Комментарии 65
А как сейчас с поддержкой самого DNSCrypt на DNS-серверах Яндекса?
Использую эти DNS-серверы для своих сайтов (через Яндекс.Почту для домена) и очень хотел бы узнать, поддерживают ли они такую защиту.
Использую эти DNS-серверы для своих сайтов (через Яндекс.Почту для домена) и очень хотел бы узнать, поддерживают ли они такую защиту.
+1
DNS сервера Яндекса, которые отвечают за почту для домена не нуждаются в DNSCrypt, т.к. эта защита предназначена для других целей — для защиты от подмены ответа на уровне провайдера, локальной сети, т.е. между клиентом и сервером. Применительно к хостингу почты или DNS для домена она непонятно зачем нужна.
Для подтверждения достоверности ответа DNS сервера используется другая технология DNSSEC
Для подтверждения достоверности ответа DNS сервера используется другая технология DNSSEC
+3
например, тот же OpenDNS
Который точно так же, как Google или Яндекс, логгирует DNS-запросы с целью анализа предпочтений пользователей.
Лучше уж выбрать один из серверов, поддерживаемых энтузиастами, который не ведёт журнал запросов: github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
А вот защита против подмены DNS-серверов зловредами — это хорошо. Но ещё лучше, добавить на роутере правило файерволла, заворачивающего на роутер весь клиентский трафик по 53 порту. В таком случае, независимо от того, какой DNS указан в свойствах сетевого подключения у клиента, все DNS-запросы будут поступать на роутер. А уже там можно и DNSCrypt поднять, если нужно, или просто использовать DNS провайдера.
Который точно так же, как Google или Яндекс, логгирует DNS-запросы с целью анализа предпочтений пользователей.
Лучше уж выбрать один из серверов, поддерживаемых энтузиастами, который не ведёт журнал запросов: github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
А вот защита против подмены DNS-серверов зловредами — это хорошо. Но ещё лучше, добавить на роутере правило файерволла, заворачивающего на роутер весь клиентский трафик по 53 порту. В таком случае, независимо от того, какой DNS указан в свойствах сетевого подключения у клиента, все DNS-запросы будут поступать на роутер. А уже там можно и DNSCrypt поднять, если нужно, или просто использовать DNS провайдера.
+1
Придумать можно и еще лучше, но, например, моя мама это не осилит.
+2
Ну, мы же написали, что не планируем ограничивать пользователей только Яндекс.DNS серверами. В настройках можно будеть выбрать любой сервер из этого списка.
+5
А как насчёт обратной ситуации? Пользователи dnscrypt-proxy смогут подключаться к ресолверу Яндекса?
+1
Могут:
resolver-address=77.88.8.78:15353 provider-name=2.dnscrypt-cert.browser.yandex.net provider-key=D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327
+5
Работает. Спасибо. IPv6 для dnscrypt.yandex.net планируется?
+1
Спасибо, уже добавили :)
+3
У вас возникли какие-то проблемы с просроченным сертификатом?
github.com/jedisct1/dnscrypt-proxy/issues/801
github.com/jedisct1/dnscrypt-proxy/issues/801
0
Если я хочу на виртуальной машине поднять локальный dnscrypt, то где искать мануал? И к какому серверу снаружи цепляться?
+1
См. мой коммент выше
+1
Клиентский софт под разные ОС и мануал по настройке в Unix: https://www.dnscrypt.org
В Windows удобнее всего запускать в виде службы, один из клиентов это умеет.
Мануал по настройке на OpenWRT, который я переводил с английского: https://wiki.openwrt.org/ru/inbox/dnscrypt
Цепляться можете к любому серверу с поддержкой DNSCrypt: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv (я выбрал себе сервер географически поближе и без логгирования запросов). Или вон к серверу Яндекса.
В Windows удобнее всего запускать в виде службы, один из клиентов это умеет.
