Шифруем свой DNS трафик

[Олежик 1]

Используя VPN, TOR или даже Tails вы думаете что ваша анонимность надежно защищена. Но, к сожалению, это не так.

 

 

Всем салют, дорогие друзья! Используя VPN, TOR или даже Tails вы думаете что ваша анонимность надежно защищена. Но, к сожалению, это не так. Существует один очень важный канал утечки вашей приватной информации – служба DNS.

 

 

 

Но к счастью, на этот случай тоже придумано решение. Сегодня я расскажу вам о том, как зашифровать свой DNS трафик с помощью утилиты DNSCrypt.

 

 

 

Давайте начнем!

 

 

При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен. Когда вы используете VPN, шифруется уже весь ваш трафик (конечно, все зависит от настроек VPN, но, как правило, так оно и есть). Но иногда, даже когда используется VPN, ваши DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.

 

 

 

Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными вам создателями OpenDNS, — программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер ваши соединения также будут защищены и вы сможете более безопасно бороздить просторы интернета.

 

 

 

Конечно, DNSCrypt — это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если вас такое краткое объяснение устроило, можете сразу переходить к разделу, где я буду описывать установку и использование программы.

 

 

 

✅ Попробуем разобраться глубже. Как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотрите на рисунок:

 

 

Допустим, клиент (ноутбук на рисунке) пытается обратиться к google.com. Первым делом он должен разрешить символьное имя узла в IP-адрес. Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, красная линия на рисунке), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.

 

 

 

Да, какие данные вы будете передавать на dkws.org.ua, никто не узнает. Но есть несколько очень неприятных моментов. Во-первых, провайдер, просмотрев логи DNS, сможет узнать, какие сайты вы посещали. Вам это нужно? Во-вторых, вероятна возможность атак: DNS спуфинг и DNS снупинг.

 

 

 

Подробно описывать их не буду, об этом уже написано множество статей. В двух словах, ситуация может быть следующей: некто между вами и провайдером может перехватить DNS-запрос (а так как запросы не шифруются, то перехватить запрос и прочитать его содержимое не составит никакого труда) и отправить вам«поддельный» ответ.

 

 

 

❌ В результате вместо того, чтобы посетить google.com, вы перейдете на сайт хакера, как две капли воды похожий на тот, который вам нужен, введете свой пароль, ну а дальше развитие событий, думаю, ясно.

 

 

 

Описанная выше ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда ваша система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен.

 

 

 

Каждый раз, когда вы посещаете новый сайт, соединяетесь с новым сервером или запускаете какое-то сетевое приложение, ваша система обращается к DNS провайдера, чтобы разрешить имя в IP. В итоге ваш провайдер или любой желающий, находящийся на «последней миле», то есть между вами и провайдером, может получить все имена узлов, к которым вы обращаетесь.

 

 

 

Если вы «боитесь» своего провайдера или просто не хотите, чтобы он видел, какие сайты вы посещаете, можете (разумеется, кроме использования VPN и других средств защиты) дополнительно настроить свой компьютер на использование DNS серверов проекта OpenDNS (www.opendns.com).

 

 

 

✅ На данный момент это следующие серверы:

 

• 87.98.175.85 (ns10.fr): 99.74% uptime

• 130.255.73.90 (ns3.nw.de): 97.45% uptime

При этом вам не нужно никакое другое дополнительное программное обеспечение. Просто настройте свою систему на использование этих DNS-серверов.

 

Но все равно остается проблема перехвата DNS-соединений. Да, вы уже обращаетесь не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам вы обращались.

 

 

 

Вот мы и подошли к DNSCrypt. Эта программа позволяет зашифровать ваше DNS соединение. Теперь ваш провайдер (и все, кто между вами и им) точно не узнает, какие сайты вы посещаете! Еще раз повторюсь. Эта программа - не замена Tor или VPN. По-прежнему, остальные передаваемые вами данные передаются без шифрования, если вы не используете ни VPN, ни Tor. Программа шифрует только DNS трафик.

 

 

 

DNS Leak

 

Сайт http://dnsleak.com/ позволяет определить «утечку» DNS. Просто зайдите на этот сайт. Нажав кнопку Check for DNS leaks now, вы получите список DNS-серверов, через которые могут проходить ваши запросы. Следовательно, вы увидите, кто именно может узнать, какие сайты вы посещаете.

 

 

 

 

Установка и использование DNSCrypt

 

Самый простой способ защитить свое DNS соединение — это использовать DNSCrypt.

 

 

 

👉 Первым делом качаем сам DNSCrypt с GitHub.

 

• Чтобы скачать программу с GitHub, нажмите кнопку Download ZIP.

• Будет загружен архив с исходниками DNSCrypt. Уже откомпилированная версия находится в каталоге DNSCrypt архива. Распакуйте файлы.

• В принципе, вам нужен только один файл — dnscrypt-proxy.exe. Он находится в том самом каталоге.

• Все остальное (исходники) можно удалить.

Но это еще не все. Запустив dnscrypt-proxy.exe, вы поняли, что что-то не то. Программа запустилась в окне командной строки. Все правильно, вы скачали сам прокси, а теперь еще нужно скачать к нему оболочку. На GitHub есть еще один проект — необходимая нам оболочка (https://github.com/Noxwizard/dnscrypt-winclient).

 

• Аналогичным образом скачайте ZIP-архив, распакуйте его куда-нибудь.

• В каталоге binaries/Release/ будет программа dnscrypt-winclient.exe.

• Скопируйте этот файл в каталог, в котором находится файл dnscrypt-proxy.exe.

👉 Осталось только запустить dnscrypt-proxy.exe.

 

• В появившемся окне выберите сетевые адаптеры, которые нужно защитить, и нажми кнопку Start.

• Если все нормально, тогда возле кнопки Stop (в нее превратится кнопка Start) появится надпись DNSCrypt is running.

 

 

 

 

Статья получилась не очень большая, поскольку сама программа очень проста в использовании, однако будет чрезвычайно полезна для каждого из вас.