URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115091
[ Назад ]
Исходное сообщение
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено opennews , 21-Авг-18 12:53 
Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurit...) исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным  DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.

В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, что для UDP в силу более простой организации перехвата доля проблемных систем заметно выше, но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России с 44 AS (28%), в США с 15 AS (9%), Бразилии и Индонезии (по 7 AS, 4%).

Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) свой подставной ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики.

Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS. При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в  которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.

URL: https://www.theregister.co.uk/2018/08/20/dns_interception/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49162

Содержание
Сообщения в этом обсуждении
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 12:53 
И не только перехватывается, а еще и модифицируется DNS трафик провайдерами, что является MITM атакой.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Алексей , 21-Авг-18 20:59 
А я купил ProtonVPN. Там свои DNS-сервера с шифрованием данных. :)
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 21:40 
Посмотрел, неплохо. Ребята из ЦЕРН времени зря не теряют... Я вот со своим древним ВПНом без IPv6, без шифрования днс, без всяких новомодных технологий микширования трафика... Но пришло время наверно что-то менять) В связи с законом Яpoвой, пора скрывать и днс, а то больно дядюшка майор любобытный стал...
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено eth0 , 24-Авг-18 17:34 
они совесть теряют - впаривают про прайвеси и сесурити, у самих на страничке гуглтагменеджеры, фейсбуки с твитерами ваши фаерфоксы фингерпринтят. Нафик таких ребят.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено nextus , 25-Авг-18 14:55 
Дженерик проприетарщина под лейблом ЦЕРНА.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 12:54 
И никудааа, никуда мне не деться от этаваааа...
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Л.Х.В.С. , 21-Авг-18 13:13 
Используй dnscrypt, Люк
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 13:43 
noob-friendly маны для опенврт доставьте
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Имя , 21-Авг-18 14:42 
opkg install dnscrypt-proxy
А вообще есть stubby.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Антуан , 21-Авг-18 15:13 
В репах штарьё, новую версию надо самому заливать
https://github.com/jedisct1/dnscrypt-proxy/wiki/Differences-...
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation...
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 15:42 
Первая версия не без проблем, но работает нормально. Вторая на любителя, если мы говорим про openwrt. И неадекватность автора смущает.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 16:37 
Неадекватность?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 19:48 
Пишет в твиттере, что днскрипт нужен разработчик. На вопрос, что он использует для шифрования днс отвечает, что впн. Через некоторое время внезапно полностью удаляет репозитарий, домен днскрипт редиректит сначала на статью про днс-овер-тлс на тенте, потом на днсприваси. Вскоре появляется готовый днскрипт в2, а предыдущий "устарел". Затычка в каждом посте на хакерньюс, реддите и опенврт. Ведёт холивар против днс-овер-тлс с аргументами вроде "существует много инструментов для анализа тлс, а вот для протокола днскрипт нет" и ещё всякое про то, как плохо работает днс-овер-тлс. На реддите комментарии "днс-овер-тлс юзелесс" и тд. В посте на хакерньюс про поддержку резолва днс через тор у клаудфаер (для понимания - можно использовать днс резолвер от клаудфаер не выходя из тора) он написал коммент, что днскрипт поддерживает тор и указывает настройку прокси для днскрипт (то есть речь про прокси-сервер в тор-клиенте).
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:33 
Вы потеряли важную деталь. Он говорит днс-овер-тлс юзлес, а вот днс-овер-хттпс одобряет. И его днскрипт2 поддерживает DoH.
https://github.com/jedisct1/dnscrypt-proxy/issues/68
> Implementing DNS-over-TLS is not planned since it provides no benefits over DNS-over-HTTP/2.

https://dnscrypt.info/faq/
> DNS over TLS (RFC7858)
> Uses a dedicated port (853) likely to be blocked or monitored in situations where DNS encryption is useful
> Questionable practical benefits over DoH

И остальные пункты можете глянуть у обоих.

Более того, его днскрипт2 выглядит палочкой-выручалочкой для старых необновляемых ОСей, где не будет нативной поддержки DoTLS/DoH, но шифровать хочется. И не обязательно его собственный протокол юзать, а можно взять DoH, что прекрасно.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 22:49 
>Вы потеряли важную деталь.

