DNS provoz. Únik DNS: co to je a jak to opravit pomocí nástroje DNSCrypt. Jako závěr

DNS provoz. Únik DNS: co to je a jak to opravit pomocí nástroje DNSCrypt. Jako závěr

Ahoj všichni! Je čas podívat se na provoz DNS prostřednictvím lupy WireShark.

Připomínám, že protokol DNS se používá k převodu symbolického názvu srozumitelného lidem, jako je například webová stránka, na IP adresu, na kterou je požadavek.

Stáhněte si dopravní soubor. Otevřete jej ve WireSharku a podívejte se:

Jak vidíte, protokol DNS (ve zvolené zóně je nejnižší - systém doménových jmen) je doplňkem protokolu UDP, který leží na 4. úrovni. Tedy bez navazování trvalého spojení, ale pouhým zasíláním paketů (datagramů). Stejně jako TCP má i UDP porty. Pro DNS je to port číslo 53, který lze snadno vidět ve stromu protokolu.

Protokol UDP je ještě níže založen na protokolu IP pro přenos mezi sítěmi. V současné době je hlavním protokolem pro přenos dat na internetu. Na této úrovni máme informace o zdrojové a cílové IP adrese. No a také informace o zapouzdřeném UDP paketu.

Zdrojovou adresou bude náš počítač (který si vyžádal informace přes DNS) a cílovou IP adresou bude samotný DNS server, který (implicitně) musí mít databázi takových shod.

Tato databáze ukládá záznamy několika typů:

  • A (host) – spojuje jméno hostitele a jeho IP adresu;
  • AAAA (hostitel) – spojuje jméno hostitele a jeho IPv6 adresu;
  • CNAME (alias) – spojuje název uzlu a jeho alias pro přesměrování na jiný název uzlu;
  • MX (mail exchange) – odkazuje na IP adresu poštovního serveru zpracovávajícího tuto doménu;
  • NS (name server) – odkazuje na DNS server obsluhující tuto doménu;
  • SOA (start of Authority) – označuje počáteční zónu pro tuto doménu, obsahuje IP hlavního DNS serveru, adresu a kontaktní údaje osoby, vlastníka domény, časová razítka atd.;
  • PTR (pointer) – ukazatel na zpětnou vazbu, která převádí IP adresu na kanonické jméno;
  • SRV (server) – ukazatel na různé služby;
  • Úplný seznam položek si můžete prohlédnout na http://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml

Vraťme se tedy k naší žádosti. Podívejme se na první balíček:


Jak vidíme, pokud rozbalíme informační strom v analýze paketů, můžeme vidět, že byl přijat požadavek (Dotazy) na získání standardního hostitelského záznamu (Typ: A) podle názvu (Název: www.iana.org) . To znamená, že přeloženo z DNS do ruštiny to bude takto:

"Ahoj, 68.87.76.178 ! Dej mi vědět jakou IP chlap jménem www.iana.org"Chci mu něco říct."

Takto probíhají jejich rozhovory. Na co server odpoví (paket č. 2):


Zde vidíme odpověď na otázku. Jinými slovy, DNS server odpoví hostiteli, který odeslal požadavek:

"Ahoj, 71.198.243.158 , zeptali jste se, jaká je adresa www.iana.org, tak tady je jeho adresa 192.0.34.162 !, teď mu napište přímo“

Podrobně byste také měli věnovat pozornost polím Příznaky, které zobrazují charakteristiky požadavků a odpovědí:


Zde jsem se opět obrátil na 1. paket, ve kterém se vyskytuje požadavek na server.

Věnujte pozornost ID transakce: Tato číselná hodnota se musí v odpovědi opakovat, což znamená, že odpověď je specificky pro tento požadavek.

