TimScore
New member
Используя VPN, TOR или даже Tails вы думаете что ваша анонимность надежно защищена. Но к сожалению это не так. Существует один очень важный канал утечки вашей приватной информации – служба DNS. Но к счастью на это тоже придумано решение.
При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен. Когда вы используете VPN, шифруется уже весь ваш трафик (конечно, все зависит от настроек VPN, но, как правило, так оно и есть). Но иногда, даже когда используется VPN, ваш DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.
Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными тебе создателями OpenDNS, — программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер ваше соединения также будут защищены и вы сможете более безопасно бороздить просторы интернета. Конечно, DNSCrypt — это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если тебя такое краткое объяснение устроило, можешь сразу переходить к разделу, где я буду описывать установку и использование программы.
Попробуем разобраться глубже. Как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотри на рисунок.
Принцип работы DNSCrypt
Допустим, клиент (ноутбук на рисунке) пытается обратиться к google.com Первым делом он должен разрешить символьное имя узла в IP-адрес. Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, красная линия на рисунке), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.
Да, какие данные вы будете передавать на dkws.org.ua, никто не узнает. Но есть несколько очень неприятных моментов. Во-первых, провайдер, просмотрев логи DNS, сможет узнать, какие сайты вы посещали. Вам это надо? Во-вторых, вероятна возможность атак: DNS спуфинг и DNS снупинг. Подробно описывать их не буду, об этом уже написано множество статей. В двух словах ситуация может быть следующей: некто между вами и провайдером может перехватить DNS-запрос (а так как запросы не шифруются, то перехватить запрос и прочитать его содержимое не составит никакого труда) и отправить вам «поддельный» ответ. В результате вместо того, чтобы посетить google.com, вы перейдёте на сайт злоумышленника, как две капли воды похожий на тот, который вам нужен, введешь свой пароль от форума, ну а дальше развитие событий, думаю, ясно.
Описанная ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда ваша система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен. Каждый раз, когда вы посещаете новый сайт, соединяешься с новым сервером или запускаешь какое-то сетевое приложение, ваша система обращается к DNS провайдера, чтобы разрешить имя в IP.
В итоге ваш провайдер или любой желающий, находящийся на «последней миле», то есть между вами и провайдером, может получить все имена узлов, к которым вы обращаетесь. Приведенный выше вариант с подменой IP-адреса совсем жестокий, но в любом случае есть возможность отслеживать посещенные вами узлы и использовать эту информацию в собственных целях.
Если вы «боитесь» своего провайдера или просто не хочешь, чтобы он видел, какие сайты вы посещаете, можете (разумеется, кроме использования VPN и других средств защиты) дополнительно настроить свой компьютер на использование DNS серверов проекта OpenDNS ().
На данный момент это следующие серверы:
Но все равно остается проблема перехвата DNS-соединений. Да, вы уже обращаешься не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам вы обращались.
Вот мы и подошли к DNSCrypt. Эта программулина позволяет зашифровать ваше DNS соединение. Теперь ваш провайдер (и все, кто между вами и им) точно не узнает, какие сайты вы посещаете! Эта программа не замена Tor или VPN. По-прежнему остальные передаваемые вами данные передаются без шифрования, если вы не используете ни VPN, ни Tor. Программа шифрует только DNS трафик.
DNS LEAK
Сайтпозволяет определить «утечку» DNS. Просто зайди на этот сайт. Нажав кнопку Check for DNS leaks now, вы получите список DNS-серверов, через которые могут проходить ваши запросы. Следовательно, вы увидите, кто именно может узнать, какие сайты вы посещаете.
УСТАНОВКА И ИСПОЛЬЗОВАНИЕ DNSCRYPT
Самый простой способ защитить свое DNS соединение — это использовать DNSCrypt.
Первым делом качаем сам DNSCrypt с github.
Чтобы скачать программу с GitHub, нажми кнопку Download ZIP. Будет загружен архив с исходниками DNSCrypt. Уже откомпилированная версия находится в каталоге DNSCrypt архива. Распакуй файлы. В принципе вам нужен только один файл — dnscrypt-proxy.exe. Он находится в том самом каталоге. Все остальное (исходники) можно удалить.
Но это еще не все. Если вы уже погуглили, то, значит, видел скриншоты DNSCrypt. Запустив dnscrypt-proxy.exe, вы поняли, что что-то не то. Программа запустилась в окне командной строки. Все правильно, вы скачали сами прокси, а теперь еще нужно скачать к нему оболочку. На GitHub есть еще один проект — необходимая нам оболочка ().
Аналогичным образом скачай ZIP-архив, распакуй его куда-нибудь. В каталоге binaries/Release/ будет программа dnscrypt-winclient.exe. Скопируй этот файл в каталог, в котором находится файл dnscrypt-proxy.exe.
Осталось только запустить dnscrypt-proxy.exe. В появившемся окне выбери сетевые адаптеры, которые нужно защитить, и нажми кнопку Start. Если все нормально, тогда возле кнопки Stop (в нее превратится кнопка Start) появится надпись DNSCrypt is running.
VPN-провайдер предоставит вам безопасный туннель для передачи ваших данных, а DNSCrypt обеспечит защиту DNS-соединений. Конечно, услуги VPN провайдеров платны, но ведь за безопасность нужно платить?
Можно использовать, конечно, и Tor, но Tor работает относительно медленно, и это, как ни крути, не VPN — весь трафик «торифицировать» не получится. В любом случае (какой бы вариант вы ни выбрали) теперь ваши DNS-соединения защищены. Осталось только определиться со средством шифрования трафика (если вы это еще не сделали).
