Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurit...) исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, что для UDP в силу более простой организации перехвата доля проблемных систем заметно выше, но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России с 44 AS (28%), в США с 15 AS (9%), Бразилии и Индонезии (по 7 AS, 4%).
Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) свой подставной ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики.
Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS. При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.
URL: https://www.theregister.co.uk/2018/08/20/dns_interception/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49162
И не только перехватывается, а еще и модифицируется DNS трафик провайдерами, что является MITM атакой.
А я купил ProtonVPN. Там свои DNS-сервера с шифрованием данных. :)
Посмотрел, неплохо. Ребята из ЦЕРН времени зря не теряют... Я вот со своим древним ВПНом без IPv6, без шифрования днс, без всяких новомодных технологий микширования трафика... Но пришло время наверно что-то менять) В связи с законом Яpoвой, пора скрывать и днс, а то больно дядюшка майор любобытный стал...
они совесть теряют - впаривают про прайвеси и сесурити, у самих на страничке гуглтагменеджеры, фейсбуки с твитерами ваши фаерфоксы фингерпринтят. Нафик таких ребят.
Дженерик проприетарщина под лейблом ЦЕРНА.
И никудааа, никуда мне не деться от этаваааа...
Используй dnscrypt, Люк
noob-friendly маны для опенврт доставьте
opkg install dnscrypt-proxy
А вообще есть stubby.
В репах штарьё, новую версию надо самому заливать
https://github.com/jedisct1/dnscrypt-proxy/wiki/Differences-...
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation...
Первая версия не без проблем, но работает нормально. Вторая на любителя, если мы говорим про openwrt. И неадекватность автора смущает.
Неадекватность?
Пишет в твиттере, что днскрипт нужен разработчик. На вопрос, что он использует для шифрования днс отвечает, что впн. Через некоторое время внезапно полностью удаляет репозитарий, домен днскрипт редиректит сначала на статью про днс-овер-тлс на тенте, потом на днсприваси. Вскоре появляется готовый днскрипт в2, а предыдущий "устарел". Затычка в каждом посте на хакерньюс, реддите и опенврт. Ведёт холивар против днс-овер-тлс с аргументами вроде "существует много инструментов для анализа тлс, а вот для протокола днскрипт нет" и ещё всякое про то, как плохо работает днс-овер-тлс. На реддите комментарии "днс-овер-тлс юзелесс" и тд. В посте на хакерньюс про поддержку резолва днс через тор у клаудфаер (для понимания - можно использовать днс резолвер от клаудфаер не выходя из тора) он написал коммент, что днскрипт поддерживает тор и указывает настройку прокси для днскрипт (то есть речь про прокси-сервер в тор-клиенте).
Вы потеряли важную деталь. Он говорит днс-овер-тлс юзлес, а вот днс-овер-хттпс одобряет. И его днскрипт2 поддерживает DoH.
https://github.com/jedisct1/dnscrypt-proxy/issues/68
> Implementing DNS-over-TLS is not planned since it provides no benefits over DNS-over-HTTP/2.https://dnscrypt.info/faq/
> DNS over TLS (RFC7858)
> Uses a dedicated port (853) likely to be blocked or monitored in situations where DNS encryption is useful
> Questionable practical benefits over DoHИ остальные пункты можете глянуть у обоих.
Более того, его днскрипт2 выглядит палочкой-выручалочкой для старых необновляемых ОСей, где не будет нативной поддержки DoTLS/DoH, но шифровать хочется. И не обязательно его собственный протокол юзать, а можно взять DoH, что прекрасно.
>Вы потеряли важную деталь.Не упускал, я знаю об этом. Но этого никак не меняет написанного. DoH нужен, чтобы оправдать существование dnscrypt-proxy сегодня.
Практически всё, что написано в этом факе это мягко говоря сомнительно. Я уже писал про его уровень аргументации.
Ты настолько внимательно следил за ним, что аж упустил причину по которой автор переписал клиент from scratch на go? Сдается мне, у тебя стойкое НЕСОГЛАСИЕ с ним по тем или иным вопросам.
Если есть что-то конкретное, что сказать, то скажи. Возможно есть какие-то оправдания неадекватного поведения автора dnscrypt-proxy на протяжении уже нескольких месяцев, которое я действительно упустил.