Standardní dvoubajtové pole, jehož hodnoty jsou součtem bitů:

  • první bit (1) indikuje, že se jedná o požadavek;
  • 2-5 bitů (4) – jedná se o standardní požadavek;
  • 7 bitů (1) – že se nejedná o zkrácený požadavek;
  • 8 bitů (1) – rekurzivní dotaz (tj. pokud náš DNS server nezná IP hostitele, kterého jsme požadovali, bude se sám dotazovat na ostatní DNS servery, dokud nenajde odpověď;
  • 10 bitů (1) – rezervováno;
  • 12 bitů (1) – přijímá neautorizované odpovědi. Odpověď ze serveru se nazývá autoritativní, pokud tvrdí, že obsluhuje danou zónu. Pokud server obdržel odpověď z jiných serverů, pak pro nás není taková odpověď směrodatná.

Nyní se podívejme na příznaky odpovědi:


Věnujte pozornost ID transakce. Odpovídá ID předchozího balíčku.

  • První bit (1) je, že se jedná o odpověď;
  • 2-5 bitů (4) – standardní odpověď;
  • 6 bitů (1) - autorita odpovědi, pokud server sám obsluhuje tuto zónu - vrátí „1“, pokud obdržel odpověď z jiného místa - bude to „0“;
  • 7 bitů (1) – zkrácený paket. V případě, že se odpověď nevejde do velikosti UDP datagramu (512 bajtů);
  • 8 bitů (1) – je vhodné používat rekurzivní dotazy. Pokud je příznak nastaven na „0“, klient v odpovědi obdrží seznam dalších serverů, ze kterých se může pokusit zjistit potřebné informace.
  • 9 bitů (1) – server provádí rekurzivní požadavky;
  • 10 bitů (1) – rezervováno;
  • 11 bitů (1) – byla přijata autoritativní odpověď, tj. server sám obsluhuje tuto zónu;
  • 12 bitů (1) – přijímat neautoritativní odpovědi?
  • 13-16 bitů (4) – kód chyby. Pokud 0, pak je vše v pořádku.

Obecně jsme přišli na standardní otázky a odpovědi na DNS.

Mimochodem, existoval trojský kůň, který ukradl data z počítače a poslal je ve formě DNS dotazů na server. Dokážete si představit, jaké to je? Většina firewallů umožňuje DNS, to je normální provoz klientského počítače. A červ pod rouškou DNS požadavků odeslal soukromá data na „levý“ DNS server. Jako: „Hej, hostitelský server, řekni mi IP uzlu s názvem „mail“ [e-mail chráněný], heslo yyyyy"?" A server zaznamenával požadavky a mohl odesílat nesmyslné odpovědi, čímž zaznamenával všechny požadavky do nějakého souboru. Počet DNS požadavků byl velký a pod jejich rouškou bylo možné přenést megabajty dat zcela nepozorovaně uživatelem. Pokud nebudete konkrétně poslouchat provoz, není možné odhalit únik dat.

Program skenuje DNS odpovědi ze serverů (to stačí, uvnitř odpovědí jsou dotazy) a pokud se název domény shoduje s regulárním výrazem, vytiskne adresu z A záznamu (což bylo získáno jako výsledek rozlišení).

Pomocí tohoto nástroje můžete shromažďovat téměř všechny statistiky - které doménové jméno bylo převedeno na IP adresu a kdy k tomu došlo. Trénovaný uživatel samozřejmě může tyto informace skrýt (zapsáním uzlu do souboru hosts nebo například použitím jiného kanálu pro DNS dotazy), ale pro většinu uzlů získáme uspokojivý obrázek.

Jak to funguje:

$ sudo ./sidmat eth0 "." iu
Vidíme názvy domén a to, na co se rozlišují (eth0 je rozhraní, kterým prochází DNS provoz).

$ sudo ./sidmat eth0 "." iu | while IFS= read -r řádek; do printf "%s\t%s\n" "$(datum "+%Y-%m-%d %H:%M:%S")" "$řádek"; Hotovo
Upravujeme čas. Zbývá pouze přesměrovat výsledek do souboru a můžete použít korespondenční tabulku. Obslužný program může zachycovat odpovědi DNS pomocí pcap (v systému Linux/BSD) nebo pomocí mechanismu nflog v systému Linux.

Stejnou techniku ​​lze použít k řízení provozu. Filtrujte podle domény, získejte adresy domén s klíčovými slovy v názvech atd.

