Jump to content

Защита от перехвата DNS-трафика с помощью dnscrypt-proxy

Александр Рыжов
 Share

Recommended Posts

Александр Рыжов Honored Flooder

Александр Рыжов

Posted
  • Author
Posted
В 15.12.2017 в 12:57, vasek00 сказал:

В моем списке серверов yandex нет, так как давно с сентября 2017 от него ушел из-за проблем с UDP на TCP работал стабильно, сейчас по нему не в курсе. По ping до 77.88.8.78

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

Link to comment
Share on other sites
  • Replies 78
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

r13
r13

Господа, смотрите последние буг репорты. Скрипты из netfilter.d не работают. Если у вас сделано через перенаправление 53го порта а не через dns-override, то вы сейчас сидите через встроенный

Александр Рыжов
Александр Рыжов

Если ваш провайдер перехватывает\логирует\подменяет DNS-запросы или вы просто хотите обезопасить DNS-трафик, то вам может изложенное ниже решение, основанное на использовании dnscrypt-proxy. Уста

KorDen
KorDen

А зачем вешать dnscrypt на другой порт и перехватывать через iptables, если можно сделать opkg dns-override и повесить на 53 порт?

Posted Images

vasek00 Honored Flooder

vasek00

Posted
Posted (edited)
13 минуты назад, Александр Рыжов сказал:

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

Не понял немного так как в настоящие время использую вот что 

server_names = ['cs-fi', 'adguard-dns', 'yandex']
...
## Delay, in minutes, after which certificates are reloaded
cert_refresh_delay = 60


и в итоге

[2018-06-02 09:57:17] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy 2.0.8
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [UDP]
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [TCP]
[2018-06-02 09:57:17] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 27ms
[2018-06-02 09:57:17] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 45ms
[2018-06-02 09:57:17] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-06-02 09:57:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy is ready - live servers: 3

и ранее на 2 (ниже), а сейчас включено 3 сервера (выше)

[2018-06-01 09:18:13] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-01 10:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 11:18:14] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 12:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 13:18:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 14:18:15] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 15:18:16] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 16:18:17] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 17:18:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 18:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 19:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-06-01 20:18:19] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-06-01 21:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 22:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 23:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 00:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 01:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 02:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 22ms)
[2018-06-02 03:18:22] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-02 04:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 05:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 06:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-02 07:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-02 08:18:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)

по md файлу
## yandex
Yandex public DNS server (anycast)
sdns://AQQAAAAAAAAAEDc3Ljg4LjguNzg6MTUzNTMg04TAccn3RmKvKszVe13MlxTUB7atNgHhrtwG1W1JYyciMi5kbnNjcnlwdC1jZXJ0LmJyb3dzZXIueWFuZGV4Lm5ldA

так же как и 
## cloudflare
Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1
sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk

 

Edited by vasek00
Link to comment
Share on other sites
vasek00 Honored Flooder

vasek00

Posted
Posted
14 часа назад, Вежливый Снайпер сказал:

Большое спасибо автору. Йота блокирует смену DNS. Мне только частично с помощью официального саппорта (keenetic) удалось обойти ограничение.
С Entware и вашей инструкцией по dnscrypt-proxy ограничения обошлись полностью. Отдельное спасибо KorDen и awoland за важные замечания к инструкции.
Без модификации файла S09dnscrypt-proxy и команды "opkg dns-override" в telnet'е у меня лично не работало.

P.S. Вы вроде как рулите этим пакетом. Добавьте в csv пожалуйста DNS от Cloudflare: 


Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1 https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md

Или подскажите, как это сделать самостоятельно. Все, что я нагуглил не понимаю как вставлять в конфиги. Особенно моменты, где говорится про .toml файлы. Пожалуйста, если не будете обновлять .csv, ткните ламера в нужный ман носом, был бы очень признателен :)

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

 

Link to comment
Share on other sites
Александр Рыжов Honored Flooder

Александр Рыжов

Posted
  • Author
Posted
4 часа назад, vasek00 сказал:

Не понял немного так как в настоящие время использую вот что

Отлично, значит, я его зря хоронил.

От себя хочу предостеречь форумчан от использования серверов OpenDNS, ныне принадлежащих Cisco. Это несмотря на то, что dnscrypt-proxy был создан под крылом OpenDNS. Спасибо за острый глаз @MercuryV: 