>[оверквотинг удален]
> тенте, потом на днсприваси. Вскоре появляется готовый днскрипт в2, а предыдущий
> "устарел". Затычка в каждом посте на хакерньюс, реддите и опенврт. Ведёт
> холивар против днс-овер-тлс с аргументами вроде "существует много инструментов для анализа
> тлс, а вот для протокола днскрипт нет" и ещё всякое про
> то, как плохо работает днс-овер-тлс. На реддите комментарии "днс-овер-тлс юзелесс" и
> тд. В посте на хакерньюс про поддержку резолва днс через тор
> у клаудфаер (для понимания - можно использовать днс резолвер от клаудфаер
> не выходя из тора) он написал коммент, что днскрипт поддерживает тор
> и указывает настройку прокси для днскрипт (то есть речь про прокси-сервер
> в тор-клиенте).Вы сами то достаточно сумбурно пишите ))
Вторая версия разрабатывалась еще в 2017 году, в паралели с 1-й.
На реддите смотрите даты постов.
Зачем ДНС от клаудфаера, если пользуешься Tor?
Про поддержку написал, т.к. в *toml (конфиг), действительно есть подобная настройка.
Что не так то?
Хотя, имхо, dnscrypt over tor избыточно!
> Зачем ДНС от клаудфаера, если пользуешься Tor?У DNS-сервера клаудфлары есть скрытый сервис Tor, в отличии от многих других. Хотя доверия самой клаудфларе это не прибавляет.
Здорово. Т.е. когда днс-запросы могут идти через разные выходные ноды,
мы будем принудительно их загонять в клаундфларовский? Тем самым собственоручно
сводить все преимущества dns over tor к 0?
Если я правильно тебя понял, то не сводит, т.к. для клаудфлары ты все равно будешь анонимным пользователем.P.S. Запросы к скрытым сервисам не ходят через выходные ноды.
Так то оно так, только вот в чем проблемка..
В Клаунфларе будут сосредоточены все твои запросы,
что не помешает их проанализировать и сколирировать.
Причем все зависит еще от того, содержат ли запросы информацию,
по которой можно будет профилировать с тобой (?) (вконтактики и прочие ацкие места)
Причем фингерпринтинг браузера никто не отменял!
>Вы сами то достаточно сумбурно пишите ))))))
>Вторая версия разрабатывалась еще в 2017 году, в паралели с 1-й.Ладно. Не отменяет всего остального.
>Зачем ДНС от клаудфаера, если пользуешься Tor?Не имеет отношения к моему комментарию.
А есть какие-то подвижки чтоб на опенврт завезли последнюю версию днс-крипта?
На форуме опенврт всё есть.
Или купи нормальный VPN (или настрой свой с шифрованием днс-трафика).
храни деньги в банке под кроватью
Лучше в лесу ))) По GPS метке
Будете хранить в банке заранее посчитайте потери по ссылке http://www.banki.ru/investment/
Например, если в Вашей банке в лесу по GPS метке будет лежать 1 мильон, то Вы потеряете 25 тыс. за этот год на инфляции
Потери со слов руководства 4%
Реально 24%
Не хотите заморачиваться держите в баксах )))
Нет никаких потерь, жидомасоны тебе и не такого насчитают)
100пудофф!! Только вот инфляцию никто в РФ не отменял.
Причем, открою великую/сокральную истину, уровень у каждого свой.
Так как структура дохода и расходов у всех разная...
Если устраивает средняя температура от Росстата, твое право ! ))))
dnsprivacy.org
решение: использовать 127.0.0.1:9050 (tor-dns) в качестве DNS?
как вариант, но резольвит тока A записи.
9053.
Отсутствие Беларуси в первых строчках списка говорит о том, что оперативно-аналитический центр работает более чисто чем китайские коллеги.
Может, по технической оснащенности или грамотности отстают?..
> Может, по технической оснащенности или грамотности отстают?..Увы. Вы недооцениваете жэсточайшесть Александра Григорьевича и becloud
Отсутствие Беларуси в первых строчках списка говорит о том, что никому из исследователей нет дела до Беларуси
Тем не менее, в Беларуси dns перехватывается. Например, тот же лурк не открывается, выдавая стандартную заглушку про <<не пущю!>>. Спасибо firefox за network.trr.
дружище, мне для этого нахрен не надо перехватывать dns.
А что тебе надо?