Мануал по настройке на OpenWRT, который я переводил с английского: https://wiki.openwrt.org/ru/inbox/dnscrypt
Цепляться можете к любому серверу с поддержкой DNSCrypt: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv (я выбрал себе сервер географически поближе и без логгирования запросов). Или вон к серверу Яндекса.
+3
спасибо, настроил свой openwrt
+1
Добавьте ещё в Network → Firewall → Custom Rules (или в /etc/firewall.user, что одно и то же)
iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
Во-первых, это защитит от малвари, подменяющей у клиентов адрес DNS-сервера, во-вторых, защитит от утечки DNS в Windows 10. Весь клиентский DNS-трафик (по 53 порту) будет принудительно завёрнут на роутер.
iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
Во-первых, это защитит от малвари, подменяющей у клиентов адрес DNS-сервера, во-вторых, защитит от утечки DNS в Windows 10. Весь клиентский DNS-трафик (по 53 порту) будет принудительно завёрнут на роутер.
+1
Вроде разобрался. Кстати, у меня openNIC почему-то .lib не разрешает. Или я чего-то не понял?
meklon@meklon-desktop:~$ dig @89.111.13.60 http://flibusta.lib/
; <<>> DiG 9.9.5-11ubuntu1.3-Ubuntu <<>> @89.111.13.60 http://flibusta.lib/
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60226
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;http://flibusta.lib/. IN A
;; AUTHORITY SECTION:
. 3600 IN SOA ns0.opennic.glue. hostmaster.opennic.glue. 2016032914 1800 900 604800 3600
;; Query time: 232 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 18:39:14 MSK 2016
;; MSG SIZE rcvd: 100
+1
У меня разрешает, но я сейчас использую просто один из серверов OpenNIC (91.214.71.181), без поддержки DNSCrypt.
+1
Я сейчас напрямую запросил из консоли… А что отвалилось-то, интересно. Можете свою консоль показать?
+1
Так может, сервер конкретный просто не поддерживает Namecoin-домены?
+1
Перебрал те, что висят на главной странице. Вы какой используете?
+1
Ближайшие ко мне
91.214.71.181
89.111.13.60
Консоль покажу чуть позже.
91.214.71.181
89.111.13.60
Консоль покажу чуть позже.
+1
Без http:
root@ubuntu:/home/test# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17714
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86366 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 09:31:55 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @91.214.71.181 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @91.214.71.181 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18675
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86320 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 91.214.71.181#53(91.214.71.181)
;; WHEN: Tue Mar 29 09:32:41 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17714
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86366 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Tue Mar 29 09:31:55 PDT 2016
;; MSG SIZE rcvd: 57
root@ubuntu:/home/test# dig @91.214.71.181 flibusta.lib
; <<>> DiG 9.9.5-11ubuntu1-Ubuntu <<>> @91.214.71.181 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18675
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86320 IN A 81.17.19.227
;; Query time: 2 msec
;; SERVER: 91.214.71.181#53(91.214.71.181)
;; WHEN: Tue Mar 29 09:32:41 PDT 2016
;; MSG SIZE rcvd: 57
+1
http уберите.
$ dig flibusta.lib @89.111.13.60 +short
81.17.19.227
$ dig flibusta.lib @89.111.13.60 +short
81.17.19.227
+1
Жаль только, что на .lib доступны не все книги, как и на "обычном" домене. Иногда можно наткнуться на "Доступ к книге ограничен по требованию правоторговца". На .onion и .i2p доменах, например, доступны все книги. Я писал администрации, но, видимо, нужно активнее тормошить, одного раза мало.
+1
Так это сделано специально против наездов копирастов. Хотя, с тех пор, как их блокируют, возможно, это потеряло смысл.
