Windows 7, то при щелчке правой кнопке по файлу hosts в меню может не быть пункта Открыть:

файл hosts

В этом случае надо запустить Блокнот от имени Администратора. Для этого нажимаем Пуск – Все программы – Стандартные, находим Блокнот и щелкаем по нему правой кнопкой мыши. В открывшемся меню выбираем пункт Запуск от имени Администратора:

файл hosts

Далее жмем Файл – Открыть:

файл hosts

После этого заходим в папку etc, и если там нет файла hosts, то выбираем пункт Все файлы внизу окна, чтобы в данном окне отображались все файлы:

файл hosts

После этого все файлы будут отображены и наша задача выбрать нужный файл и нажать кнопку Открыть:

файл hosts

Теперь можно редактировать файл, как описано выше. Не забудьте потом сохраниться!



Вирусописатели конечно же понимают, что файл hosts легко редактируется и поэтому применяют всевозможные хитрости, чтобы запутать пользователя.

Хитрость №1:

Чтобы обнаружить лишние строчки в файле hosts было сложнее, они записываются в самый конец файла после большого количества пустых строк.

С первого взгляда такой файл выглядит нормально и при беглом взгляде мы можем ничего не заметить, однако надо всегда обращать внимание на ползунок полосы прокрутки в Блокноте:

файл hosts

Если ползунок присутствует, то его надо опустить вниз, чтобы посмотреть содержимое файла полностью. Зачастую это оказывается полезным, т.к. внизу файла мы можем найти неприятные сюрпризы:

файл hosts



Хитрость №2:

Файлу hosts присваивается атрибут Скрытый и он становится не виден (по умолчанию скрытые файлы и папки не видны). Начинающий пользователь не может найти этот файл, а значит не может и отредактировать его.

Если файл hosts в папке etc не виден, значит нам надо сделать его видимым. Для этого в Windows XP делаем следующее: Пуск – Панель управления – Свойства папки – вкладка Вид – установить галочку Показывать скрытые файлы и папки – нажать Ok (в Windows 7 все то же, но вместо Свойства папки пункт называется Параметры папок).



Хитрость №3:

Создается ложный файл hosts, который в отличие от настоящего файла имеет какое-нибудь расширение (например .txt). По умолчанию для зарегистрированных типов файлов расширения не отображаются, а следовательно мы можем легко перепутать файлы и редактировать совсем не тот файл:

файл hosts

Такой файл (hosts.txt) можно смело удалять!



Хитрость №4:

Создается ложный файл без расширения, но имеющий схожее название, например файл host:

файл hosts

В этом случае мы опять редактируем ложный файл, а настоящий остается без изменений. Такой файл (host) можно тоже смело удалять!

В последних двух примерах настоящий файл hosts был виден, но в реальности при создании ложных файлов злоумышленники скрывают настоящий файл, поэтому будьте внимательны и редактируйте только настоящий файл hosts!



В заключение урока хочу отметить, что данный файл можно использовать и с пользой для себя:

1. Если мы часто посещаем какой-либо сайт (например, www.yandex.ru), то можем добавить в конец файла hosts такие строки:

87.250.250.11 yandex.ru
87.250.250.11 www.yandex.ru

Браузер, обнаружив эти строки, не будет обращаться к DNS-серверу, а значит, процесс загрузки данного сайта будет проходить быстрее.

2. Сайты, которые мы совсем не хотим видеть на своем компьютере (например, некоторые онлайн-игры для детей) можно записать после 127.0.0.1:

127.0.0.1 tankionline.com
127.0.0.1 www.tankionline.com

Теперь на этот сайт с вашего компьютера вообще никто не зайдет!

Как видите, мы можем сделать то же самое что и вирусы, но уже с пользой.

Однако не переусердствуйте, создавая в файле hosts очень много лишних строк (более 100), т.к. это может привести к торможению компьютера.

Удачной вам работы!

http://chaynikam.net