Comments 65
А как сейчас с поддержкой самого DNSCrypt на DNS-серверах Яндекса?
Использую эти DNS-серверы для своих сайтов (через Яндекс.Почту для домена) и очень хотел бы узнать, поддерживают ли они такую защиту.
Использую эти DNS-серверы для своих сайтов (через Яндекс.Почту для домена) и очень хотел бы узнать, поддерживают ли они такую защиту.
DNS сервера Яндекса, которые отвечают за почту для домена не нуждаются в DNSCrypt, т.к. эта защита предназначена для других целей — для защиты от подмены ответа на уровне провайдера, локальной сети, т.е. между клиентом и сервером. Применительно к хостингу почты или DNS для домена она непонятно зачем нужна.
Для подтверждения достоверности ответа DNS сервера используется другая технология DNSSEC
Для подтверждения достоверности ответа DNS сервера используется другая технология DNSSEC
например, тот же OpenDNS
Который точно так же, как Google или Яндекс, логгирует DNS-запросы с целью анализа предпочтений пользователей.
Лучше уж выбрать один из серверов, поддерживаемых энтузиастами, который не ведёт журнал запросов: github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
А вот защита против подмены DNS-серверов зловредами — это хорошо. Но ещё лучше, добавить на роутере правило файерволла, заворачивающего на роутер весь клиентский трафик по 53 порту. В таком случае, независимо от того, какой DNS указан в свойствах сетевого подключения у клиента, все DNS-запросы будут поступать на роутер. А уже там можно и DNSCrypt поднять, если нужно, или просто использовать DNS провайдера.
Который точно так же, как Google или Яндекс, логгирует DNS-запросы с целью анализа предпочтений пользователей.
Лучше уж выбрать один из серверов, поддерживаемых энтузиастами, который не ведёт журнал запросов: github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
А вот защита против подмены DNS-серверов зловредами — это хорошо. Но ещё лучше, добавить на роутере правило файерволла, заворачивающего на роутер весь клиентский трафик по 53 порту. В таком случае, независимо от того, какой DNS указан в свойствах сетевого подключения у клиента, все DNS-запросы будут поступать на роутер. А уже там можно и DNSCrypt поднять, если нужно, или просто использовать DNS провайдера.
Придумать можно и еще лучше, но, например, моя мама это не осилит.
Ну, мы же написали, что не планируем ограничивать пользователей только Яндекс.DNS серверами. В настройках можно будеть выбрать любой сервер из этого списка.
А как насчёт обратной ситуации? Пользователи dnscrypt-proxy смогут подключаться к ресолверу Яндекса?
Могут:
resolver-address=77.88.8.78:15353 provider-name=2.dnscrypt-cert.browser.yandex.net provider-key=D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327 Работает. Спасибо. IPv6 для dnscrypt.yandex.net планируется?
Спасибо, уже добавили :)
У вас возникли какие-то проблемы с просроченным сертификатом?
github.com/jedisct1/dnscrypt-proxy/issues/801
github.com/jedisct1/dnscrypt-proxy/issues/801
Если я хочу на виртуальной машине поднять локальный dnscrypt, то где искать мануал? И к какому серверу снаружи цепляться?
См. мой коммент выше
Клиентский софт под разные ОС и мануал по настройке в Unix: https://www.dnscrypt.org
В Windows удобнее всего запускать в виде службы, один из клиентов это умеет.
Мануал по настройке на OpenWRT, который я переводил с английского: https://wiki.openwrt.org/ru/inbox/dnscrypt
Цепляться можете к любому серверу с поддержкой DNSCrypt: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv (я выбрал себе сервер географически поближе и без логгирования запросов). Или вон к серверу Яндекса.
В Windows удобнее всего запускать в виде службы, один из клиентов это умеет.
Мануал по настройке на OpenWRT, который я переводил с английского: https://wiki.openwrt.org/ru/inbox/dnscrypt
Цепляться можете к любому серверу с поддержкой DNSCrypt: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv (я выбрал себе сервер географически поближе и без логгирования запросов). Или вон к серверу Яндекса.
спасибо, настроил свой openwrt
Добавьте ещё в Network → Firewall → Custom Rules (или в /etc/firewall.user, что одно и то же)
iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
Во-первых, это защитит от малвари, подменяющей у клиентов адрес DNS-сервера, во-вторых, защитит от утечки DNS в Windows 10. Весь клиентский DNS-трафик (по 53 порту) будет принудительно завёрнут на роутер.
iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
Во-первых, это защитит от малвари, подменяющей у клиентов адрес DNS-сервера, во-вторых, защитит от утечки DNS в Windows 10. Весь клиентский DNS-трафик (по 53 порту) будет принудительно завёрнут на роутер.