+1
Тогда я не совсем понимаю логику.
flibusta.is — книги недоступны. Ок, против наездов, это понятно. Основной домен.
flibustahezeous3.onion и flibusta.i2p — все книги доступны
flibusta.lib — недоступны
Мне видится, что .lib ближе к .onion и .i2p. В том смысле, что для доступа к доменам в этих зонах нужен спецсофт (EmerCoin, Tor, I2P). Тогда логично и доступ к книгам там тоже сделать полный.
flibusta.is — книги недоступны. Ок, против наездов, это понятно. Основной домен.
flibustahezeous3.onion и flibusta.i2p — все книги доступны
flibusta.lib — недоступны
Мне видится, что .lib ближе к .onion и .i2p. В том смысле, что для доступа к доменам в этих зонах нужен спецсофт (EmerCoin, Tor, I2P). Тогда логично и доступ к книгам там тоже сделать полный.
0
О. Отлично, спасибо. Тогда надо их сервера прописать. И домены вне ICANN и DNSCrypt сразу.
+1
Браузеры сейчас слишком "фрэндли".:) Видишь чистый адрес, а копируешь — .
+1
Firefox этим не страдает вроде) У меня другая фигня, на Mikrotik прописаны эти DNS, но lib не разрешает. Остальные адреса работают. Mikrotik кэширует запросы. Если локально поменять DNS, то все работает.
+1
![](https://habrastorage.org/files/b06/b3a/a61/b06b3aa61190448db578aa18cf8d65a5.png)
В динамических серверах висят сервера Ростелекома, что странно. Хотя вроде заданы openNIC.
+1
Это потому, что «http: // flibusta.lib /» не является доменным именем, а в DIG нет проверки допустимости доменного имени.
Вот корректный запрос:
Вот корректный запрос:
[root@mail mail]# dig @89.111.13.60 flibusta.lib
; <<>> DiG 9.9.8-P4 <<>> @89.111.13.60 flibusta.lib
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35962
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 86381 IN A 81.17.19.227
;; Query time: 46 msec
;; SERVER: 89.111.13.60#53(89.111.13.60)
;; WHEN: Wed Apr 06 10:17:17 YEKT 2016
;; MSG SIZE rcvd: 46
0
Провайдер блокирует все DNS запросы, кроме как к своему серверу. Типа, для того, чтобы «защитить пользователей» (например, не пускать на оппозиционные сайты). Поможет ли DNSCrypt в этой ситуации?
+3
Запросы передаются в зашифрованном виде между браузером и сервером. Думаю, это должно защитить запрос от перехвата. Если скачаете бету и попробуете, то расскажите, пожалуйста.
+6
НЛО прилетело и опубликовало эту надпись здесь
50 на 50. У вышестоящего провайдера может оказаться DPI, который перехватит ваш запрос уже по URL.
Попробуйте Blockcheck.
Попробуйте Blockcheck.
+1
Когда для Linux выйдет Stable с подписью не в слабой SHA1 и чтобы ещё не нужно было зонды выковыривать и отключать из опасения что попал не в Chromium а на рекламный стенд с видеокамерами и аналитиками заглянул?
-2
Новость отличная, просто замечательная!
Не-TLD домены будут резолвится через системный резолвер, предусмотрели это?
Роутеры, кстати, до сих пор взламывают и прописывают DNS, которые проксируют сайты и добавляют рекламу. Один недоброжелатель скопировал мой сайт с моей почтой на IP, которые прописывает в качестве DNS во взломанных роутерах, и взломанные люди пишут об этом мне, т.к. на скопированном сайте не сменили почту.
Не-TLD домены будут резолвится через системный резолвер, предусмотрели это?
Роутеры, кстати, до сих пор взламывают и прописывают DNS, которые проксируют сайты и добавляют рекламу. Один недоброжелатель скопировал мой сайт с моей почтой на IP, которые прописывает в качестве DNS во взломанных роутерах, и взломанные люди пишут об этом мне, т.к. на скопированном сайте не сменили почту.
+3
Так делать не совсем правильно, т.к. мы же не знаем, что это за домен, может человек у себя на роутере настроил DNSCrypt, который идёт в его же собственный DNS сервер, который умеет на эти домены тоже что-то отвечать.