Je třeba mít na paměti, že ovládání nemusí být příliš přesné. Pokud v době, kdy DNS odpověď dorazí k uživateli a on začne přenášet provoz do tohoto uzlu, nestihneme přidat adresu do ipset/iptables/routovací tabulky/někam jinam, pak provoz půjde „normálním“ způsobem .

Kromě toho může kvalifikovaný uživatel generovat falešné odpovědi DNS, což znamená, že je lepší používat to opatrně pro odvetu.

Několik příkladů:

Jak získat seznam IP adres, na které se vk.com a jeho subdomény převádějí? (Bez možnosti „u“ budou vytištěny pouze jedinečné IP adresy)

$ sudo ./sidmat eth0 "^vk.com$|\.vk.com$" d
Pomocí možností „d“ nebo „i“ můžete vidět, která doména je přeložena na IP adresu, „d“ vytiskne název domény na stderr.

Jak blokovat adresy, které umožňují vk.com, jeho subdomény a všechny domény se slovem odnoklassniki? (domény jako avk.com nebudou spadat pod pravidlo, odnoklassnikii.com ano).

$ sudo sh -c "/sidmat eth0 "^vk\.com$|\.vk\.com$|odnoklassniki" | /usr/bin/xargs -I () /sbin/iptables -A INPUT -s () - j DROP"
Kromě malých regulárních výrazů můžete v souboru použít seznamy (volba „f“, druhý argument je interpretován jako název souboru, jeho obsah jako jeden velký regulární výraz). Seznamy mohou být poměrně velké, my jsme se dívali na výkon na seznamu domén RKN (provoz na zakázané domény byl přesměrován na VPN), běžný PC router si s tím poradil celkem v klidu.

Můžete pomoci a převést nějaké prostředky na rozvoj webu

Ochrana připojení DNS pro paranoiky

Myslíte si pomocí VPN, že vás nikdo nešpehuje a přenášená data jsou chráněna? Mýlíš se. Nyní se pokusím vysvětlit proč.

O DNSCRYPTU STRUČNĚ

Při použití HTTPS nebo SSL je váš HTTP provoz šifrován, což znamená, že je chráněn. Když používáte VPN, veškerý váš provoz je již šifrován (samozřejmě vše závisí na nastavení VPN, ale zpravidla tomu tak je). Ale někdy, i když používáte VPN, vaše DNS dotazy nejsou šifrované, jsou odesílány tak, jak jsou, což otevírá velký prostor pro kreativitu, včetně útoků MITM, přesměrování provozu a mnoho dalšího.

Zde přichází na pomoc open source utilita DNSCrypt, kterou vyvinuli známí tvůrci OpenDNS – programu, který umožňuje šifrovat DNS dotazy. Po instalaci do počítače budou chráněna i vaše připojení a budete moci bezpečněji surfovat na internetu a prohlížet si design venkovní reklamy. DNSCrypt samozřejmě není všelékem na všechny problémy, ale pouze jedním z bezpečnostních nástrojů. K šifrování veškerého provozu stále musíte používat připojení VPN, ale spárování s DNSCrypt bude bezpečnější. Pokud jste s takto stručným vysvětlením spokojeni, můžete rovnou přejít k části, kde popíšu instalaci a používání programu.

PRO SKUTEČNÉ PARONIKY

Zkusme porozumět hlouběji. Tato sekce je pro opravdu paranoiky. Pokud si ceníte svého času, můžete okamžitě přistoupit k instalaci programu.

Takže, jak se říká, je lepší jednou vidět, než stokrát slyšet. Řekněme, že se klient pokusí kontaktovat dkws.org.ua. První věc, kterou musí udělat, je přeložit symbolický název hostitele na IP adresu. Pokud je konfigurace sítě taková, že se používá DNS server poskytovatele (nešifrované připojení, na obrázku červená čára), pak k překladu symbolického jména na IP adresu dojde přes nešifrované připojení.