Не упускал, я знаю об этом. Но этого никак не меняет написанного. DoH нужен, чтобы оправдать существование dnscrypt-proxy сегодня.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 22:53 
Практически всё, что написано в этом факе это мягко говоря сомнительно. Я уже писал про его уровень аргументации.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:36 
Ты настолько внимательно следил за ним, что аж упустил причину по которой автор переписал клиент from scratch на go? Сдается мне, у тебя стойкое НЕСОГЛАСИЕ с ним по тем или иным вопросам.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 22:50 
Если есть что-то конкретное, что сказать, то скажи. Возможно есть какие-то оправдания неадекватного поведения автора dnscrypt-proxy на протяжении уже нескольких месяцев, которое я действительно упустил.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 23:03 
>[оверквотинг удален]
> тенте, потом на днсприваси. Вскоре появляется готовый днскрипт в2, а предыдущий
> "устарел". Затычка в каждом посте на хакерньюс, реддите и опенврт. Ведёт
> холивар против днс-овер-тлс с аргументами вроде "существует много инструментов для анализа
> тлс, а вот для протокола днскрипт нет" и ещё всякое про
> то, как плохо работает днс-овер-тлс. На реддите комментарии "днс-овер-тлс юзелесс" и
> тд. В посте на хакерньюс про поддержку резолва днс через тор
> у клаудфаер (для понимания - можно использовать днс резолвер от клаудфаер
> не выходя из тора) он написал коммент, что днскрипт поддерживает тор
> и указывает настройку прокси для днскрипт (то есть речь про прокси-сервер
> в тор-клиенте).

Вы сами то достаточно сумбурно пишите ))
Вторая версия разрабатывалась еще в 2017 году, в паралели с 1-й.
На реддите смотрите даты постов.
Зачем ДНС от клаудфаера, если пользуешься Tor?
Про поддержку написал, т.к. в *toml (конфиг), действительно есть подобная настройка.
Что не так то?
Хотя, имхо, dnscrypt over tor  избыточно!

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 23:36 
> Зачем ДНС от клаудфаера, если пользуешься Tor?

У DNS-сервера клаудфлары есть скрытый сервис Tor, в отличии от многих других. Хотя доверия самой клаудфларе это не прибавляет.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 00:09 
Здорово. Т.е. когда днс-запросы могут идти через разные выходные ноды,
мы будем принудительно их загонять в клаундфларовский? Тем самым собственоручно
сводить все преимущества dns over tor к 0?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 22-Авг-18 14:35 
Если я правильно тебя понял, то не сводит, т.к. для клаудфлары ты все равно будешь анонимным пользователем.

P.S. Запросы к скрытым сервисам не ходят через выходные ноды.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 16:50 
Так то оно так, только вот в чем проблемка..
В Клаунфларе будут сосредоточены все твои запросы,
что не помешает их проанализировать и сколирировать.
Причем все зависит еще от того, содержат ли запросы информацию,
по которой можно будет профилировать с тобой (?) (вконтактики и прочие ацкие места)
Причем фингерпринтинг браузера никто не отменял!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 10:57 
>Вы сами то достаточно сумбурно пишите ))

))))
>Вторая версия разрабатывалась еще в 2017 году, в паралели с 1-й.

Ладно. Не отменяет всего остального.
>Зачем ДНС от клаудфаера, если пользуешься Tor?

Не имеет отношения к моему комментарию.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 21:10 
А есть какие-то подвижки чтоб на опенврт завезли последнюю версию днс-крипта?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 10:59 
На форуме опенврт всё есть.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 21:00 
Или купи нормальный VPN (или настрой свой с шифрованием днс-трафика).
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 14:31 
храни деньги в банке под кроватью
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:10 
Лучше в лесу ))) По GPS метке
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:36 
Будете хранить в банке заранее посчитайте потери по ссылке http://www.banki.ru/investment/
Например, если в Вашей банке в лесу по GPS метке будет лежать 1 мильон, то Вы потеряете 25 тыс. за этот год на инфляции
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 22:55 
Потери со слов руководства 4%
Реально 24%
Не хотите заморачиваться держите в баксах )))
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 12:42 
Нет никаких потерь, жидомасоны тебе и не такого насчитают)
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 16:46 
100пудофф!! Только вот инфляцию никто в РФ не отменял.
Причем, открою великую/сокральную истину, уровень у каждого свой.
Так как структура дохода и расходов у всех разная...
Если устраивает средняя температура от Росстата, твое право ! ))))
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 14:46 
dnsprivacy.org
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено oni8 , 21-Авг-18 12:55 
решение: использовать 127.0.0.1:9050 (tor-dns) в качестве DNS?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено bottleman , 21-Авг-18 12:59 
как вариант, но резольвит тока A записи.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 15:53 
9053.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено abask , 21-Авг-18 13:24 
Отсутствие Беларуси в первых строчках списка говорит о том, что оперативно-аналитический центр работает более чисто чем китайские коллеги.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено titron , 21-Авг-18 13:40 
Может, по технической оснащенности или грамотности отстают?..
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено kai3341 , 21-Авг-18 19:14 
> Может, по технической оснащенности или грамотности отстают?..