Вроде разобрался. Кстати, у меня openNIC почему-то .lib не разрешает. Или я чего-то не понял?
meklon@meklon-desktop:~$ dig @89.111.13.60 http://flibusta.lib/
; <<>> DiG 9.9.5-11ubuntu1.3-Ubuntu <<>> @89.111.13.60 http://flibusta.lib/
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60226
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;http://flibusta.lib/. IN A
;; AUTHORITY SECTION:
. 3600 IN SOA ns0.opennic.glue. hostmaster.opennic.glue. 2016032914 1800 900 604800 3600
;; Query time: 232 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 18:39:14 MSK 2016
;; MSG SIZE rcvd: 100 У меня разрешает, но я сейчас использую просто один из серверов OpenNIC (91.214.71.181), без поддержки DNSCrypt.
Я сейчас напрямую запросил из консоли… А что отвалилось-то, интересно. Можете свою консоль показать?
Так может, сервер конкретный просто не поддерживает Namecoin-домены?
Перебрал те, что висят на главной странице. Вы какой используете?
Ближайшие ко мне
91.214.71.181
89.111.13.60
Консоль покажу чуть позже.
91.214.71.181
89.111.13.60
Консоль покажу чуть позже.
Без http:
root@ubuntu:/home/test# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17714
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86366 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 09:31:55 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @91.214.71.181 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @91.214.71.181 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18675
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86320 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 91.214.71.181#53(91.214.71.181)
;; WHEN: Tue Mar 29 09:32:41 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17714
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86366 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 09:31:55 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @91.214.71.181 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @91.214.71.181 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18675
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86320 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 91.214.71.181#53(91.214.71.181)
;; WHEN: Tue Mar 29 09:32:41 PDT 2016
;; MSG SIZE rcvd: 57
http уберите.
$ dig flibusta.lib @89.111.13.60 +short
81.17.19.227
$ dig flibusta.lib @89.111.13.60 +short
81.17.19.227
Жаль только, что на .lib доступны не все книги, как и на "обычном" домене. Иногда можно наткнуться на "Доступ к книге ограничен по требованию правоторговца". На .onion и .i2p доменах, например, доступны все книги. Я писал администрации, но, видимо, нужно активнее тормошить, одного раза мало.
Так это сделано специально против наездов копирастов. Хотя, с тех пор, как их блокируют, возможно, это потеряло смысл.
Тогда я не совсем понимаю логику.
flibusta.is — книги недоступны. Ок, против наездов, это понятно. Основной домен.
flibustahezeous3.onion и flibusta.i2p — все книги доступны
flibusta.lib — недоступны
Мне видится, что .lib ближе к .onion и .i2p. В том смысле, что для доступа к доменам в этих зонах нужен спецсофт (EmerCoin, Tor, I2P). Тогда логично и доступ к книгам там тоже сделать полный.
flibusta.is — книги недоступны. Ок, против наездов, это понятно. Основной домен.
flibustahezeous3.onion и flibusta.i2p — все книги доступны
flibusta.lib — недоступны
Мне видится, что .lib ближе к .onion и .i2p. В том смысле, что для доступа к доменам в этих зонах нужен спецсофт (EmerCoin, Tor, I2P). Тогда логично и доступ к книгам там тоже сделать полный.
О. Отлично, спасибо. Тогда надо их сервера прописать. И домены вне ICANN и DNSCrypt сразу.
Браузеры сейчас слишком "фрэндли".:) Видишь чистый адрес, а копируешь — .
Это потому, что «http: // flibusta.lib /» не является доменным именем, а в DIG нет проверки допустимости доменного имени.
Вот корректный запрос:
Вот корректный запрос:
[root@mail mail]# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.8-P4 <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35962
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86381 IN A 81.17.19.227
;; Query time: 46 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Wed Apr 06 10:17:17 YEKT 2016
;; MSG SIZE rcvd: 46
Провайдер блокирует все DNS запросы, кроме как к своему серверу. Типа, для того, чтобы «защитить пользователей» (например, не пускать на оппозиционные сайты). Поможет ли DNSCrypt в этой ситуации?
Запросы передаются в зашифрованном виде между браузером и сервером. Думаю, это должно защитить запрос от перехвата. Если скачаете бету и попробуете, то расскажите, пожалуйста.
50 на 50. У вышестоящего провайдера может оказаться DPI, который перехватит ваш запрос уже по URL.
Попробуйте Blockcheck.
Попробуйте Blockcheck.
Когда для Linux выйдет Stable с подписью не в слабой SHA1 и чтобы ещё не нужно было зонды выковыривать и отключать из опасения что попал не в Chromium а на рекламный стенд с видеокамерами и аналитиками заглянул?
Новость отличная, просто замечательная!
Не-TLD домены будут резолвится через системный резолвер, предусмотрели это?
Роутеры, кстати, до сих пор взламывают и прописывают DNS, которые проксируют сайты и добавляют рекламу. Один недоброжелатель скопировал мой сайт с моей почтой на IP, которые прописывает в качестве DNS во взломанных роутерах, и взломанные люди пишут об этом мне, т.к. на скопированном сайте не сменили почту.