Ano, nikdo nebude vědět, jaká data budete předávat na dkws.org.ua. Jsou tu ale velmi nepříjemné momenty. Za prvé, poskytovatel nahlédnutím do protokolů DNS bude schopen zjistit, které stránky jste navštívili. Potřebuješ to? Za druhé je pravděpodobná možnost útoků DNS spoofing a DNS snooping. Nebudu je podrobně popisovat, bylo o tom již napsáno mnoho článků. Stručně řečeno, situace může být následující: někdo mezi vámi a poskytovatelem může zachytit požadavek DNS (a protože požadavky nejsou šifrované, nebude obtížné požadavek zachytit a přečíst jeho obsah) a poslat vám „ falešná“ odpověď. Výsledkem je, že místo návštěvy dkws.org.ua přejdete na web útočníka, který je přesně takový, jaký potřebujete, zadáte své heslo z fóra a vývoj událostí, myslím, je Průhledná.

Popsaná situace se nazývá únik DNS. K úniku DNS dochází, když váš systém i po připojení k serveru VPN nebo Tor pokračuje v dotazech na servery DNS poskytovatele internetových služeb, aby přeložil názvy domén. Pokaždé, když navštívíte nový web, připojíte se k novému serveru nebo spustíte síťovou aplikaci, váš systém kontaktuje DNS vašeho ISP, aby přeložil název na IP. Výsledkem je, že váš poskytovatel nebo kdokoli, kdo se nachází na „poslední míli“, tedy mezi vámi a poskytovatelem, může přijímat všechna jména uzlů, ke kterým přistupujete. Výše uvedená možnost s náhradou IP adresy je poměrně krutá, ale v každém případě je možné sledovat uzly, které jste navštívili, a použít tyto informace pro své vlastní účely.

Pokud se svého poskytovatele „bojíte“ nebo jednoduše nechcete, aby viděl, jaké stránky navštěvujete, můžete (samozřejmě kromě použití VPN a dalších bezpečnostních opatření) svůj počítač dodatečně nakonfigurovat tak, aby používal DNS servery projekt OpenDNS (www.opendns.com). V tuto chvíli se jedná o následující servery:

208.67.222.222;

208.67.220.220.

Nepotřebujete žádný další dodatečný software. Stačí nakonfigurovat systém tak, aby používal tyto servery DNS.

Ale problém zachycování DNS připojení stále zůstává. Ano, již nepřistupujete k DNS poskytovatele, ale spíše k OpenDNS, ale stále můžete zachytit pakety a zjistit, co je v nich. To znamená, že pokud si přejete, můžete zjistit, ke kterým uzlům jste přistupovali.

Nyní se dostáváme k DNSCrypt. Tento program vám umožňuje zašifrovat vaše připojení DNS. Nyní váš ISP (a každý mezi vámi a nimi) nebude přesně vědět, jaké stránky navštěvujete! Ještě to zopakuji. Tento program nenahrazuje Tor nebo VPN. Stejně jako dříve se zbývající data, která přenášíte, přenášejí bez šifrování, pokud nepoužíváte VPN nebo Tor. Program pouze šifruje provoz DNS.

Stránka https://www.dnsleaktest.com vám umožňuje identifikovat únik DNS a vysvětluje, jak se ho zbavit. Stačí přejít na tuto stránku. Kliknutím na tlačítko Zkontrolovat úniky DNS nyní získáte seznam serverů DNS, přes které mohou vaše dotazy procházet. Uvidíte tedy přesně, kdo může zjistit, jaké stránky navštěvujete.

V mém případě mají vlastníci 12 serverů DNS možnost zaznamenávat všechny stránky, které navštěvuji. Ale protože pracuji přes Tog, tato otázka mě trochu znepokojuje.

Stránka bit.lv/1ctmaaJ popisuje, jak tuto chybu zabezpečení opravit (tedy co dělat, aby po připojení k VPN váš systém používal DNS servery poskytovatele VPN, nikoli vašeho poskytovatele internetu). Nevidím smysl to všechno opakovat, protože s postupným sledem akcí si poradí každý.