Увы. Вы недооцениваете жэсточайшесть Александра Григорьевича и becloud

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Капитан , 21-Авг-18 13:44 
Отсутствие Беларуси в первых строчках списка говорит о том, что никому из исследователей нет дела до Беларуси
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 14:37 
Тем не менее, в Беларуси dns перехватывается. Например, тот же лурк не открывается, выдавая стандартную заглушку про <<не пущю!>>. Спасибо firefox за network.trr.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено белтелеком , 21-Авг-18 15:39 
дружище, мне для этого нахрен не надо перехватывать dns.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 12:40 
А что тебе надо?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 22:33 
Шоколяда
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено белтелеком , 27-Авг-18 22:22 
железку уровня asr9000, если не резервируем - то можно ровно одну. Для магистрала, покупающего их совсем не по 'gpl', ничего особенного.
И рядом наколеночная поделка на линухе, анонсящяя подлежащие блокировке сетки. девятитысячная не лопнет. А траффика на эти адреса - на самом деле кот наплакал (в том числе, понятно, потому, что хрен ты до тех адресов дойдешь), проэтому и на тот линух, где стоит вебсервер с единственной страничкой с которой грозит пальцем "допереключаешься!" товарищ майор, тоже нагрузочка небольшая. Раньше из большой любви к вам мы там даже парсили на лету sni, отбрасывая только то, что на самом деле подлежало блокировкам, но товарищ майор из соседней страны, увы, велел прекращать самодеятельность.

и зачем тут перехватывать dns, спрашивается?

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_83 , 21-Авг-18 13:25 
Опять нагнетают чтобы все ихним одним DNS сервером через TLS пользовались, ну и они там заодно были в курсе кто куда и с кем.
Вмешательство в пользовательский трафик плохо, но централизованные сервисы ещё хуже.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 13:44 
именно так. я тоже у себя пеерехватываю 8.8.х.х (и блочу) с телевизора в локалке чтобы убрать надоедливую рекламу на трубе и прочих.
я так понимаю, теперь они хотят прикрыть это дело, напугав хомячкофф злыми провайдерами и прочим. напоманиает т.н. 'борьбу с терроризьмом' ;)))
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено vitalif , 21-Авг-18 13:56 
Нет уж, лучше централизованные сервисы, чем перехват товарищем майором
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено zzz , 21-Авг-18 14:24 
Как будто централизованные сервисы не сольют по запросу всё, что надо, товарищу майору. Наивный чукотский мальчик.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 16:27 
Майор там не в почете
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено zzz , 21-Авг-18 18:41 
Как не поверить анонимусу.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Провадер , 21-Авг-18 20:08 
Верь мне.. точно не в почете
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:38 
А потом эти люди Твиттер лечат
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Майор , 21-Авг-18 22:11 
Мы всех лечим
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 12:40 
Хотите вылечить весь мир - начните с себя!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 15:04 
> Нет уж, лучше централизованные сервисы, чем перехват товарищем майором

пендосский гугл конечно не льет инфу в АНБ, напрямую ;) а централизация имени СШП уже проходили со свифтом

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено имя , 21-Авг-18 17:57 
вот только из сша нет сообщений о неадекватных блокировках по щучьему велению.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено zzz , 21-Авг-18 18:48 
Блокировки были как раз-таки более, чем адекватны. Ненормально, когда отечественные порталы располагаются на серверах в стране, где бешеный принтер каждые полгода генерирует новые санкции. Поэтому кто понял намёк - те просто перевели свои порталы на отечественный хостинг, а кто надеется проскочить по типу Дерипаски (который поначалу тоже думал, что "пыль глотать" - образное выражение, а сейчас переводит бабки в российские оффшоры) - начали городить VPN.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Лохотронщик , 25-Авг-18 11:43 
Какой-то поток шизофазии, как будто в голову шизофреника посмотрел.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 21:20 
> вот только из сша нет сообщений о неадекватных блокировках по щучьему велению.