Шоколяда
железку уровня asr9000, если не резервируем - то можно ровно одну. Для магистрала, покупающего их совсем не по 'gpl', ничего особенного.
И рядом наколеночная поделка на линухе, анонсящяя подлежащие блокировке сетки. девятитысячная не лопнет. А траффика на эти адреса - на самом деле кот наплакал (в том числе, понятно, потому, что хрен ты до тех адресов дойдешь), проэтому и на тот линух, где стоит вебсервер с единственной страничкой с которой грозит пальцем "допереключаешься!" товарищ майор, тоже нагрузочка небольшая. Раньше из большой любви к вам мы там даже парсили на лету sni, отбрасывая только то, что на самом деле подлежало блокировкам, но товарищ майор из соседней страны, увы, велел прекращать самодеятельность.и зачем тут перехватывать dns, спрашивается?
Опять нагнетают чтобы все ихним одним DNS сервером через TLS пользовались, ну и они там заодно были в курсе кто куда и с кем.
Вмешательство в пользовательский трафик плохо, но централизованные сервисы ещё хуже.
именно так. я тоже у себя пеерехватываю 8.8.х.х (и блочу) с телевизора в локалке чтобы убрать надоедливую рекламу на трубе и прочих.
я так понимаю, теперь они хотят прикрыть это дело, напугав хомячкофф злыми провайдерами и прочим. напоманиает т.н. 'борьбу с терроризьмом' ;)))
Нет уж, лучше централизованные сервисы, чем перехват товарищем майором
Как будто централизованные сервисы не сольют по запросу всё, что надо, товарищу майору. Наивный чукотский мальчик.
Майор там не в почете
Как не поверить анонимусу.
Верь мне.. точно не в почете
А потом эти люди Твиттер лечат
Мы всех лечим
Хотите вылечить весь мир - начните с себя!
> Нет уж, лучше централизованные сервисы, чем перехват товарищем майоромпендосский гугл конечно не льет инфу в АНБ, напрямую ;) а централизация имени СШП уже проходили со свифтом
вот только из сша нет сообщений о неадекватных блокировках по щучьему велению.
Блокировки были как раз-таки более, чем адекватны. Ненормально, когда отечественные порталы располагаются на серверах в стране, где бешеный принтер каждые полгода генерирует новые санкции. Поэтому кто понял намёк - те просто перевели свои порталы на отечественный хостинг, а кто надеется проскочить по типу Дерипаски (который поначалу тоже думал, что "пыль глотать" - образное выражение, а сейчас переводит бабки в российские оффшоры) - начали городить VPN.
Какой-то поток шизофазии, как будто в голову шизофреника посмотрел.
> вот только из сша нет сообщений о неадекватных блокировках по щучьему велению.оттуда большинство заявлений надекватные, и блокировки не ограничиваются цифровым миром ;)
там больше "сучее" веление (в числе прочих) и как её зовут - вполне читаетсяА вот ябл вполне блокирует свои ресурсы от запросов из Крыма и гугл тоже этим страдает...
вот такие они "адекватные/справедливые/демократичные"
Вообще-то АНБ, если верить Сноудену, взломала серваки Гугла и систематически похищала инфу
> Вообще-то АНБ, если верить Сноудену, взломала серваки Гугла и систематически похищала инфуой, белый и пушистый гугл - завязывайте уже с иллюзиями
Только в краткосрочной перспективе.
В долгосрочной это приведёт к тому, что у тебя или твоих майоров покончают или их тупо станет в два раза больше.
В любом случае станет сильно хуже, но варить будут медленно.
p2p решает обе проблемы в принципе.
Кто там покончает и кого станет больше?
Об чем речь то???
Кто запрещает использовать не ихний DNS-сервер через TLS? Жидомасоны?
> Кто запрещает использовать не ихний DNS-сервер через TLS? Жидомасоны?именно https://ru.wikipedia.org/wiki/Корневые_серверы_DNS
или им подконтрольные, о чудо...
man opennic
> man opennicLike all alternative root DNS systems, OpenNIC-hosted domains are unreachable to the vast majority of Internet users, because they require a non-default configuration in one's DNS resolver.
Внезапно, да?
> Внезапно, да?очевидно и потому неюсабельно
Юзабельно, но централизованно. И всю инфрастктуру держат полтора землекопа.