INSTALACE POMOCÍ DNSCRYPT

Nejjednodušší způsob, jak zabezpečit připojení DNS, je použít DNSCrypt. Můžete se samozřejmě řídit doporučeními z www. dnsleaktest.com, nebo se můžete vydat cestou nejmenšího odporu a stačí nainstalovat DNSCrypt.

Nejprve si stáhněte samotný DNSCrypt (https://github.com/QDendns/dnscrypt-win-client). Ihned jsem uvedl odkaz na GitHub, kde si program můžete stáhnout. Chcete-li stáhnout program z GitHubu, klikněte na tlačítko Stáhnout ZIP. Bude stažen archiv se zdroji DNSCrypt. Již zkompilovaná verze se nachází v adresáři DNSCrypt archivu. Rozbalte soubory. V podstatě vám stačí jeden soubor – dnscrypt-proxy.exe. Nachází se ve stejném adresáři. Vše ostatní (zdroje) lze smazat.

Ale to není vše. Pokud jste to již zadali do Googlu, pak jste viděli snímky obrazovky DNSCrypt. Po spuštění dnscrypt-proxy.exe jste si uvědomili, že něco není v pořádku. Program se spustil v okně příkazového řádku. Vše je v pořádku, stáhli jste samotný proxy a nyní si pro něj musíte stáhnout shell. Na GitHubu je další projekt – shell, který potřebujeme.

Podobně si stáhněte ZIP archiv a někde ho rozbalte. V adresáři binaries/Release/ bude program s názvem dnscrypt-winclient.exe. Zkopírujte tento soubor do adresáře, kde je umístěn soubor dnscrypt-proxy.exe.

Zbývá pouze spustit dnscrypt-proxy. eh V okně, které se zobrazí, vyberte síťové adaptéry, které chcete chránit, a klikněte na tlačítko Start. Pokud je vše v pořádku, objeví se u tlačítka Stop hlášení DNSCrypt is running (tlačítko Start se změní na něj). Mimochodem, mějte na paměti, že rozhraní pro OS X vypadá trochu jinak.

JAKO ZÁVĚR

Článek nebyl příliš dlouhý, protože samotný program se velmi snadno používá. Nebylo by to ale kompletní, kdybych nezmínil VPN. Pokud čtete tento článek a zajímá vás, ale ještě jste nevyužili služeb poskytovatele VPN k šifrování vašich dat, je čas to udělat. Poskytovatel VPN vám poskytne bezpečný tunel pro přenos vašich dat a DNSCrypt zajistí vaše připojení DNS. SecurityKISS je samozřejmě placený (bezplatný plán lze použít pouze pro hodnocení), ale za bezpečnost musíte platit, že?

Můžete samozřejmě použít Tor, ale Tor funguje relativně pomalu a, ať už někdo říká, není to VPN - nebude možné „tarifovat“ veškerý provoz. V každém případě (ať už zvolíte kteroukoli možnost), vaše připojení DNS jsou nyní bezpečná. Zbývá pouze rozhodnout o způsobu šifrování provozu (pokud jste tak již neučinili).

Myslíte si, že vaše anonymita je spolehlivě chráněna. Ale bohužel tomu tak není. Existuje jeden velmi důležitý kanál pro únik vašich soukromých informací – služba DNS. Ale i na to se naštěstí našlo řešení. Dnes vám řeknu, jak zašifrovat váš DNS provoz pomocí nástroje DNSCrypt.

Při použití HTTPS nebo SSL je váš HTTP provoz šifrovaný, tedy chráněný. Když používáte VPN, veškerý váš provoz je již šifrován (samozřejmě vše závisí na nastavení VPN, ale zpravidla tomu tak je). Ale někdy, i když používáte VPN, vaše DNS dotazy nejsou šifrované, jsou odesílány tak, jak jsou, což otevírá velký prostor pro kreativitu, včetně útoků MITM, přesměrování provozu a mnoho dalšího.