оттуда большинство заявлений надекватные, и блокировки не ограничиваются цифровым миром ;)
там больше "сучее" веление (в числе прочих) и как её зовут - вполне читается

А вот ябл вполне блокирует свои ресурсы от запросов из Крыма и гугл тоже этим страдает...

вот такие они "адекватные/справедливые/демократичные"

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:31 
Вообще-то АНБ, если верить Сноудену, взломала серваки Гугла и систематически похищала инфу
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 21:00 
> Вообще-то АНБ, если верить Сноудену, взломала серваки Гугла и систематически похищала инфу

ой, белый и пушистый гугл - завязывайте уже с иллюзиями

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_83 , 21-Авг-18 15:25 
Только в краткосрочной перспективе.
В долгосрочной это приведёт к тому, что у тебя или твоих майоров покончают или их тупо станет в два раза больше.
В любом случае станет сильно хуже, но варить будут медленно.
p2p решает обе проблемы в принципе.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_bolvan , 21-Авг-18 16:29 
Кто там покончает и кого станет больше?
Об чем речь то???
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 14:50 
Кто запрещает использовать не ихний DNS-сервер через TLS? Жидомасоны?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 15:07 
> Кто запрещает использовать не ихний DNS-сервер через TLS? Жидомасоны?

именно https://ru.wikipedia.org/wiki/Корневые_серверы_DNS
или им подконтрольные, о чудо...

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 15:26 
man opennic
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 15:34 
> man opennic

Like all alternative root DNS systems, OpenNIC-hosted domains are unreachable to the vast majority of Internet users, because they require a non-default configuration in one's DNS resolver.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 15:48 
Внезапно, да?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 16:03 
> Внезапно, да?

очевидно и потому неюсабельно

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 16:32 
Юзабельно, но централизованно. И всю инфрастктуру держат полтора землекопа.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:56 
Вам шашечки или ехать?
Хотите поиграть в шпиенов - выбирайте альтернативные днс. Хотите подключаться к нынешней инфраструктуре - используйте что дают, огораживаясь от васянов и рекламы провайдера днскриптом
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_83 , 21-Авг-18 15:32 
Не чей?
У меня стоит unbound и он сам делает и рекурсию и кеширование.
Я бы мог вынести ещё один куда то и совокупить их по TLS, но пока не испытываю в этом потребности.

Чужим DNS для рекурсии я пользоваться не хочу в принципе, потому что это полный слив того что я читаю=потеря приватности.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 15:44 
Ну да. Запросы к рутам же не перехватываются.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 15:59 
DNSSEC.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним84701 , 21-Авг-18 16:34 
> DNSSEC.

От  _перехватывания_ и чтения "всеми, кому не лень", не поможет.


"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 16:49 
Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам из домашней сети (или туннелировать запросы к ним). Но тогда зарубежные майоры запросы перехватят.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено none_first , 21-Авг-18 21:14 
> Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам
> из домашней сети (или туннелировать запросы к ним). Но тогда зарубежные
> майоры запросы перехватят.

ну вот и пришли к началу ;)

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 23:10 
Ну не совсем..
Кому какие майоры ближе ))
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 21-Авг-18 23:40 
И не стоит еще забывать, что SNI передается в открытом виде.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Maxim , 22-Авг-18 12:10 
Что делает бессмысленным весь топик.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним84701 , 22-Авг-18 16:36 
> Да, но тогда, пожалуй единственный вариант - не обращаться к корневым серверам
> из домашней сети (или туннелировать запросы к ним).

