Двач.hk не отвечает.
Вы видите копию треда, сохраненную 25 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вы видите копию треда, сохраненную 25 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
14 Кб, 263x366Криптоанархист. Поговорим о DNS.
При использовании HTTPS или SSL наш HTTP трафик зашифрован, то есть защищен. Когда используем VPN, шифруется уже трафик гипотетически.Но иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.
Так же известно, что в по закону провайдеры должны хранить логи своих DNS серверов. Что является дырой в безопасности для криптоанархиста. А мы скажем - что будем использовать ДНСы от гугла\яндекса\etc. Но даже в пользовательском соглашении они не скрывают того что хранят логи.
На помощь нам приходит OpenNIC, который утверждает что логи не хранит и вообще они самые демократичные DNS серверы нам предоставляют. Но, не упускаем с виду тот факт что протокол DNS-протокол дырявый и все данные передаются в открытом виде. То есть это не тот случай, когда криптобрат будет спокоен за свою жеппу.
Приходит нам на помощь DNSCrypt, который уже есть в OpenWRT, Tomato. Так же присутствуют клиенты под шинду\линупс\мак. Создали этот сервис товарищи из OpenDNS. Но можно ли доверить им свои запросы? Меняем шило на мило.
Неужели скрытосети -единственный выход в по-настоящему анонимный интернет?
Дискасс.
При использовании HTTPS или SSL наш HTTP трафик зашифрован, то есть защищен. Когда используем VPN, шифруется уже трафик гипотетически.Но иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.
Так же известно, что в по закону провайдеры должны хранить логи своих DNS серверов. Что является дырой в безопасности для криптоанархиста. А мы скажем - что будем использовать ДНСы от гугла\яндекса\etc. Но даже в пользовательском соглашении они не скрывают того что хранят логи.
На помощь нам приходит OpenNIC, который утверждает что логи не хранит и вообще они самые демократичные DNS серверы нам предоставляют. Но, не упускаем с виду тот факт что протокол DNS-протокол дырявый и все данные передаются в открытом виде. То есть это не тот случай, когда криптобрат будет спокоен за свою жеппу.
Приходит нам на помощь DNSCrypt, который уже есть в OpenWRT, Tomato. Так же присутствуют клиенты под шинду\линупс\мак. Создали этот сервис товарищи из OpenDNS. Но можно ли доверить им свои запросы? Меняем шило на мило.
Неужели скрытосети -единственный выход в по-настоящему анонимный интернет?
Дискасс.
>>26227 (OP)
Маленькая поправка: представим что VPN у нас пиздец анонимный и абузоустойчивый. И ему похуй на запросы правительства России например.
Маленькая поправка: представим что VPN у нас пиздец анонимный и абузоустойчивый. И ему похуй на запросы правительства России например.
>>26227 (OP)
Ну так передавай их через vpn-туннель, в чем проблема?
> Но иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть
Ну так передавай их через vpn-туннель, в чем проблема?
>>26227 (OP)
Причем тут днс и https? Они вообще никак не связаны. Браузер сначала резолвит доменное имя и потом на полученный ИП адрес отправляет хттпс запрос, в котором внезапно домен видно плеинтекстом, т.е. домен никогда не шифруется.
Проблема dns-leak кардинально решается очень просто: локально на ПК поднимается днс-прокси сервис типа AcrylicDnsProxy и во всех сетевых интерфейсах, включая интерфейс впна в качестве днс сервера прописывается что-то типа 127.0.0.1:порт_днс_прокси. Сам же ДНС прокси настраивается на использование серверов, которым ты доверяешь. В качестве последних можно юзать днс сервера из стран, которым глубоко насрать на запросы из той страны, в которой тебе бы не хотелось быть взятым за жопу.
>При использовании HTTPS или SSL наш HTTP трафик зашифрован, то есть защищен.
Причем тут днс и https? Они вообще никак не связаны. Браузер сначала резолвит доменное имя и потом на полученный ИП адрес отправляет хттпс запрос, в котором внезапно домен видно плеинтекстом, т.е. домен никогда не шифруется.
>иногда, даже когда используется VPN, DNS-запросы не зашифрованы, они передаются как есть
Проблема dns-leak кардинально решается очень просто: локально на ПК поднимается днс-прокси сервис типа AcrylicDnsProxy и во всех сетевых интерфейсах, включая интерфейс впна в качестве днс сервера прописывается что-то типа 127.0.0.1:порт_днс_прокси. Сам же ДНС прокси настраивается на использование серверов, которым ты доверяешь. В качестве последних можно юзать днс сервера из стран, которым глубоко насрать на запросы из той страны, в которой тебе бы не хотелось быть взятым за жопу.