Zde přichází na pomoc open source utilita DNSCrypt, kterou vyvinuli známí tvůrci OpenDNS – programu, který umožňuje šifrovat DNS dotazy. Po instalaci do počítače budou chráněna i vaše připojení a budete moci bezpečněji surfovat na internetu. DNSCrypt samozřejmě není všelékem na všechny problémy, ale pouze jedním z bezpečnostních nástrojů. K šifrování veškerého provozu stále musíte používat připojení VPN, ale spárování s DNSCrypt bude bezpečnější. Pokud jste s takto stručným vysvětlením spokojeni, můžete rovnou přejít k části, kde popíšu instalaci a používání programu.

Zkusme porozumět hlouběji. Tato sekce je pro opravdu paranoiky. Pokud si ceníte svého času, můžete okamžitě přistoupit k instalaci programu.
Takže, jak se říká, je lepší jednou vidět, než stokrát slyšet. Podívej se na obrázek.


Řekněme, že se klient (notebook na obrázku) pokouší získat přístup na stránku google.com
přeložit symbolický název hostitele na IP adresu. Pokud je konfigurace sítě taková, že se používá DNS server poskytovatele (nešifrované připojení, na obrázku červená čára), pak k překladu symbolického jména na IP adresu dojde přes nešifrované připojení.

Ano, nikdo nebude vědět, jaká data budete předávat na dkws.org.ua. Jsou tu ale velmi nepříjemné momenty. Za prvé, poskytovatel nahlédnutím do protokolů DNS bude schopen zjistit, které stránky jste navštívili. Potřebuješ to? Za druhé je pravděpodobná možnost útoků DNS spoofing a DNS snooping. Nebudu je podrobně popisovat, bylo o tom již napsáno mnoho článků. Stručně řečeno, situace může být následující: někdo mezi vámi a poskytovatelem může zachytit požadavek DNS (a protože požadavky nejsou šifrované, nebude obtížné požadavek zachytit a přečíst jeho obsah) a poslat vám „ falešná“ odpověď. Výsledkem je, že místo návštěvy google.com přejdete na web útočníka, který je přesně takový, jaký potřebujete, zadáte své heslo z fóra a vývoj událostí je, myslím, jasný.

Popsaná situace se nazývá únik DNS. K úniku DNS dochází, když váš systém i po připojení k serveru VPN nebo Tor pokračuje v dotazech na servery DNS poskytovatele, aby přeložil názvy domén. Pokaždé, když navštívíte nový web, připojíte se k novému serveru nebo spustíte síťovou aplikaci, váš systém kontaktuje DNS vašeho ISP, aby přeložil název na IP. Výsledkem je, že váš poskytovatel nebo kdokoli, kdo se nachází na „poslední míli“, tedy mezi vámi a poskytovatelem, může přijímat všechna jména uzlů, ke kterým přistupujete. Výše uvedená možnost s náhradou IP adresy je poměrně krutá, ale v každém případě je možné sledovat uzly, které jste navštívili, a použít tyto informace pro své vlastní účely.

Pokud se svého poskytovatele „bojíte“ nebo jednoduše nechcete, aby viděl, jaké stránky navštěvujete, můžete (samozřejmě kromě používání VPN a dalších bezpečnostních opatření) svůj počítač dodatečně nakonfigurovat tak, aby používal DNS servery Projekt OpenDNS (www.opendns.com) . V současné době se jedná o následující servery:

208.67.222.222
208.67.220.220

Nepotřebujete žádný další dodatečný software. Stačí nakonfigurovat systém tak, aby používal tyto servery DNS.

Ale problém zachycování DNS připojení stále zůstává. Ano, již nepřistupujete k DNS poskytovatele, ale spíše k OpenDNS, ale stále můžete zachytit pakety a zjistit, co je v nich. To znamená, že pokud si přejete, můžete zjistit, ke kterým uzlům jste přistupovali.

Nyní se dostáváme k DNSCrypt. Tento program vám umožňuje zašifrovat vaše připojení DNS. Nyní váš ISP (a všichni mezi vámi a nimi) nebude přesně vědět, jaké stránky navštěvujete! Ještě to zopakuji. Tento program nenahrazuje Tor nebo VPN. Stejně jako dříve se zbývající data, která přenášíte, přenášejí bez šifrování, pokud nepoužíváte VPN nebo Tor. Program pouze šifruje provoz DNS.


