Jump to content

Защита от перехвата DNS-трафика с помощью dnscrypt-proxy


Recommended Posts

В 15.12.2017 в 12:57, vasek00 сказал:

В моем списке серверов yandex нет, так как давно с сентября 2017 от него ушел из-за проблем с UDP на TCP работал стабильно, сейчас по нему не в курсе. По ping до 77.88.8.78

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

Link to comment
Share on other sites

13 минуты назад, Александр Рыжов сказал:

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

Не понял немного так как в настоящие время использую вот что

server_names = ['cs-fi', 'adguard-dns', 'yandex']
...
## Delay, in minutes, after which certificates are reloaded
cert_refresh_delay = 60


и в итоге

[2018-06-02 09:57:17] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy 2.0.8
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [UDP]
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [TCP]
[2018-06-02 09:57:17] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 27ms
[2018-06-02 09:57:17] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 45ms
[2018-06-02 09:57:17] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-06-02 09:57:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy is ready - live servers: 3

и ранее на 2 (ниже), а сейчас включено 3 сервера (выше)

[2018-06-01 09:18:13] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-01 10:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 11:18:14] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 12:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 13:18:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 14:18:15] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 15:18:16] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 16:18:17] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 17:18:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 18:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 19:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-06-01 20:18:19] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-06-01 21:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 22:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 23:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 00:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 01:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 02:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 22ms)
[2018-06-02 03:18:22] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-02 04:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 05:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 06:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-02 07:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-02 08:18:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)

по md файлу
## yandex
Yandex public DNS server (anycast)
sdns://AQQAAAAAAAAAEDc3Ljg4LjguNzg6MTUzNTMg04TAccn3RmKvKszVe13MlxTUB7atNgHhrtwG1W1JYyciMi5kbnNjcnlwdC1jZXJ0LmJyb3dzZXIueWFuZGV4Lm5ldA

так же как и 
## cloudflare
Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1
sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk

 

Edited by vasek00
Link to comment
Share on other sites

14 часа назад, Вежливый Снайпер сказал:

Большое спасибо автору. Йота блокирует смену DNS. Мне только частично с помощью официального саппорта (keenetic) удалось обойти ограничение.
С Entware и вашей инструкцией по dnscrypt-proxy ограничения обошлись полностью. Отдельное спасибо KorDen и awoland за важные замечания к инструкции.
Без модификации файла S09dnscrypt-proxy и команды "opkg dns-override" в telnet'е у меня лично не работало.

P.S. Вы вроде как рулите этим пакетом. Добавьте в csv пожалуйста DNS от Cloudflare:


Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1 https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md

Или подскажите, как это сделать самостоятельно. Все, что я нагуглил не понимаю как вставлять в конфиги. Особенно моменты, где говорится про .toml файлы. Пожалуйста, если не будете обновлять .csv, ткните ламера в нужный ман носом, был бы очень признателен :)

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

 

Link to comment
Share on other sites

4 часа назад, vasek00 сказал:

Не понял немного так как в настоящие время использую вот что

Отлично, значит, я его зря хоронил.

От себя хочу предостеречь форумчан от использования серверов OpenDNS, ныне принадлежащих Cisco. Это несмотря на то, что dnscrypt-proxy был создан под крылом OpenDNS. Спасибо за острый глаз @MercuryV:

# traceroute my.mail.ru
traceroute to my.mail.ru (146.112.61.106), 30 hops max, 38 byte packets
 1  xxxxx.static.corbina.ru (95.29.0.1)  83.039 ms  60.937 ms  201.231 ms
 2  xxxxx.static.corbina.ru (95.29.0.1)  110.630 ms  199.677 ms  120.940 ms
 3  10.2.255.250 (10.2.255.250)  0.953 ms  0.887 ms  0.821 ms
 4  hq-crs-be10.corbina.net (195.14.54.100)  43.975 ms  44.175 ms  44.282 ms
 5  m9-crs-be14.msk.corbina.net (195.14.62.159)  44.094 ms  44.150 ms  44.041 ms
 6  noginsk-rs1-fa0-1.corbina.net (78.107.184.86)  43.643 ms  43.482 ms  43.509 ms
 7  mx01.Amsterdam.gldn.net (62.105.135.92)  43.733 ms  43.565 ms  43.604 ms
 8  ae-6.r25.amstnl02.nl.bb.gin.ntt.net (80.249.208.36)  45.188 ms  44.702 ms  44.428 ms
 9  ae-19.r24.amstnl02.nl.bb.gin.ntt.net (129.250.2.102)  46.507 ms  54.374 ms  44.245 ms
10  ae-2.r03.londen01.uk.bb.gin.ntt.net (129.250.3.8)  56.328 ms  56.132 ms  54.574 ms
11  ae-1.a01.londen01.uk.bb.gin.ntt.net (129.250.6.184)  59.163 ms  67.643 ms  60.216 ms
12  ae-0.cisco-opendns.londen01.uk.bb.gin.ntt.net (83.231.146.186)  57.228 ms  57.680 ms  59.133 ms
13  *  *  *
14  *  *  *
15  *  *  *

fake mail.ru cert.jpg

Непрошеная MiTM-забота в полный рост. «Спасибо», Cisco!

 

  • Thanks 1
Link to comment
Share on other sites

В 02.06.2018 в 06:44, Александр Рыжов сказал:

Признаться, решение устарело..
...
Когда дойдут руки, обязательно обновлю архив.

Будем верить, надеяться, ждать :)

В 02.06.2018 в 07:10, vasek00 сказал:

"The dnscrypt-proxy 2.0+ support" эхх, печаль. Под версию 1ой линейки не вариант настроить? Там если я правильно понял можно только в csv подобные настройки вписывать:

Name,"Full name","Description","Location","Coordinates",URL,Version,DNSSEC validation,No logs,Namecoin,Resolver address,Provider name,Provider public key,Provider public key TXT record
Пример на яндексе:
yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

2ая линейка имеет отличия в настройке.

Link to comment
Share on other sites

  • 1 year later...

Использую DNS от adguard, от провайдера DNS заблокировал на модеме ip dhcp client no name-servers

Роутер Keenetic DSL, Версия NDMS 2.11.D.6.0-2

Установил все из шапки темы, как мне теперь проверить шифруется мой трафик или нет?

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...