Когда я  последний раз тыкал туннелирование, то все "предоставители услуг" как-то не вызывали особого доверия. Сливать, хоть и по шифрованному каналу, данные клаудфлеру и прочим - абсолютно никакого желания. Хотя, если честно, и нон-профитники не вызывают особого доверия.
Поэтому у меня компромис - все запросы распределяются на десяток адресов нон-профитников:


        forward-addr: 194.150.168.168  #  AS250.net Foundation
        forward-addr:   9.9.9.10     # Quad9
        forward-addr:  89.233.43.71 # unicast.censurfridns.dk
        forward-addr:  194.132.32.32 # PrivActually Ltd
        forward-addr:   82.141.39.32 # ns1.de.dns.opennic.glue 
        forward-addr:   94.247.43.254 #ns8.he.de.dns.opennic.glue
        forward-addr:   31.171.251.118 # ns1.zh.ch.dns.opennic.glue
        forward-addr:   82.196.9.45 # ns1.nh.nl.dns.opennic.glue

ЗЫ: кроме 194.* все  умеют в DNSSEC.
Хотя конечно толку от этого на практике …
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено dimqua , 22-Авг-18 18:34 
Почему бы просто не форвардить все запросы на свой сервер в таком случае?

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним84701 , 22-Авг-18 21:20 
> Почему бы просто не форвардить все запросы на свой сервер в таком случае?

Хороший вопрос - а х(то)з(нает).
Вроде бы, когда-то пытался - и оно слишком "тормозило". Но то могла быть и криворукая настройка.
А так, выбрал из списка OpenNic проекта, работает быстро и вполне себе сердито.

Но за идею спасибо (вот что значит - шаблон мышления), надо будет на выходных почитать-поковырять.


"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Майор , 22-Авг-18 22:36 
Почитай-Поковыряй в сторону dns over tor
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_83 , 21-Авг-18 16:21 
Ещё раз - у меня пока не актуально, провайдер такой фигнёй не страдает относительно меня.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 19:50 
Тогда зачем-ты что-то пишешь, если для тебя не актуально?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Ivan_83 , 21-Авг-18 22:33 
Чтобы обозначить своё негативное отношение к централизации инета в одной юрисдикции.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Провадер , 21-Авг-18 20:07 
Занимаюсь. Ты просто не в курсе
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 01:18 
Так не пользуйся этим. Кто мешает?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 14:31 
извините, а разве GGC не отвечают на 8.8.8.8 ? а  если отвечают, то  учитывали ли подобную возможность, я  не помню с каких адресов приходит запрос при использовании черного ящика от гугла
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Минона , 21-Авг-18 14:48 
>Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России - 44 AS (28%), в США - 15 AS (9%), Бразилии и Индонезии по 7 AS (4%).

наибольшая как раз в России: 28% против 17%.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 17:07 
И о чём же тебе это говорит?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 01:05 
В билайне работал, перехватывать начали еще при мне (в 2013м уволился), думаю в этих же годах и остальной крупняк начал заниматься тем же... Ну а кто не начал, тех подмяли.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено билайн , 22-Авг-18 17:31 
не переживай, твоих жопоруких коллег уволили следом (пряморукие свинтили еще в 2009м, после слияния в экстазе со свинотелом).
сейчас под вывеской "билайн" работает аутсорсер-которого-нельзя-называть, к билайну ни малейшего отношения не имеющий (нет, по телефону они представятся- билайном). Херней они там не страдают.

Блокировки роспозора, разумеется, никакого отношения к dns не имеют и сделаны соврешенно другим способом.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Лохотронщик , 25-Авг-18 11:39 
>В билайне работал, перехватывать начали еще при мне (в 2013м уволился)

Ну и кем ты там работал, уволенный сотрудник?

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Минона , 27-Авг-18 07:31 
>>В билайне работал, перехватывать начали еще при мне (в 2013м уволился)
> Ну и кем ты там работал, уволенный сотрудник?

Перехватчиком =)

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено EuPhobos , 21-Авг-18 15:42 
Привет ТТК, ну как там у тебя дела, всё перехватываешь?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено TTK , 21-Авг-18 15:44 
мля, да не занимаюсь я такой херней!
Вы совсем сдурели - зачем мне такая нагрузка на мои ns ?

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено 0309 , 21-Авг-18 18:53 
ТТК подменяла днс ещё до яровых, и сейчас это делает официально.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено ТГК , 21-Авг-18 20:32 
>Привет ТТК, ну как там у тебя дела, всё перехватываешь?

Нет, ставлю тебе дизлайки.