# traceroute my.mail.ru
traceroute to my.mail.ru (146.112.61.106), 30 hops max, 38 byte packets
 1  xxxxx.static.corbina.ru (95.29.0.1)  83.039 ms  60.937 ms  201.231 ms
 2  xxxxx.static.corbina.ru (95.29.0.1)  110.630 ms  199.677 ms  120.940 ms
 3  10.2.255.250 (10.2.255.250)  0.953 ms  0.887 ms  0.821 ms
 4  hq-crs-be10.corbina.net (195.14.54.100)  43.975 ms  44.175 ms  44.282 ms
 5  m9-crs-be14.msk.corbina.net (195.14.62.159)  44.094 ms  44.150 ms  44.041 ms
 6  noginsk-rs1-fa0-1.corbina.net (78.107.184.86)  43.643 ms  43.482 ms  43.509 ms
 7  mx01.Amsterdam.gldn.net (62.105.135.92)  43.733 ms  43.565 ms  43.604 ms
 8  ae-6.r25.amstnl02.nl.bb.gin.ntt.net (80.249.208.36)  45.188 ms  44.702 ms  44.428 ms
 9  ae-19.r24.amstnl02.nl.bb.gin.ntt.net (129.250.2.102)  46.507 ms  54.374 ms  44.245 ms
10  ae-2.r03.londen01.uk.bb.gin.ntt.net (129.250.3.8)  56.328 ms  56.132 ms  54.574 ms
11  ae-1.a01.londen01.uk.bb.gin.ntt.net (129.250.6.184)  59.163 ms  67.643 ms  60.216 ms
12  ae-0.cisco-opendns.londen01.uk.bb.gin.ntt.net (83.231.146.186)  57.228 ms  57.680 ms  59.133 ms
13  *  *  *
14  *  *  *
15  *  *  *

fake mail.ru cert.jpg

Непрошеная MiTM-забота в полный рост. «Спасибо», Cisco!

 

  • Thanks 2
Link to comment
Share on other sites
Вежливый Снайпер Member

Вежливый Снайпер

Posted
Posted
В 02.06.2018 в 06:44, Александр Рыжов сказал:

Признаться, решение устарело..
...
Когда дойдут руки, обязательно обновлю архив.

Будем верить, надеяться, ждать :)

В 02.06.2018 в 07:10, vasek00 сказал:

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

"The dnscrypt-proxy 2.0+ support" эхх, печаль. Под версию 1ой линейки не вариант настроить? Там если я правильно понял можно только в csv подобные настройки вписывать: 

Name,"Full name","Description","Location","Coordinates",URL,Version,DNSSEC validation,No logs,Namecoin,Resolver address,Provider name,Provider public key,Provider public key TXT record
Пример на яндексе:
yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

2ая линейка имеет отличия в настройке.

Link to comment
Share on other sites
  • 1 year later...
saqwe Newbie

saqwe

Posted
Posted

Использую DNS от adguard, от провайдера DNS заблокировал на модеме ip dhcp client no name-servers

Роутер Keenetic DSL, Версия NDMS 2.11.D.6.0-2

Установил все из шапки темы, как мне теперь проверить шифруется мой трафик или нет?

 

Link to comment
Share on other sites
  • 2 years later...
kvsplz9860 Advanced Member

kvsplz9860

Posted
Posted (edited)
В 03.06.2018 в 15:24, Вежливый Снайпер сказал:

Будем верить, надеяться, ждать :)

"The dnscrypt-proxy 2.0+ support" эхх, печаль. Под версию 1ой линейки не вариант настроить? Там если я правильно понял можно только в csv подобные настройки вписывать: 

Name,"Full name","Description","Location","Coordinates",URL,Version,DNSSEC validation,No logs,Namecoin,Resolver address,Provider name,Provider public key,Provider public key TXT record
Пример на яндексе:
yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

2ая линейка имеет отличия в настройке.

Как doq настроить на роутере keenetic?

Edited by kvsplz9860
Link to comment
Share on other sites
MDP Honored Flooder

MDP

Posted
Posted
8 минут назад, kvsplz9860 сказал:

Да его поставил только не найду инструкции как настроить в нём doq

Там настраивать ничего не надо, просто указать DNS и всё

Link to comment
Share on other sites
avn Honored Flooder

avn

Posted
Posted
4 минуты назад, kvsplz9860 сказал:

Не нравятся ему quic

Screenshot_2023-02-03-10-57-11-893_com.mi.globalbrowser.jpg

Внешний IP у Вас есть? Если нет, скорее всего провайдер блокирует входящий UDP трафик.

Link to comment
Share on other sites
kvsplz9860 Advanced Member

kvsplz9860

Posted
Posted (edited)
17 минут назад, avn сказал:

Внешний IP у Вас есть? Если нет, скорее всего провайдер блокирует входящий UDP трафик.

Вроде есть

Как проверить с телефона?

Edited by kvsplz9860
Link to comment
Share on other sites
MDP Honored Flooder

MDP

Posted
Posted
Только что, kvsplz9860 сказал:

Какие настройки лучше сделать? Для ускорения и лучшей скорости?

Например тут

Screenshot_2023-02-03-11-54-35-066_com.mi.globalbrowser.jpg

Тема не подходящая для этого топика... переходите в соответствующую ветку... заругают

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...