Вам шашечки или ехать?
Хотите поиграть в шпиенов - выбирайте альтернативные днс. Хотите подключаться к нынешней инфраструктуре - используйте что дают, огораживаясь от васянов и рекламы провайдера днскриптом
Не чей?
У меня стоит unbound и он сам делает и рекурсию и кеширование.
Я бы мог вынести ещё один куда то и совокупить их по TLS, но пока не испытываю в этом потребности.Чужим DNS для рекурсии я пользоваться не хочу в принципе, потому что это полный слив того что я читаю=потеря приватности.
Ну да. Запросы к рутам же не перехватываются.
DNSSEC.
> DNSSEC.От _перехватывания_ и чтения "всеми, кому не лень", не поможет.
Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам из домашней сети (или туннелировать запросы к ним). Но тогда зарубежные майоры запросы перехватят.
> Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам
> из домашней сети (или туннелировать запросы к ним). Но тогда зарубежные
> майоры запросы перехватят.ну вот и пришли к началу ;)
Ну не совсем..
Кому какие майоры ближе ))
И не стоит еще забывать, что SNI передается в открытом виде.
Что делает бессмысленным весь топик.
> Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам
> из домашней сети (или туннелировать запросы к ним).Когда я последний раз тыкал туннелирование, то все "предоставители услуг" как-то не вызывали особого доверия. Сливать, хоть и по шифрованному каналу, данные клаудфлеру и прочим - абсолютно никакого желания. Хотя, если честно, и нон-профитники не вызывают особого доверия.
Поэтому у меня компромис - все запросы распределяются на десяток адресов нон-профитников:
forward-addr: 194.150.168.168 # AS250.net Foundation
forward-addr: 9.9.9.10 # Quad9
forward-addr: 89.233.43.71 # unicast.censurfridns.dk
forward-addr: 194.132.32.32 # PrivActually Ltd
forward-addr: 82.141.39.32 # ns1.de.dns.opennic.glue
forward-addr: 94.247.43.254 #ns8.he.de.dns.opennic.glue
forward-addr: 31.171.251.118 # ns1.zh.ch.dns.opennic.glue
forward-addr: 82.196.9.45 # ns1.nh.nl.dns.opennic.glue
ЗЫ: кроме 194.* все умеют в DNSSEC.
Хотя конечно толку от этого на практике …
Почему бы просто не форвардить все запросы на свой сервер в таком случае?
> Почему бы просто не форвардить все запросы на свой сервер в таком случае?Хороший вопрос - а х(то)з(нает).
Вроде бы, когда-то пытался - и оно слишком "тормозило". Но то могла быть и криворукая настройка.
А так, выбрал из списка OpenNic проекта, работает быстро и вполне себе сердито.Но за идею спасибо (вот что значит - шаблон мышления), надо будет на выходных почитать-поковырять.
Почитай-Поковыряй в сторону dns over tor
Ещё раз - у меня пока не актуально, провайдер такой фигнёй не страдает относительно меня.
Тогда зачем-ты что-то пишешь, если для тебя не актуально?
Чтобы обозначить своё негативное отношение к централизации инета в одной юрисдикции.
Занимаюсь. Ты просто не в курсе
Так не пользуйся этим. Кто мешает?
извините, а разве GGC не отвечают на 8.8.8.8 ? а если отвечают, то учитывали ли подобную возможность, я не помню с каких адресов приходит запрос при использовании черного ящика от гугла
>Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России - 44 AS (28%), в США - 15 AS (9%), Бразилии и Индонезии по 7 AS (4%).наибольшая как раз в России: 28% против 17%.
И о чём же тебе это говорит?
В билайне работал, перехватывать начали еще при мне (в 2013м уволился), думаю в этих же годах и остальной крупняк начал заниматься тем же... Ну а кто не начал, тех подмяли.
не переживай, твоих жопоруких коллег уволили следом (пряморукие свинтили еще в 2009м, после слияния в экстазе со свинотелом).
сейчас под вывеской "билайн" работает аутсорсер-которого-нельзя-называть, к билайну ни малейшего отношения не имеющий (нет, по телефону они представятся- билайном). Херней они там не страдают.Блокировки роспозора, разумеется, никакого отношения к dns не имеют и сделаны соврешенно другим способом.