Поэтому там логика такая: если NOT FOUND через DNSCrypt, то идём в системный резолвер.
Однако, скоро появится дополнительный флаг "Не использовать системный резолвер, если включен DNSCrypt".
Это слегка усилит приватность и позволит избежать ненужной утечки DNS запросов.
Поэтому там логика такая: если NOT FOUND через DNSCrypt, то идём в системный резолвер.
Однако, скоро появится дополнительный флаг "Не использовать системный резолвер, если включен DNSCrypt".
Это слегка усилит приватность и позволит избежать ненужной утечки DNS запросов.
+2
Позвольте узнать, а сервер DNS яндекса, к которому уходят запросы, случаем не имеет отношения к dns.yandex.ru ??
А то у меня заведён тикет в саппорт яндекса на тему его глючности — то и дело начинает валить ошибку на всё подряд "домен не найден" с редиректом на сайт яндекса. Я по этой причине отказался использовать данный сервис в корпоративной среде.
Яндекс тогда ответил "спасибо, знаем, сообщим", пока ещё не сообщали.
А то у меня заведён тикет в саппорт яндекса на тему его глючности — то и дело начинает валить ошибку на всё подряд "домен не найден" с редиректом на сайт яндекса. Я по этой причине отказался использовать данный сервис в корпоративной среде.
Яндекс тогда ответил "спасибо, знаем, сообщим", пока ещё не сообщали.
0
В собственно Chromium поддержку DNSCrypt с кастомными адресами DNS добавите? Или эта фича только для (уж простите) неприемлемого для меня Яндекс Браузера?
0
Спасибо. Обожаю Яндекс Браузер и разные его фишечки. После того как изуродовали старую Оперу — это просто бальзам на душу.
+1
Простите, а где теперь скачать альфа версию с новым интерфейсом которая? очень уж понравилась)
browser.yandex.ru/future перебрасывает на бету(
browser.yandex.ru/future перебрасывает на бету(
0
Весьма интересная статья, очень хорошо иллюстрирующая ключевой момент в адресации в интернет.
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
0
Из условий использования Yandex.DNS, через который работает DNSCrypt в Яндекс.Браузер: https://yandex.ru/legal/dns_termsofuse/
2.8. Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация: тип и модель устройства Пользователя, тип операционной системы устройства Пользователя, перечень доменных имен веб-сайтов, посещаемых Пользователем, а также иная статистическая информация об использовании Сервиса и техническая информация. Указанная информация хранится и обрабатывается Яндексом в соответствии с Политикой конфиденциальности (https://yandex.ru/legal/confidential/). Указанная информация может также храниться и обрабатываться аффилированными компаниями Яндекса, и Пользователь настоящим дает согласие на передачу такой персональной информации таким лицам.
Каким компаниям Яндекс передает (обезличенные) логи DNS?
Является ли IP-адрес обезличенной "технической информацией" или "статистической информацией"?
Что именно из перечисленной информации утекает в запросах DNSCrypt ("тип и модель устройства Пользователя, тип операционной системы устройства")?
0
Яндекс – это группа компаний, а не одна. Об этом и речь.
DNScrypt работает не только через Яндекс.ДНС. Там большой выбор.
Мне кажется, что любой крупный проксирующий сервер или сервер, отвечающий на DNS-запросы, логирует техническую информацию о запросах. Например, у меня есть сайт, и я вполне логирую все IP-адреса посетителей. Но я могу ошибаться, т.к. работаю в другой команде.
DNScrypt работает не только через Яндекс.ДНС. Там большой выбор.
Мне кажется, что любой крупный проксирующий сервер или сервер, отвечающий на DNS-запросы, логирует техническую информацию о запросах. Например, у меня есть сайт, и я вполне логирую все IP-адреса посетителей. Но я могу ошибаться, т.к. работаю в другой команде.
0
В версии 17.11.1 DNSCrypt не работает от слова совсем.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Решаем проблему перехвата и подмены DNS-запросов. DNSCrypt в Яндекс.Браузере