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Timur I. Davletshin , 21-Авг-18 15:49 
apt-get install dnssec-trigger — минимум, который должны делать клиенты
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено 1 , 21-Авг-18 17:18 
*должны* - это не демократично !
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 01:09 
Вспомни где ты живешь, демократия...
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:34 
И что это даст? Оно само после установки заработает или настраивать нужно? Я не в теме, разъясните плиз
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Timur I. Davletshin , 21-Авг-18 22:03 
https://dnssec.vs.uni-due.de/ — проверь до установки и проверь после установки. Если у тебя обычная десктопная система (NetworkManager + любое подключение с DHCP), то настраивать ничего не нужно. Резидентную мониторилку из трея можешь смело отключить.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 22:34 
Сделал. Не помогает!
Что еще нужно?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Timur I. Davletshin , 21-Авг-18 22:38 
Научиться описывать проблему или читать документацию — https://access.redhat.com/documentation/en-us/red_hat_enterp...
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 01:19 
Почитый молитву. В любом деле помогает!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 22:39 
Какую? Весь во внимание!!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 24-Авг-18 00:11 
Отче Наш разумеется!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:11 
Все эти статьи - реклама шифрования DNS через пугание обывателя
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:57 
И? А реклама делать перерывы для глаз (бесплатные) через пугание ухудшения зрения вас не бесит?
Интернет - небезопасная среда передачи данных. Все надо шифровать. И днс будем, и SNI. Ибо нефиг.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 21-Авг-18 20:58 
Товарищ Майор, перелогиньтесь!
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Майор , 22-Авг-18 22:38 
Где кнопка? Тыкаю, но не получается
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Alexey , 21-Авг-18 23:40 
Всегда можно поручить ресолвинг внешнему источнику, если сам не можешь контролировать. В этом ни чего зазорного нет. А вопрос внедрения в трафик своей информации, ну так у нас "демократия" помноженная на "капитализм". Вот исследования (мониторинг) дело полезное и хорошо, что люди делятся своими изысканиями. Спасибо им.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Gleb Haakim , 22-Авг-18 01:16 
Вот именно что "демократия", да такая демократия, что лысый чорт подтирается всеми статьями Конституции - по страничке на каждое утро. А когда странички заканчиваются - ему приносят новый томик. Иногда он распечатывает ст. 23 и 31, это его любимые. Этими двумя он готов вытирать свою жoпу хоть каждый день.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 11:00 
К чему вся эта истерика? В идеальном "защищенном" варианте это можно решить только если каждый DNS-клиент (чиатй телефон/холодильник) будет рекурсивным с поддержкой крипто и сам будет ходить по всей цепочке серверов. Такой сценарий без локального кеширования "убьет" интернет  нагрузкой на крипто и трафик до серверов 1го и 2го уровней. А все остальное это сказки-пугалки для того чтобы перетащить трафик с кешей на сервера "большого брата" и глобально следить за пользючками, не позволяя блочить рекламу/трекеры. А то больно много хомячков научилось hosts-листы использовать. После внедрения крипты останется лишь махонький шажёк - ввести клиентскую аутентификацию запросов ресолвера по какому-нибудь chip-id и больше ни одно тулово не скажет что оно "не ходило" на этот сайт, и вообще у него Tor.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 12:38 
Истерика только в вашей голове. У остальных - меры предосторожности.
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 23-Авг-18 10:31 
Ну расскажи-ка нам всем о мерах предосторожностей против отслеживания посещаемых ресурсов со стороны google/cloudflare?
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Fedd , 22-Авг-18 17:43 
dnscrypt
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Fedd , 22-Авг-18 17:44 
убережет от подмены но не от анализа
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Аноним , 22-Авг-18 22:37 
Этого мало???
"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено DmA , 23-Авг-18 10:18 
- Здравствуйте, беспокоит капитан Всизовский из центра Э-Э по противодействию сами знаете чему. Не могли бы вы зайти к нам побеседовать?
- Что?! В СИЗО... что? Центр? Почему? В чем дело? Я же ничего...
- Вси-зов-ский. Да не волнуйтесь, ну поговорим часок. По поводу вашей страницы ВКонтакте.
- Никогда я не регистрировался ВКонтакте и у меня нет и не было там никаких страниц!
- Вот это и подозрительно...

Так что шифрованный днс не спасёт от претензий нкдшников-чекистов

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено Барон , 25-Авг-18 00:11 
>Так что шифрованный днс не спасёт от претензий нкдшников-чекистов

Советую шапочку из фольги. И хватит переделывать древнючие баяны, совесть-то имей.