>>26377
Зачем это всё? Если без VPN, все хостнеймы точно так же светятся. Если с VPN, то можно просто завернуть весь трафик в VPN, включая трафик к DNS-серверам, которым ты доверяешь.
>локально на ПК поднимается днс-прокси сервис типа AcrylicDnsProxy и во всех сетевых интерфейсах, включая интерфейс впна в качестве днс сервера прописывается что-то типа 127.0.0.1:порт_днс_прокси. Сам же ДНС прокси настраивается на использование серверов, которым ты доверяешь
Зачем это всё? Если без VPN, все хостнеймы точно так же светятся. Если с VPN, то можно просто завернуть весь трафик в VPN, включая трафик к DNS-серверам, которым ты доверяешь.
>>26227 (OP)
Палю идею:
надо просто делать один и тот же запрос на разные серваки и если ответ будет одинаковый, то всё норм. В противном случае - выводить предупреждение
Палю идею:
надо просто делать один и тот же запрос на разные серваки и если ответ будет одинаковый, то всё норм. В противном случае - выводить предупреждение
>>26378
впн майор может дропнуть во время оживленной беседы. И твой траф пойдет в открытом виде. И хорошо, если ты сразу спалишь то, что впн отвалился.
впн майор может дропнуть во время оживленной беседы. И твой траф пойдет в открытом виде. И хорошо, если ты сразу спалишь то, что впн отвалился.
>>27283
У меня настроен доступ только через впн и никак иначе.
Манул: https://habrahabr.ru/post/274445/
У меня настроен доступ только через впн и никак иначе.
Манул: https://habrahabr.ru/post/274445/
>>27283
Откуда это ебанутое клоунское заблуждение? Даже если соединение отваливается, маршруты остаются прежними, пока openvpn не завершит работу и не вернёт всё как было. А он не завершит, т.к. будет пытаться переподключиться.
>дропнуть впн
>И твой траф пойдет в открытом виде
Откуда это ебанутое клоунское заблуждение? Даже если соединение отваливается, маршруты остаются прежними, пока openvpn не завершит работу и не вернёт всё как было. А он не завершит, т.к. будет пытаться переподключиться.
>>27283
Чтоб этого не произошло обычно удаляют дефолтный маршрут из локальной таблицы маршрутизации.
> И твой траф пойдет в открытом виде.
Чтоб этого не произошло обычно удаляют дефолтный маршрут из локальной таблицы маршрутизации.
Чуваки, а после пакета яровой, использовать свой впн на впс в канаде вообще законно?
>>27488
Да.
Да.
>>27488
пока еще да
пока еще да
>>26227 (OP)
Чет ты запизделся, паря, OpenDNS к созданию DNSCrypt никакого отношения не имеют. Но я лучше буду использовать его и палить свои DNS запросы резольверу где нибудь в европке у тех же OpenNIC есть сервера с поддержкой DNSCrypt чем палить их своему опсосу
> DNSCrypt
> Создали этот сервис товарищи из OpenDNS
Чет ты запизделся, паря, OpenDNS к созданию DNSCrypt никакого отношения не имеют. Но я лучше буду использовать его и палить свои DNS запросы резольверу где нибудь в европке у тех же OpenNIC есть сервера с поддержкой DNSCrypt чем палить их своему опсосу
>>31067
Лень гуглить за тебя и что-то тебе доказывать. Но вот тбе первая ссылка в гугле по запросу dnscrypt opendns. Почему в 2013 году на саппорте опен днс спрашивали за утилиту под ведро?
https://support.opendns.com/hc/en-us/community/posts/220062047-DNSCrypt-and-Android
Лень гуглить за тебя и что-то тебе доказывать. Но вот тбе первая ссылка в гугле по запросу dnscrypt opendns. Почему в 2013 году на саппорте опен днс спрашивали за утилиту под ведро?
https://support.opendns.com/hc/en-us/community/posts/220062047-DNSCrypt-and-Android
>>31004
Совсем ебанулся?
Альтернативные DNS-сервера с поддержкой DNSCrypt от анончиков:
https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
Часть из них утверждает, что даже логов не ведут.
Конпеляй-запусакич: https://github.com/Cofyc/dnscrypt-wrapper
>централизованного протокола
Совсем ебанулся?
Альтернативные DNS-сервера с поддержкой DNSCrypt от анончиков:
https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
Часть из них утверждает, что даже логов не ведут.
