Этого треда уже нет.
Это копия, сохраненная 25 декабря 2017 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
14 Кб, 263x366
Криптоанархист. Поговорим о DNS. При использовании #26227 В конец треда | Веб
Криптоанархист. Поговорим о DNS.
При использовании HTTPS или SSL наш HTTP трафик зашифрован, то есть защищен. Когда используем VPN, шифруется уже трафик гипотетически.Но иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.

Так же известно, что в по закону провайдеры должны хранить логи своих DNS серверов. Что является дырой в безопасности для криптоанархиста. А мы скажем - что будем использовать ДНСы от гугла\яндекса\etc. Но даже в пользовательском соглашении они не скрывают того что хранят логи.

На помощь нам приходит OpenNIC, который утверждает что логи не хранит и вообще они самые демократичные DNS серверы нам предоставляют. Но, не упускаем с виду тот факт что протокол DNS-протокол дырявый и все данные передаются в открытом виде. То есть это не тот случай, когда криптобрат будет спокоен за свою жеппу.

Приходит нам на помощь DNSCrypt, который уже есть в OpenWRT, Tomato. Так же присутствуют клиенты под шинду\линупс\мак. Создали этот сервис товарищи из OpenDNS. Но можно ли доверить им свои запросы? Меняем шило на мило.

Неужели скрытосети -единственный выход в по-настоящему анонимный интернет?

Дискасс.
#2 #26228
>>26227 (OP)
Маленькая поправка: представим что VPN у нас пиздец анонимный и абузоустойчивый. И ему похуй на запросы правительства России например.
#3 #26267
>>26227 (OP)

> Но иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть


Ну так передавай их через vpn-туннель, в чем проблема?
sage #4 #26274
>>26227 (OP)
Подними свой DNS-сервер рядом с VPN-сервером.
</thread>
#5 #26377
>>26227 (OP)

>При использовании HTTPS или SSL наш HTTP трафик зашифрован, то есть защищен.


Причем тут днс и https? Они вообще никак не связаны. Браузер сначала резолвит доменное имя и потом на полученный ИП адрес отправляет хттпс запрос, в котором внезапно домен видно плеинтекстом, т.е. домен никогда не шифруется.

>иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть


Проблема dns-leak кардинально решается очень просто: локально на ПК поднимается днс-прокси сервис типа AcrylicDnsProxy и во всех сетевых интерфейсах, включая интерфейс впна в качестве днс сервера прописывается что-то типа 127.0.0.1:порт_днс_прокси. Сам же ДНС прокси настраивается на использование серверов, которым ты доверяешь. В качестве последних можно юзать днс сервера из стран, которым глубоко насрать на запросы из той страны, в которой тебе бы не хотелось быть взятым за жопу.
sage #6 #26378
>>26377

>локально на ПК поднимается днс-прокси сервис типа AcrylicDnsProxy и во всех сетевых интерфейсах, включая интерфейс впна в качестве днс сервера прописывается что-то типа 127.0.0.1:порт_днс_прокси. Сам же ДНС прокси настраивается на использование серверов, которым ты доверяешь


Зачем это всё? Если без VPN, все хостнеймы точно так же светятся. Если с VPN, то можно просто завернуть весь трафик в VPN, включая трафик к DNS-серверам, которым ты доверяешь.
#7 #27282
>>26227 (OP)
Палю идею:
надо просто делать один и тот же запрос на разные серваки и если ответ будет одинаковый, то всё норм. В противном случае - выводить предупреждение
#8 #27283
>>26378
впн майор может дропнуть во время оживленной беседы. И твой траф пойдет в открытом виде. И хорошо, если ты сразу спалишь то, что впн отвалился.
#9 #27293
>>27283
У меня настроен доступ только через впн и никак иначе.
Манул: https://habrahabr.ru/post/274445/
#10 #27314
>>27283

>дропнуть впн


>И твой траф пойдет в открытом виде


Откуда это ебанутое клоунское заблуждение? Даже если соединение отваливается, маршруты остаются прежними, пока openvpn не завершит работу и не вернёт всё как было. А он не завершит, т.к. будет пытаться переподключиться.
#11 #27451
>>27283

> И твой траф пойдет в открытом виде.