Не-TLD домены будут резолвится через системный резолвер, предусмотрели это?
Роутеры, кстати, до сих пор взламывают и прописывают DNS, которые проксируют сайты и добавляют рекламу. Один недоброжелатель скопировал мой сайт с моей почтой на IP, которые прописывает в качестве DNS во взломанных роутерах, и взломанные люди пишут об этом мне, т.к. на скопированном сайте не сменили почту.
Так делать не совсем правильно, т.к. мы же не знаем, что это за домен, может человек у себя на роутере настроил DNSCrypt, который идёт в его же собственный DNS сервер, который умеет на эти домены тоже что-то отвечать.
Поэтому там логика такая: если NOT FOUND через DNSCrypt, то идём в системный резолвер.
Однако, скоро появится дополнительный флаг "Не использовать системный резолвер, если включен DNSCrypt".
Это слегка усилит приватность и позволит избежать ненужной утечки DNS запросов.
Поэтому там логика такая: если NOT FOUND через DNSCrypt, то идём в системный резолвер.
Однако, скоро появится дополнительный флаг "Не использовать системный резолвер, если включен DNSCrypt".
Это слегка усилит приватность и позволит избежать ненужной утечки DNS запросов.
Позвольте узнать, а сервер DNS яндекса, к которому уходят запросы, случаем не имеет отношения к dns.yandex.ru ??
А то у меня заведён тикет в саппорт яндекса на тему его глючности — то и дело начинает валить ошибку на всё подряд "домен не найден" с редиректом на сайт яндекса. Я по этой причине отказался использовать данный сервис в корпоративной среде.
Яндекс тогда ответил "спасибо, знаем, сообщим", пока ещё не сообщали.
А то у меня заведён тикет в саппорт яндекса на тему его глючности — то и дело начинает валить ошибку на всё подряд "домен не найден" с редиректом на сайт яндекса. Я по этой причине отказался использовать данный сервис в корпоративной среде.
Яндекс тогда ответил "спасибо, знаем, сообщим", пока ещё не сообщали.
В собственно Chromium поддержку DNSCrypt с кастомными адресами DNS добавите? Или эта фича только для (уж простите) неприемлемого для меня Яндекс Браузера?
Это зависит от желания Гугла, без которого ничего в Chromium попасть не сможет.
Не путайте Chromium и Google Chrome.
Спасибо. Обожаю Яндекс Браузер и разные его фишечки. После того как изуродовали старую Оперу — это просто бальзам на душу.
Простите, а где теперь скачать альфа версию с новым интерфейсом которая? очень уж понравилась)
browser.yandex.ru/future перебрасывает на бету(
browser.yandex.ru/future перебрасывает на бету(
Весьма интересная статья, очень хорошо иллюстрирующая ключевой момент в адресации в интернет.
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
Из условий использования Yandex.DNS, через который работает DNSCrypt в Яндекс.Браузер: https://yandex.ru/legal/dns_termsofuse/
2.8. Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация: тип и модель устройства Пользователя, тип операционной системы устройства Пользователя, перечень доменных имен веб-сайтов, посещаемых Пользователем, а также иная статистическая информация об использовании Сервиса и техническая информация. Указанная информация хранится и обрабатывается Яндексом в соответствии с Политикой конфиденциальности (https://yandex.ru/legal/confidential/). Указанная информация может также храниться и обрабатываться аффилированными компаниями Яндекса, и Пользователь настоящим дает согласие на передачу такой персональной информации таким лицам.
Каким компаниям Яндекс передает (обезличенные) логи DNS?
Является ли IP-адрес обезличенной "технической информацией" или "статистической информацией"?
Что именно из перечисленной информации утекает в запросах DNSCrypt ("тип и модель устройства Пользователя, тип операционной системы устройства")?
Яндекс – это группа компаний, а не одна. Об этом и речь.
DNScrypt работает не только через Яндекс.ДНС. Там большой выбор.
Мне кажется, что любой крупный проксирующий сервер или сервер, отвечающий на DNS-запросы, логирует техническую информацию о запросах. Например, у меня есть сайт, и я вполне логирую все IP-адреса посетителей. Но я могу ошибаться, т.к. работаю в другой команде.
DNScrypt работает не только через Яндекс.ДНС. Там большой выбор.
Мне кажется, что любой крупный проксирующий сервер или сервер, отвечающий на DNS-запросы, логирует техническую информацию о запросах. Например, у меня есть сайт, и я вполне логирую все IP-адреса посетителей. Но я могу ошибаться, т.к. работаю в другой команде.
В версии 17.11.1 DNSCrypt не работает от слова совсем.
Sign up to leave a comment.
Решаем проблему перехвата и подмены DNS-запросов. DNSCrypt в Яндекс.Браузере