При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен. Когда вы используете VPN, шифруется уже весь ваш трафик (конечно, все зависит от настроек VPN, но, как правило, так оно и есть). Но иногда, даже когда используется VPN, ваш DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.
Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными тебе создателями OpenDNS, — программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер ваше соединения также будут защищены и вы сможете более безопасно бороздить просторы интернета. Конечно, DNSCrypt — это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если тебя такое краткое объяснение устроило, можешь сразу переходить к разделу, где я буду описывать установку и использование программы.
Попробуем разобраться глубже. Как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотри на рисунок.
Принцип работы DNSCrypt
Допустим, клиент (ноутбук на рисунке) пытается обратиться к google.com Первым делом он должен разрешить символьное имя узла в IP-адрес. Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, красная линия на рисунке), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.
Да, какие данные вы будете передавать на dkws.org.ua, никто не узнает. Но есть несколько очень неприятных моментов. Во-первых, провайдер, просмотрев логи DNS, сможет узнать, какие сайты вы посещали. Вам это надо? Во-вторых, вероятна возможность атак: DNS спуфинг и DNS снупинг. Подробно описывать их не буду, об этом уже написано множество статей. В двух словах ситуация может быть следующей: некто между вами и провайдером может перехватить DNS-запрос (а так как запросы не шифруются, то перехватить запрос и прочитать его содержимое не составит никакого труда) и отправить вам «поддельный» ответ. В результате вместо того, чтобы посетить google.com, вы перейдёте на сайт злоумышленника, как две капли воды похожий на тот, который вам нужен, введешь свой пароль от форума, ну а дальше развитие событий, думаю, ясно.
Описанная ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда ваша система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен. Каждый раз, когда вы посещаете новый сайт, соединяешься с новым сервером или запускаешь какое-то сетевое приложение, ваша система обращается к DNS провайдера, чтобы разрешить имя в IP.
В итоге ваш провайдер или любой желающий, находящийся на «последней миле», то есть между вами и провайдером, может получить все имена узлов, к которым вы обращаетесь. Приведенный выше вариант с подменой IP-адреса совсем жестокий, но в любом случае есть возможность отслеживать посещенные вами узлы и использовать эту информацию в собственных целях.
Если вы «боитесь» своего провайдера или просто не хочешь, чтобы он видел, какие сайты вы посещаете, можете (разумеется, кроме использования VPN и других средств защиты) дополнительно настроить свой компьютер на использование DNS серверов проекта OpenDNS ().
На данный момент это следующие серверы:
- 87.98.175.85 (ns10.fr): 99.74% uptime
- 130.255.73.90 (ns3.nw.de): 97.45% uptime
Но все равно остается проблема перехвата DNS-соединений. Да, вы уже обращаешься не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам вы обращались.
Вот мы и подошли к DNSCrypt. Эта программулина позволяет зашифровать ваше DNS соединение. Теперь ваш провайдер (и все, кто между вами и им) точно не узнает, какие сайты вы посещаете! Эта программа не замена Tor или VPN. По-прежнему остальные передаваемые вами данные передаются без шифрования, если вы не используете ни VPN, ни Tor. Программа шифрует только DNS трафик.
DNS LEAK
Сайтпозволяет определить «утечку» DNS. Просто зайди на этот сайт. Нажав кнопку Check for DNS leaks now, вы получите список DNS-серверов, через которые могут проходить ваши запросы. Следовательно, вы увидите, кто именно может узнать, какие сайты вы посещаете.
УСТАНОВКА И ИСПОЛЬЗОВАНИЕ DNSCRYPT
Самый простой способ защитить свое DNS соединение — это использовать DNSCrypt.
Первым делом качаем сам DNSCrypt с github.
Чтобы скачать программу с GitHub, нажми кнопку Download ZIP. Будет загружен архив с исходниками DNSCrypt. Уже откомпилированная версия находится в каталоге DNSCrypt архива. Распакуй файлы. В принципе вам нужен только один файл — dnscrypt-proxy.exe. Он находится в том самом каталоге. Все остальное (исходники) можно удалить.
Но это еще не все. Если вы уже погуглили, то, значит, видел скриншоты DNSCrypt. Запустив dnscrypt-proxy.exe, вы поняли, что что-то не то. Программа запустилась в окне командной строки. Все правильно, вы скачали сами прокси, а теперь еще нужно скачать к нему оболочку. На GitHub есть еще один проект — необходимая нам оболочка ().
Аналогичным образом скачай ZIP-архив, распакуй его куда-нибудь. В каталоге binaries/Release/ будет программа dnscrypt-winclient.exe. Скопируй этот файл в каталог, в котором находится файл dnscrypt-proxy.exe.
Осталось только запустить dnscrypt-proxy.exe. В появившемся окне выбери сетевые адаптеры, которые нужно защитить, и нажми кнопку Start. Если все нормально, тогда возле кнопки Stop (в нее превратится кнопка Start) появится надпись DNSCrypt is running.
VPN-провайдер предоставит вам безопасный туннель для передачи ваших данных, а DNSCrypt обеспечит защиту DNS-соединений. Конечно, услуги VPN провайдеров платны, но ведь за безопасность нужно платить?
Можно использовать, конечно, и Tor, но Tor работает относительно медленно, и это, как ни крути, не VPN — весь трафик «торифицировать» не получится. В любом случае (какой бы вариант вы ни выбрали) теперь ваши DNS-соединения защищены. Осталось только определиться со средством шифрования трафика (если вы это еще не сделали).