Чтоб этого не произошло обычно удаляют дефолтный маршрут из локальной таблицы маршрутизации.
#12 #27488
Чуваки, а после пакета яровой, использовать свой впн на впс в канаде вообще законно?
#13 #27490
>>27488
Да.
#14 #27601
>>27488
пока еще да
PB2f98LibS458 Кб, 453x604
#15 #30972
А в чем проблема с dnscrypt?
#16 #30983
>>30972
В серверах.
#17 #31004
>>30983
это проблема любого централизованного протокола. так что мимо.
#18 #31067
>>26227 (OP)

> DNSCrypt


> Создали этот сервис товарищи из OpenDNS


Чет ты запизделся, паря, OpenDNS к созданию DNSCrypt никакого отношения не имеют. Но я лучше буду использовать его и палить свои DNS запросы резольверу где нибудь в европке у тех же OpenNIC есть сервера с поддержкой DNSCrypt чем палить их своему опсосу
#19 #31153
>>31067
Лень гуглить за тебя и что-то тебе доказывать. Но вот тбе первая ссылка в гугле по запросу dnscrypt opendns. Почему в 2013 году на саппорте опен днс спрашивали за утилиту под ведро?

https://support.opendns.com/hc/en-us/community/posts/220062047-DNSCrypt-and-Android
#20 #31168
>>31153

> dnscrypt opendns


да и собственно похуй, опенсурс же
#21 #31337
>>31004

>централизованного протокола


Совсем ебанулся?

Альтернативные DNS-сервера с поддержкой DNSCrypt от анончиков:
https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
Часть из них утверждает, что даже логов не ведут.

Конпеляй-запусакич: https://github.com/Cofyc/dnscrypt-wrapper
#22 #31339
>>31337
Тупой вопрос, а можно ДНС в Тор насильно перенаправить? Например изпод виртуал?
#23 #31344
>>31339
Можно, тор умеет работать как DNS-сервер. Запускаешь, указываешь его в системных настройках.
#24 #31347
>>31344
Спасибо
#25 #34315
>>26274

>Подними свой DNS-сервер


Вот тебе случай из практики. Провайдер перехватывает весь траффик на 53 потру, к какому бы серверу ты не обращался, и на заблокированные домены возвращает ip заглушки. Хоть ты к гугловскуму серверу обращайся, хоть к своему личному. Вот тут то меня DNSCrypt и спас, настроил все на OpenWRT, отлично работает.
Бамп, кстати.
#26 #34339
>>26227 (OP)
Лол. Зашел на сайт DNSCrypt.

>The Yandex web browser is a free, fast and secure web browser.


Нет, чтобы ungoogled-chromium продвигать.
#27 #34367
Лол, мой тред еще не утонул. Писал оп пост в пяном угаре кстати.
#28 #34430
>>26227 (OP)
DNScrypt в помощь
#29 #34562
>>26227 (OP)
Добрый день. Привела сюда проблема.
Живем в гейропке, в студенческом кампусе. На весь кампус одна Wi-Fi сеть.
Есть так же поехавшая соседка живущая через стену. Когда выходил на балкон услышал, что она разговаривает с кем-то и говорит: "Он почистил все переписки". У меня привычка я раз в месяц-два чищу переписки в соц.сетях. На похожие разговоры натыкался не единожды, у меня есть реально подозрение, что она снифит мой траффик. Я полный профан в этом деле, даже матчасти не знаю. Пришел сюда за советом, может быть есть какое-то простое решение задетектить ее атаку? Просто узнать это моя паранойя или действительно она что-то мутит.
#30 #34712