JAKO ZÁVĚR

Článek nebyl příliš dlouhý, protože samotný program se velmi snadno používá. Nebylo by to ale kompletní, kdybych nezmínil VPN. Pokud čtete tento článek a zajímá vás, ale ještě jste nevyužili služeb poskytovatele VPN k šifrování vašich dat, je čas to udělat.
Poskytovatel VPN vám poskytne bezpečný tunel pro přenos vašich dat a DNSCrypt zajistí vaše připojení DNS. Služby poskytovatelů VPN jsou samozřejmě placené, ale za bezpečnost se platit musí, ne?

Můžete samozřejmě použít Tor, ale Tor funguje relativně pomalu a, ať už někdo říká, není to VPN - nebude možné „torifikovat“ veškerý provoz. V každém případě (ať už zvolíte kteroukoli možnost), vaše připojení DNS jsou nyní bezpečná. Zbývá pouze rozhodnout o způsobu šifrování provozu (pokud jste tak již neučinili).

4601 ,

Od doby, kdy byl vyvrácen mýtus o anonymitě na internetu, se na seznam těch nejpalčivějších zařadila i otázka soukromí uživatelů. Nejsou to jen vyhledávače a navštívené stránky, které mohou sledovat vaši online aktivitu, ale také vaši vlastní poskytovatelé internetových služeb. Technicky to není tak těžké, pokud DNS vám vystaví poskytovatel, a to se nejčastěji děje, vše procházející DNS provoz se jím dá sledovat, zejména od DNS-požadavky jsou odesílány přes nešifrované spojení.

Je jasné, že nahrazení zachycených paketů nebude obtížné, i když použijete VPN-služby.

Jediný způsob, jak uzavřít díru, je šifrování. DNS-traffic, ale k tomu budete potřebovat speciální software, protože žádný z operačních systémů nepodporuje šifrování DNS z krabice. Nejjednodušší šifrovací nástroj DNS-traffic je malý bezplatný nástroj, který má tu výhodu, že nevyžaduje další nastavení, což znamená, že jej mohou používat i začátečníci. Existuje konzolový nástroj - DNSCrypt proxy, ale musíte si s tím pohrát - provést řadu příkazů v PowerShell, změnit adresu DNS ručně a tak dále. Kdo má čas a chuť, může se s tím na stránce seznámit github.com/jedisct1/dnscrypt-proxy .

Doporučujeme používat jednodušší a pohodlnější verzi pro stolní počítače DNS- kryptograf. Stáhněte si z webu vývojáře simplednscrypt.org Verzi programu, která odpovídá bitové úrovni vašeho OS, a nainstalujte ji.

Je vybavena jednoduchým, intuitivním rozhraním a navíc v ruštině, takže snadno zjistíte, co je co. Základní nastavení se provádí v sekci "Jídelní lístek". Chcete-li začít používat program, ihned po instalaci klikněte na tlačítko "Aplikovat" a poté v dolní části vyberte svou síťovou kartu, měla by být zaškrtnuta, jak je znázorněno na snímku obrazovky. Přepínač "služba DNSCrypt" musí být aktivní.

Je snadné zkontrolovat, zda vše funguje. Provést v okně Běh tým ncpa.cpl, otevřete vlastnosti vašeho připojení, vyberte ze seznamu IP verze 4 (TCPIPv4) a otevřete jeho vlastnosti. Přepínač "Použít následující adresy serveru DNS" musí být aktivní a pole musí označovat preferovaný DNS-server. Máme to 127.0.0.1 , vaše adresa může být jiná.

Ve výchozím nastavení program automaticky vybere nejrychlejší server, ale své preference můžete změnit tak, že jej sami vyberete v sekci.

Parametry sekce není třeba měnit, pokud protokol nepoužíváte IPv4. V obecných nastaveních můžete povolit další karty "Černá listina domén", "Protokol blokování domény", ale to zase, pokud budete pracovat s funkcemi, které nabízejí, zejména skládání "Černá" seznamy domén.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se sám restartuje – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní