LINUX.ORG.RU

Зачем нужен DNSCrypt, получается VPN шифрует не все?

 , , , ,


3

4

Я как-то недавно проникся темой DNS, но до сих пор не пойму, зачем нужен проект DNSCrypt, разве VPN не шифрует весь трафик? Или DNS-трафик проходит по какому-то особому каналу, котоырй VPN не захватывает? Часто в описании того или иного VPN-сайта в списке можно прочитать 'Защита от DNS Leaks' и тому подобное. Проясните?

Ответ на: комментарий от Deathstalker

В инете полно статей по настройке OpenVPN+DNSCrypt, отсюда и непонятно если вообще смысл. OpenVPN не обеспечивает защиту от утечек DNS?

lineager
() автор топика
Ответ на: комментарий от Deathstalker

А если я использую готовый VPN (купленный, OpenVPN) - как понять, есть ли утечка DNS, и нужно ли мне на моем копме настраивать DNSCrypt? В роутере прописан Google DNS, это все что я знаю про свой DNS.

lineager
() автор топика
Ответ на: комментарий от Deathstalker

Везде показывает VPN-сервер страны, из которой подключен. Что на основной машине, что в виртуалках за NATом. Выходит, купленный VPN правильно настроен?

lineager
() автор топика
Ответ на: комментарий от lineager

Ubuntu? Там из коробки dnsmasq, кеширующий dns, через него утечка может быть, у разрезолвеных имен есть TTL, ~5 минут в среднем, т.е. ты открыл google.com, потом решил включить vpn из страны X, но пять минут будут использоваться старый резолвинг, открываешь google.com, тебе dnsmasq вернет старый ip, т.е. российского сервера гугла.

Проверить такую утечку думаю можно так:
1. Открыть https://dnsleaktest.com, закрыть.
2. Включить dns.
3. Открыть опять https://dnsleaktest.com.

Aber ★★★★★
()
Последнее исправление: Aber (всего исправлений: 1)
Ответ на: комментарий от lineager

ip route get адрес (8.8.8.8 или что там у тебя)
если машина на твой днс ходит не с tun интерфейса, то твой провайдер вполне себе может смотреть куда ты ходишь

Deleted
()
Последнее исправление: hellcat (всего исправлений: 1)
Ответ на: комментарий от Deleted

Выполнил ip route get 8.8.8.8, получил такое.

8.8.8.8 via 10.*.*.* dev tap0 src 10.*.*.*
cache

Звездочками закрасил спецом, ибо не знаю насколько это персональная инфа или нет. :)

1я и 2я «десятки» отличаются только последними 2мя цифрами.

lineager
() автор топика
Ответ на: комментарий от lineager

через тоннель ходит
можешь не заморачиваться с dnscrypt
моё предположение следующее:
мало кто гоняет весь трафик через vpn, только определённые направления. dns туда по умолчанию не входит поскольку dnsleak работает и в обратную сторону.

Deleted
()
Ответ на: комментарий от Aber

Ubuntu? Там из коробки dnsmasq, кеширующий dns, через него утечка может быть, у разрезолвеных имен есть TTL, ~5 минут в среднем, т.е. ты открыл google.com, потом решил включить vpn из страны X, но пять минут будут использоваться старый резолвинг, открываешь google.com, тебе dnsmasq вернет старый ip, т.е. российского сервера гугла.

его помимо всего спалят разные часовые зоны, кеш браузера и сотня техник фингерпринтинга
наличие src ip, принадлежащего vpn сервису лишь даст повод повнимательнее к нему приглядеться

Deleted
()
Ответ на: комментарий от Deleted

Против фингерпринта есть немало аддонов, выставляющих каждый раз десятки рандомных параметров. Так что палить становится все сложнее. Кеш тоже не проблема, в режиме инкогнито он вроде как чистится автоматом? А если заранее проставить в системе левые часовые пояса, то определить хоть какие-нибудь реальные параметры системы становится очень сложно, если вообще возможно. Вот с DNS было не все понятно, теперь кое-что прояснилось.

lineager
() автор топика
Ответ на: комментарий от lineager

Против фингерпринта есть немало аддонов, выставляющих каждый раз десятки рандомных параметров. Так что палить становится все сложнее. Кеш тоже не проблема, в режиме инкогнито он вроде как чистится автоматом? А если заранее проставить в системе левые часовые пояса, то определить хоть какие-нибудь реальные параметры системы становится очень сложно

как насчёт canvas фингерпринтинга, определения модели твоей видяхи через webgl, и получения списка шрифтов? а то, что твою систему палит твой же tcp стек ты знал? а про определение vpn-а двойным пингом подумал? я уже не говорю о том, что подмена/скрытие этих данных приводит к ещё большему засвету, так как на 10000 домохозяек, гламурных кис и чотких пацанов только ты заморочился

Deleted
()
Ответ на: комментарий от Deleted

Неужели каждый сайт будет заморачиваться, чтобы палить видюху или список шрифтов? Или палить VPN? Я даже не представляю что за сайт может так заморачиваться и заниматься подобным. Netflix может палить VPN, и то не всякий, но некоторые палит и не пускает на сайт. Даже не знаю что и думать.

lineager
() автор топика
Ответ на: комментарий от lineager

я к тому, что способов отследить тебя - огромное количество
сайт А может использовать техники 1, 2, 15, 18 и 22
сайт Б использует 1, 2, 3, 8, 11
всё разом ты всё равно не перекроешь, а попытками потеряться привлечёшь куда больше внимания. сейчас всё больше контента хранится на всевозможных CDN-ах - точках пересечения, при заходе на любой ресурс тут же выполняется тьма кроссайтовых запросов. зайди в любой интернетмагазин и глянь в инспекторе своего излюбленного браузера: там же будут элементы от вконтакта, фейсбука, нескольких рекламных сетей и ещё какой-то нёх.
учитывая, что каждый уникальный пользователь ценится, а информация обменивается и продаётся - сейчас сёрфить = пройти комнату с тысячами переплетённых нитей, к каждой из которых приделан колокольчик. задел одну - засветился для всех
так что особо на впн, порно режим в браузере и чудо-аддон «друг анонимуса» не рассчитывай

Deleted
()
Ответ на: комментарий от lineager

Netflix может палить VPN, и то не всякий, но некоторые палит и не пускает на сайт. Даже не знаю что и думать.

По спискам ip публичных vpn сервисов, по размеру mss, который устанавливается в момент tcp хендшейка, он меньше стандартного 1460 на оверхед vpn.

Aber ★★★★★
()
Ответ на: комментарий от Deleted

сайт А может использовать техники 1, 2, 15, 18 и 22

сайт Б использует 1, 2, 3, 8, 11

А можно ли составить черный список таких сайтов? Мне кажется популярных сайтов не так много, среди них наверняка есть те, которые дорожат репутацией, и те которым все пофиг. Можно было бы составить список сайтов, которые занимаются фингерпринтом. Или такой список уже где-то есть?

а попытками потеряться привлечёшь куда больше внимания.

Мне кажется зависит от того, что именно маскировать/подменять. Какие-то вещи очень даже полезно исказить.

Кстати, а что там в новых версиях Firefox по поводу изоляции вкладок? Они же грозились что сделали полную изоляцию, вплоть до того что в каждой вкладке по аккаунту на фейсбуке можно, и фейсбук не поймет.

lineager
() автор топика

VPN шифрует трафик ровно до точки терминирования VPN.

DNSCrypt шифрует трафик до DNS-сервера.

Т.е. между выходом из VPN и DNS-сервером будет не зашифрован. DNSCrypt решает эту проблему.

Кроме того, DNS-трафик может банально не маршрутизироваться через VPN.

CaveRat ★★
()
Ответ на: комментарий от lineager

А можно ли составить черный список таких сайтов? Мне кажется популярных сайтов не так много, среди них наверняка есть те, которые дорожат репутацией, и те которым все пофиг. Можно было бы составить список сайтов, которые занимаются фингерпринтом.

разрешаю, составляй

Кстати, а что там в новых версиях Firefox по поводу изоляции вкладок? Они же грозились что сделали полную изоляцию

сандбокс скопипащен из хромиума, так что дела там обстоят так же

вплоть до того что в каждой вкладке по аккаунту на фейсбуке можно, и фейсбук не поймет.

https://testpilot.firefox.com/experiments/containers/
вот что ты описываешь
https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/
закончилось это официальным дополнением

Deleted
()
Ответ на: комментарий от lineager

Задам один вопрос - у тебя VPN поддерживает IPv6 или нет?

Если нет, то выбрось подобный сервис.
Сам столкнулся с таким, и теперь использую лишь DNSCrypt с IPv6 серверами.

Проблема решена позитивно.

blitz
()
Ответ на: комментарий от CaveRat

Кроме того, DNS-трафик может банально не маршрутизироваться через VPN.

This!
Более того, в моём случае использования одноразовых VPN,
мне нужно - DNS server, что сам прописал в конфигурации сети и VPN не должен никак касаться и интересоваться DNS.

blitz
()
Ответ на: комментарий от blitz

Задам один вопрос - у тебя VPN поддерживает IPv6 или нет?

Спросил сапорт, нет не поддерживают. Чем это плохо?

lineager
() автор топика
Ответ на: комментарий от lineager

Безопасность, как и беременность - суть персональное.
Или есть или нет. Третьего не дано.

Без поддержки IPv6 - сегодня можешь отключить комп.

blitz
()
Ответ на: комментарий от blitz

Безопасность, как и беременность - суть персональное.

Или есть или нет. Третьего не дано.

Фиговая аналогия.

Без поддержки IPv6 - сегодня можешь отключить комп.

Шта?

Да, ход твоей мысли верен.

Ну, так тоже можно, но зачем? Хотя, оставив вопрос «зачем» можно просто создать образ в преднастроенным DNS и маршрутизацией. И поднимать/отключать по желанию.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Столкнулся с тем, зачем нужен IPv6 - посетив один сайт с IPv4 DNS.
Ты просто с этим не сталкивался, и продолжаешь заблуждаться в своих оценках.

blitz
()
Ответ на: комментарий от blitz

Без поддержки IPv6 - сегодня можешь отключить комп.

Я ничего не понял. Почему мой купленный VPN плохой, если у него нет IPv6? Чем это мне грозит, и почему надо отключать комп?

lineager
() автор топика
Ответ на: комментарий от lineager

Дано:
i. У тебя VPN server и DNSCrypt с поддержкой только IPv4.
ii. Открываешь сайт, который для загрузки медиа/картинок/видео, использует сам сервера IPv6.

Итог:
i. Резолвер сети на компе не может обратиться к серверам DNS IPv4 и перейдёт на DNS сервера твоего ISP.
ii. Что ещё пакостней - при этом, резолвер сети не вернётся обратно на использование DNSCrypt.

Выводы:
Заметив такое, спросил помощи на LOR, на форуме Security.
Вопрос решили.

blitz
()
Ответ на: комментарий от blitz

Чот какой-то экзотичный сценарий, хотя и такое могло произойти.

Правда, как ты из одного случая с одним сайтом сделал вывод, что без IPv6 можно комп не включать - мне не понятно.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Я вам не скажу за всю Одессу.
Если это используется на одном сайте - значит, используется и на других

Опровергни ход моего логического рассуждения своей логикой, пративный ))

blitz
()
Ответ на: комментарий от blitz

Если это используется на одном сайте - значит, используется и на других

А рост третьекласника к окончанию школы будет... Сколько там метров?

Аккуратнее надо с экстраполяцией. Данные там собрать. Хоть сколько нибудь.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Ты понимаешь, что Блиц не может отвечать за содержание сайтов, которые посещает он, ты и все.
Могу лишь сказать, как обезопасить себя от неожиданных сюрпризов на своей стороне.
Умному - достаточно.

blitz
()
Ответ на: комментарий от blitz

И что теперь делать? Купить VPN с поддержкой IPv6? А потом ставить DNSCrypt и там тоже настроить IPv6? Тогда проблема решится?

lineager
() автор топика
Ответ на: комментарий от blitz

Могу лишь сказать, как обезопасить себя от неожиданных сюрпризов на своей стороне.

Читал ту тему про dnscrypt. Еще лучше отключить все network-manager и вручную записать /etc/resolv.conf потому что нельзя гарантировать, что все о чем ты говорил вычищено. Вдобавок есть обновления.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Еще лучше отключить все network-manager

Никаких сторонних менеджеров.
Идея, что Internet Service Provider организует DNS - это из далёкого прошлого.

blitz
()
Ответ на: комментарий от lineager

И что теперь делать? Купить VPN с поддержкой IPv6? А потом ставить DNSCrypt и там тоже настроить IPv6? Тогда проблема решится?

Дай мне твои уши.
Когда оказался в той же ситуации, как и ты - задал вопрос на форуме.
Получив советы, попробовал - и получилось!
«Делай с нами, делай как мы, делай лучше!»

blitz
()
Ответ на: комментарий от lineager

А потом ставить DNSCrypt и там тоже настроить IPv6?

Сначала поставить DNSCrypt и там тоже настроить IPv6.

blitz
()
Ответ на: комментарий от blitz

При чем тут сторонние, я о том, что службу network-manager вообще можно отключить и вручную (своим скриптом) поднять и сетевые интерфейсы и dns прописать. Тогда точно никаких неожиданных переключений не будет.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

я о том, что службу network-manager вообще можно отключить и вручную (своим скриптом) поднять и сетевые интерфейсы и dns прописать

Я же о том, что поднимаю одноразовый скоростной сервер VPN только с коммандной строкой и доступом по SSH.
Нетворк-менеджеры - ни разу там не будет. Не нужно.

blitz
()
Ответ на: комментарий от CaveRat

Ниразу не годно в дискуссии - тыкать своим пальцем, побывавшим в ноздре и почерпнувши там passive-aggressive стиля поведения, указывать своим оппонентам в качестве доводов:

Аккуратнее надо с экстраполяцией. Данные там собрать. Хоть сколько нибудь.

На сегодня, известно из объективной проверки, что более 400 сайтов из over 100.000 листинга популярных сайтов Aleksa занимались/занимаются сбором данных - https://thehackernews.com/2017/11/website-keylogging.html - eсли это знают, даже хакери-домохозяйки...

И в это время, если вы читаете этот мессидж на Firefox Nightly => 58, знайте и обратите внимание на, что в коде есть необратимые изменения, а именно - появился например DeepLink, которая связывает ваш аккаунт Firefox Sync с LeanPlum тракером.

Пользователям браузера этот факт никак не донесли, пока.

...
561  class PrivateDataPreference extends MultiPrefMultiChoicePreference {        
562 @@ -59,6 +57,5 @@                                                            
563                                                                              
564          // clear private data in gecko                                      
565          EventDispatcher.getInstance().dispatch("Sanitize:ClearData", data); 
566 -        MmaDelegate.track(CLEARED_PRIVATE_DATA);                            
567      }                                                                       
568  }                                                                           
569                                                                              
570 --- a/mobile/android/base/java/org/mozilla/gecko/tabs/TabsPanel.java         
571 +++ b/mobile/android/base/java/org/mozilla/gecko/tabs/TabsPanel.java         
572 @@ -16,7 +16,6 @@                                                            
573  import org.mozilla.gecko.animation.ViewHelper;                              
574  import org.mozilla.gecko.lwt.LightweightTheme;                              
575  import org.mozilla.gecko.lwt.LightweightThemeDrawable;                      
576 -import org.mozilla.gecko.mma.MmaDelegate;                                   
577  import org.mozilla.gecko.preferences.GeckoPreferences;                      
578  import org.mozilla.gecko.restrictions.Restrictable;                         
579  import org.mozilla.gecko.restrictions.Restrictions;                         
...

blitz
()
9 февраля 2018 г.
Ответ на: комментарий от Deleted

не ограничилось дополнением

'Продвинутым пользователям: Измените значение privacy.userContext.ui.enabled на true в about:config, чтобы увидеть Контейнеры в меню.

siropchik
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.