Конпеляй-запусакич: https://github.com/Cofyc/dnscrypt-wrapper
>>31339
Можно, тор умеет работать как DNS-сервер. Запускаешь, указываешь его в системных настройках.
Можно, тор умеет работать как DNS-сервер. Запускаешь, указываешь его в системных настройках.
>>31344
Спасибо
Спасибо
>>26274
Вот тебе случай из практики. Провайдер перехватывает весь траффик на 53 потру, к какому бы серверу ты не обращался, и на заблокированные домены возвращает ip заглушки. Хоть ты к гугловскуму серверу обращайся, хоть к своему личному. Вот тут то меня DNSCrypt и спас, настроил все на OpenWRT, отлично работает.
Бамп, кстати.
>Подними свой DNS-сервер
Вот тебе случай из практики. Провайдер перехватывает весь траффик на 53 потру, к какому бы серверу ты не обращался, и на заблокированные домены возвращает ip заглушки. Хоть ты к гугловскуму серверу обращайся, хоть к своему личному. Вот тут то меня DNSCrypt и спас, настроил все на OpenWRT, отлично работает.
Бамп, кстати.
>>26227 (OP)
Лол. Зашел на сайт DNSCrypt.
Нет, чтобы ungoogled-chromium продвигать.
Лол. Зашел на сайт DNSCrypt.
>The Yandex web browser is a free, fast and secure web browser.
Нет, чтобы ungoogled-chromium продвигать.
Лол, мой тред еще не утонул. Писал оп пост в пяном угаре кстати.
>>26227 (OP)
DNScrypt в помощь
DNScrypt в помощь
>>26227 (OP)
Добрый день. Привела сюда проблема.
Живем в гейропке, в студенческом кампусе. На весь кампус одна Wi-Fi сеть.
Есть так же поехавшая соседка живущая через стену. Когда выходил на балкон услышал, что она разговаривает с кем-то и говорит: "Он почистил все переписки". У меня привычка я раз в месяц-два чищу переписки в соц.сетях. На похожие разговоры натыкался не единожды, у меня есть реально подозрение, что она снифит мой траффик. Я полный профан в этом деле, даже матчасти не знаю. Пришел сюда за советом, может быть есть какое-то простое решение задетектить ее атаку? Просто узнать это моя паранойя или действительно она что-то мутит.
Добрый день. Привела сюда проблема.
Живем в гейропке, в студенческом кампусе. На весь кампус одна Wi-Fi сеть.
Есть так же поехавшая соседка живущая через стену. Когда выходил на балкон услышал, что она разговаривает с кем-то и говорит: "Он почистил все переписки". У меня привычка я раз в месяц-два чищу переписки в соц.сетях. На похожие разговоры натыкался не единожды, у меня есть реально подозрение, что она снифит мой траффик. Я полный профан в этом деле, даже матчасти не знаю. Пришел сюда за советом, может быть есть какое-то простое решение задетектить ее атаку? Просто узнать это моя паранойя или действительно она что-то мутит.
>dnscrypt
Назрела пара вопросов. Настроил сабж на своём опенВРТ роутере пару минут назад по гайду с официального сайта пришивки, закинул новый dnscrypt-resolvers.csv, работоспособность проверил следующим образом, из списка серверов сначала выбрал cisco-familyshield, который блочит НЕЖЕЛАТЕЛЬНЫЙ КОНТЕНТ и пытаясь зайти на порнхаб, например, тебя сервер опенднс редиректит на свою заглушку, открыл несколько разных браузеов и в ведройдовском хроме отключив экономию трафика которое сама по себе является функцией (очевидно гугловского) днс сервера с прокси, почистив историю и пытаясь зайти на порнхаб (который кстати у моего провайдера не заблочен или блочится только по днс запросу) получаю ту-же самую заглушку опенДНС. Вроде бы всё работает, но хотелось бы как-нибудь проверить, действительно ли криптуются запросы. Так вот как это можно сделать из локальной сети? Ведь от клиента к роутеру и обратно запрос идёт обычным методом. Алсо, я считал, что настройка днскрипт поможет заходить на русракер без плагина, но браузер кукарекает на попытку МиТМ, значит ли это что у прова стоит ДПИ или он просто по заголовкум прилетающих пакетов детектит, что этот сайт в блоке и надо резать?
>>34712
Для начала выбери нормальный сервер, opennic, например (fvz-anyone, fvz-anytwo).
