Comments | rustedowl: Вы еще не используете DNSCrypt? Скоро начнете...

rustedowl

Вы еще не используете DNSCrypt? Скоро начнете...

Aug 05, 2018 15:39

Сегодня впервые столкнулся с DNS-poisoning на уровне провайдера. Обычно при попытке получить адрес заблокированного сайта с DNS-сервера, отдается провайдерская заглушка, но тут ребята пошли дальше. Даже если запросить nslookup'ом вполне конкретные серверы, вроде 8.8.8.8 или 208.67.222.222 возвращает те же самые неправильные адреса. И ладно бы они ( Read more... )

Личная безопасность, IT-сфера, Всех на трезубец нанижет сова

Comments 7

klink0v August 6 2018, 06:38:40 UTC

У меня было примерно то же самое, но под другим соусом с моим провайдером. Инфолайн, он же Смайл, он же Virgin Connect. Оператор фильтровал DNS-запросы к любым серверам на предмет их количества. Типа, 10 штук в секунду пропускал, сверх этого лимита дропал. После пары писем в техподдержку это прекратилось, хоть никакого ответа я от них и не получил. Но свой кеширующий DNS-сервер снаружи с тоннелем до него всё-таки поднял. Так что, похоже, это тенденция-с.

rustedowl August 6 2018, 08:11:31 UTC

Вот я и говорю - скоро без DNSCrypt будет никак.

feannewed August 8 2018, 02:15:15 UTC

А кроме ДНСкрипт никакой программы попроще, для эникейщиков под винду нету?

rustedowl August 8 2018, 06:12:55 UTC

Эникейщик, не занимающийся самообрзованием быстро выцветает в чайника.

Готовый конфиг для DNSCrypt
server_names = ['fvz-anyone', 'opennic-ethservices', 'publicarray-au ( ... )

Thread 5

feannewed August 8 2018, 10:05:27 UTC

Кстати, а что ДНС-то особо роли сыграет? Особливо если учесть, что мудацкие рашко-провайдеры блочут сайты не по ДНС (как должны были), а как раз по IP-адресам.
Вот, только что роскомпозор сообщил, что заблокировал 65000 IP адресов.
А ради чего?
Правильно... ради того, чтобы заблокировать всего 3(!) IP адреса телеги.
Ещё раз - чтобы заблокировать 3 адреса телеги, он заблочил 65000.
И чем тут поможет ДНС крипт ,если они блочат IPишники тыщами?
Собсно, тот же ТОР заблочить.. пару дней на составление правил и всего то..

rustedowl August 8 2018, 10:15:31 UTC

Объясняю.
Допустим, у вас есть VPN-туннель, однако вы не хотите использовать его для всего трафика (как я), а только под заблокированные ресурсы.
На удаленном серевере в VPN-сети поднят маскарадинг. Единственное что нужно - прописать роуты к заблокированным сайтам, чтобы они (и только они) ходили через VPN
Однако, DNS-имена надо сначала разрешить в IP-адреса, чтобы далее создать маршруты. Если DNS-имена отравлены, то мы получим весьма фиговую ситуацию, когда мы ходим на заглушки через VPN.
Поскольку чтобы подключиться к VPN, необходимо разрешить DNS-имя VPN-сервера, то использовать DNS-сервер стоящий за VPN смысла не имеет - получим вещь в себе.
Самое простое решение этой проблемы - DNSCrypt. Все.