>dnscrypt



Назрела пара вопросов. Настроил сабж на своём опенВРТ роутере пару минут назад по гайду с официального сайта пришивки, закинул новый dnscrypt-resolvers.csv, работоспособность проверил следующим образом, из списка серверов сначала выбрал cisco-familyshield, который блочит НЕЖЕЛАТЕЛЬНЫЙ КОНТЕНТ и пытаясь зайти на порнхаб, например, тебя сервер опенднс редиректит на свою заглушку, открыл несколько разных браузеов и в ведройдовском хроме отключив экономию трафика которое сама по себе является функцией (очевидно гугловского) днс сервера с прокси, почистив историю и пытаясь зайти на порнхаб (который кстати у моего провайдера не заблочен или блочится только по днс запросу) получаю ту-же самую заглушку опенДНС. Вроде бы всё работает, но хотелось бы как-нибудь проверить, действительно ли криптуются запросы. Так вот как это можно сделать из локальной сети? Ведь от клиента к роутеру и обратно запрос идёт обычным методом. Алсо, я считал, что настройка днскрипт поможет заходить на русракер без плагина, но браузер кукарекает на попытку МиТМ, значит ли это что у прова стоит ДПИ или он просто по заголовкум прилетающих пакетов детектит, что этот сайт в блоке и надо резать?
#31 #34718
>>34712
Для начала выбери нормальный сервер, opennic, например (fvz-anyone, fvz-anytwo).
Проверить можно, временно изменив в файле /etc/config/dhcp строку "list server '127.0.0.1#2053'" на заведомо неправильную, например написать неправильный порт после решетки. При правильной настроке, после перезагрузки dnsmasq адреса должны перестать резолвиться совсем.
Если работаешь в windows, не забывай сбрасывать кеш dns командой ipconfig /flushdns после изменения настроек на роутере.

>Алсо, я считал, что настройка днскрипт поможет заходить на русракер без плагина


Провайдеры уже давно не ограничиваются одним лишь dns спуфингом. Шифрование dns запросов необходимо, но не достаточно для обхода блокировки.
#32 #34719
>>34339
В яндекс-браузере просто поддержка dnscrypt из коробки разумеется на их dnscrypt сервер, но все же
https://habrahabr.ru/company/yandex/blog/280380/
#33 #34725
>>26227 (OP)
Че несешь. Разве в впн днс-запросы не проталкиваются по каналу?
#34 #34726
оп-хуй

(Опционально) Проталкивание изменений DNS для перенаправления всего трафика через VPN

Сделанные нами настройки создают VPN соединение между двумя машинами, но они не заставляют эти машины использовать VPN соединение. Если вы хотите использовать VPN соединение для всего своего трафика, вам необходимо протолкнуть (push) настройки DNS на клиентские машины.

Для этого вам необходимо раскомментировать несколько директив. Найдите секцию redirect-gateway и удалите ";" из начала строки для расскоментирования redirect-gateway:
/etc/openvpn/server.conf

push "redirect-gateway def1 bypass-dhcp"

Чуть ниже находится секция dhcp-option. Удалите ";" для обеих строк:
/etc/openvpn/server.conf

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Это позволит клиентам сконфигурировать свои настройки DNS для использования VPN соединения в качестве основного.
#35 #34759
>>34725
По vpn каналу? Как настроишь.
Проблема в том, что само по себе общение с dns сервером не зашифровано, для решения этого и был создан dnscrypt. В связи с массовым dns спуфингом со стороны провайдеров, шифровать dns запросы очень важно, не только, чтобы обезопасить себя от подмены ответов, но и для того, чтобы лишний раз не оставлять логов посещенных адресов у провайдера.
Как вариант, можно просто завернуть dns трафик через vpn туннель, это всего лишь один из вариантов решения проблемы.
Тред утонул или удален.
Это копия, сохраненная 25 декабря 2017 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
« /crypt/В начало тредаВеб-версияНастройки
/a//b//mu//s//vg/Все доски