>В билайне работал, перехватывать начали еще при мне (в 2013м уволился)Ну и кем ты там работал, уволенный сотрудник?
>>В билайне работал, перехватывать начали еще при мне (в 2013м уволился)
> Ну и кем ты там работал, уволенный сотрудник?Перехватчиком =)
Привет ТТК, ну как там у тебя дела, всё перехватываешь?
мля, да не занимаюсь я такой херней!
Вы совсем сдурели - зачем мне такая нагрузка на мои ns ?
ТТК подменяла днс ещё до яровых, и сейчас это делает официально.
>Привет ТТК, ну как там у тебя дела, всё перехватываешь?Нет, ставлю тебе дизлайки.
apt-get install dnssec-trigger — минимум, который должны делать клиенты
*должны* - это не демократично !
Вспомни где ты живешь, демократия...
И что это даст? Оно само после установки заработает или настраивать нужно? Я не в теме, разъясните плиз
https://dnssec.vs.uni-due.de/ — проверь до установки и проверь после установки. Если у тебя обычная десктопная система (NetworkManager + любое подключение с DHCP), то настраивать ничего не нужно. Резидентную мониторилку из трея можешь смело отключить.
Сделал. Не помогает!
Что еще нужно?
Научиться описывать проблему или читать документацию — https://access.redhat.com/documentation/en-us/red_hat_enterp...
Почитый молитву. В любом деле помогает!
Какую? Весь во внимание!!
Отче Наш разумеется!
Все эти статьи - реклама шифрования DNS через пугание обывателя
И? А реклама делать перерывы для глаз (бесплатные) через пугание ухудшения зрения вас не бесит?
Интернет - небезопасная среда передачи данных. Все надо шифровать. И днс будем, и SNI. Ибо нефиг.
Товарищ Майор, перелогиньтесь!
Где кнопка? Тыкаю, но не получается
Всегда можно поручить ресолвинг внешнему источнику, если сам не можешь контролировать. В этом ни чего зазорного нет. А вопрос внедрения в трафик своей информации, ну так у нас "демократия" помноженная на "капитализм". Вот исследования (мониторинг) дело полезное и хорошо, что люди делятся своими изысканиями. Спасибо им.
Вот именно что "демократия", да такая демократия, что лысый чорт подтирается всеми статьями Конституции - по страничке на каждое утро. А когда странички заканчиваются - ему приносят новый томик. Иногда он распечатывает ст. 23 и 31, это его любимые. Этими двумя он готов вытирать свою жoпу хоть каждый день.
К чему вся эта истерика? В идеальном "защищенном" варианте это можно решить только если каждый DNS-клиент (чиатй телефон/холодильник) будет рекурсивным с поддержкой крипто и сам будет ходить по всей цепочке серверов. Такой сценарий без локального кеширования "убьет" интернет нагрузкой на крипто и трафик до серверов 1го и 2го уровней. А все остальное это сказки-пугалки для того чтобы перетащить трафик с кешей на сервера "большого брата" и глобально следить за пользючками, не позволяя блочить рекламу/трекеры. А то больно много хомячков научилось hosts-листы использовать. После внедрения крипты останется лишь махонький шажёк - ввести клиентскую аутентификацию запросов ресолвера по какому-нибудь chip-id и больше ни одно тулово не скажет что оно "не ходило" на этот сайт, и вообще у него Tor.
Истерика только в вашей голове. У остальных - меры предосторожности.
Ну расскажи-ка нам всем о мерах предосторожностей против отслеживания посещаемых ресурсов со стороны google/cloudflare?
dnscrypt
убережет от подмены но не от анализа
Этого мало???
- Здравствуйте, беспокоит капитан Всизовский из центра Э-Э по противодействию сами знаете чему. Не могли бы вы зайти к нам побеседовать?
- Что?! В СИЗО... что? Центр? Почему? В чем дело? Я же ничего...
- Вси-зов-ский. Да не волнуйтесь, ну поговорим часок. По поводу вашей страницы ВКонтакте.
- Никогда я не регистрировался ВКонтакте и у меня нет и не было там никаких страниц!
- Вот это и подозрительно...Так что шифрованный днс не спасёт от претензий нкдшников-чекистов
>Так что шифрованный днс не спасёт от претензий нкдшников-чекистовСоветую шапочку из фольги. И хватит переделывать древнючие баяны, совесть-то имей.