Проверить можно, временно изменив в файле /etc/config/dhcp строку "list server '127.0.0.1#2053'" на заведомо неправильную, например написать неправильный порт после решетки. При правильной настроке, после перезагрузки dnsmasq адреса должны перестать резолвиться совсем.
Если работаешь в windows, не забывай сбрасывать кеш dns командой ipconfig /flushdns после изменения настроек на роутере.
Провайдеры уже давно не ограничиваются одним лишь dns спуфингом. Шифрование dns запросов необходимо, но не достаточно для обхода блокировки.
Для начала выбери нормальный сервер, opennic, например (fvz-anyone, fvz-anytwo).
Проверить можно, временно изменив в файле /etc/config/dhcp строку "list server '127.0.0.1#2053'" на заведомо неправильную, например написать неправильный порт после решетки. При правильной настроке, после перезагрузки dnsmasq адреса должны перестать резолвиться совсем.
Если работаешь в windows, не забывай сбрасывать кеш dns командой ipconfig /flushdns после изменения настроек на роутере.
>Алсо, я считал, что настройка днскрипт поможет заходить на русракер без плагина
Провайдеры уже давно не ограничиваются одним лишь dns спуфингом. Шифрование dns запросов необходимо, но не достаточно для обхода блокировки.
>>34339
В яндекс-браузере просто поддержка dnscrypt из коробки разумеется на их dnscrypt сервер, но все же
https://habrahabr.ru/company/yandex/blog/280380/
В яндекс-браузере просто поддержка dnscrypt из коробки разумеется на их dnscrypt сервер, но все же
https://habrahabr.ru/company/yandex/blog/280380/
>>26227 (OP)
Че несешь. Разве в впн днс-запросы не проталкиваются по каналу?
Че несешь. Разве в впн днс-запросы не проталкиваются по каналу?
оп-хуй
(Опционально) Проталкивание изменений DNS для перенаправления всего трафика через VPN
Сделанные нами настройки создают VPN соединение между двумя машинами, но они не заставляют эти машины использовать VPN соединение. Если вы хотите использовать VPN соединение для всего своего трафика, вам необходимо протолкнуть (push) настройки DNS на клиентские машины.
Для этого вам необходимо раскомментировать несколько директив. Найдите секцию redirect-gateway и удалите ";" из начала строки для расскоментирования redirect-gateway:
/etc/openvpn/server.conf
push "redirect-gateway def1 bypass-dhcp"
Чуть ниже находится секция dhcp-option. Удалите ";" для обеих строк:
/etc/openvpn/server.conf
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Это позволит клиентам сконфигурировать свои настройки DNS для использования VPN соединения в качестве основного.
(Опционально) Проталкивание изменений DNS для перенаправления всего трафика через VPN
Сделанные нами настройки создают VPN соединение между двумя машинами, но они не заставляют эти машины использовать VPN соединение. Если вы хотите использовать VPN соединение для всего своего трафика, вам необходимо протолкнуть (push) настройки DNS на клиентские машины.
Для этого вам необходимо раскомментировать несколько директив. Найдите секцию redirect-gateway и удалите ";" из начала строки для расскоментирования redirect-gateway:
/etc/openvpn/server.conf
push "redirect-gateway def1 bypass-dhcp"
Чуть ниже находится секция dhcp-option. Удалите ";" для обеих строк:
/etc/openvpn/server.conf
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Это позволит клиентам сконфигурировать свои настройки DNS для использования VPN соединения в качестве основного.
>>34725
По vpn каналу? Как настроишь.
Проблема в том, что само по себе общение с dns сервером не зашифровано, для решения этого и был создан dnscrypt. В связи с массовым dns спуфингом со стороны провайдеров, шифровать dns запросы очень важно, не только, чтобы обезопасить себя от подмены ответов, но и для того, чтобы лишний раз не оставлять логов посещенных адресов у провайдера.
Как вариант, можно просто завернуть dns трафик через vpn туннель, это всего лишь один из вариантов решения проблемы.
По vpn каналу? Как настроишь.
Проблема в том, что само по себе общение с dns сервером не зашифровано, для решения этого и был создан dnscrypt. В связи с массовым dns спуфингом со стороны провайдеров, шифровать dns запросы очень важно, не только, чтобы обезопасить себя от подмены ответов, но и для того, чтобы лишний раз не оставлять логов посещенных адресов у провайдера.
Как вариант, можно просто завернуть dns трафик через vpn туннель, это всего лишь один из вариантов решения проблемы.
Двач.hk не отвечает.
Вы видите копию треда, сохраненную 25 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вы видите копию треда, сохраненную 25 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.