Folosind nstx este posibil să se creeze un tunel IP în DNS. Protocolul cu același nume care vă permite să realizați acest lucru se numește „” și înseamnă „ Protocolul de transfer NameServer».

Deci, să presupunem că furnizorul emite probleme și vă permite să utilizați serverul său DNS. Să ne imaginăm o solicitare DNS obișnuită: solicităm informații pe serverul de nume al furnizorului, serverul furnizorului transmite cererea unui alt server de nume, care este responsabil pentru zona de care avem nevoie. Și ultimul server DNS din lanț trimite răspunsul primit înapoi pe aceeași rută.

Acum imaginați-vă că puteți formata pachetele IP în interogări DNS de la un server de nume și puteți „modifica” traficul de intrare în pachetele de care avem nevoie. Și acum avem deja totul pentru a construi un „IP peste DNS” cu drepturi depline - al nostru tunel ascuns pentru redirecționarea traficului prin aproape orice firewall-uri terțe!

Acum tot ce rămâne este să configurați serverul de nume și clientul fals, dar în practică acest lucru nu este întotdeauna atât de ușor.

Dimensiunea maximă a pachetului care poate fi transmisă este de maximum 512 octeți prin UDP. Prin urmare, vom avea nevoie de un mecanism de asamblare/dezasamblare care va colecta și dezasambla pachetele fragmentate și le va verifica corectitudinea. În această schemă, clientul nostru DNS fals poate comunica cu serverul nostru DNS fals în mod constant, dar serverul nostru DNS poate doar să răspundă. Prin urmare, clientul va fi responsabil pentru reconciliere și menținerea comunicării bidirecționale.

Prima dată când am încercat să fac asta a fost în 2008. Timp de două săptămâni am lucrat încet la acest pachet, am ajustat codul sursă pentru a se potrivi, am recitit manualele și, ca rezultat, am obținut un tunel funcțional construit cu succes prin firewall-ul nostru ultra-securizat. rețeaua corporativă. Atunci a fost pur și simplu incredibil pentru mine!

În general, cu puțină dorință și timp, puteți lansa independent un server de nume de client fals pentru a crea un tunel „IP-over-DNS”.

Joacă, încearcă. Căutați modalități de a vă proteja de asta. Vă avertizez dinainte că aici există o mulțime de nuanțe tehnice.

De când mitul anonimatului pe internet a fost risipit, problema vieții private a utilizatorilor s-a alăturat listei celor mai presante. Nu numai că activitățile dvs. online pot fi urmărite motoarele de căutareși site-urile web pe care le vizitați, dar și propriii furnizori de servicii de internet. Tehnic, acest lucru nu este atât de dificil dacă DNS vă este eliberat de furnizor și acest lucru se întâmplă cel mai adesea, totul trecând prin DNS traficul poate fi urmărit de acesta, mai ales că DNS-solicitările sunt trimise printr-o conexiune necriptată.

Este clar că înlocuirea pachetelor interceptate nu va fi dificilă chiar dacă folosiți VPN-servicii.

Singura modalitate de a închide gaura este prin criptare. DNS-trafic, dar pentru asta vei avea nevoie de un special software, deoarece niciunul dintre sisteme de operare nu acceptă criptarea DNS scos din cutie. Cel mai simplu instrument de criptare DNS- traficul este - mic utilitate gratuită, avantajos remarcat prin faptul că nu necesită setări suplimentare, ceea ce înseamnă că poate fi folosit de începători. Există un instrument de consolă - DNSCrypt Proxy, dar trebuie să o faci - executați o serie de comenzi în PowerShell, schimba adresa DNS manual și așa mai departe. Oricine are timp și dorință, vă rog, se poate familiariza cu el pe pagină github.com/jedisct1/dnscrypt-proxy .

Vă sugerăm să utilizați versiunea desktop mai simplă și mai convenabilă DNS- criptograf. Descărcați de pe site-ul dezvoltatorului simplednscrypt.org Versiunea programului care corespunde nivelului de biți al sistemului de operare și instalați-o.

Echipat cu ușor, intuitiv interfață clarăși în plus, este în rusă, așa că vă puteți da seama cu ușurință ce este. Setările de bază sunt făcute în secțiune "Meniu". Pentru a începe să utilizați programul, imediat după instalare, faceți clic pe butonul "Aplica", apoi selectați-l pe al dvs. de mai jos placa de retea, ar trebui să fie bifat așa cum se arată în captură de ecran. Comutator „Serviciul DNSCrypt” trebuie să fie activ.

Este ușor să verifici dacă totul funcționează. Executați în fereastră Fugi echipă ncpa.cpl, deschideți proprietățile conexiunii dvs., selectați din listă IP versiunea 4 (TCPIPv4)și deschide proprietățile sale. Buton radio „Utilizați următoarele adrese de server DNS” trebuie să fie activ, iar câmpul trebuie să indice cel preferat DNS-server. O avem 127.0.0.1 , adresa dvs. poate fi diferită.

În mod implicit, programul selectează automat cel mai mult server rapid, dar vă puteți modifica preferințele selectându-l singur în secțiune.

Parametrii secțiunii nu trebuie modificați dacă nu utilizați protocolul IPv4. ÎN setări generale puteți activa file suplimentare „Lista neagră de domenii”, „Jurnal de blocare a domeniului”, dar asta din nou dacă veți lucra cu funcțiile pe care le oferă, în special, compunerea "negru" liste de domenii.

Protejarea conexiunilor DNS pentru paranoici

Folosind un VPN, crezi că nimeni nu te spionează și că datele transmise sunt protejate? Te înșeli. Acum voi încerca să explic de ce.

DESPRE DNSCRYPT PE SCURT

Când utilizați HTTPS sau SSL, traficul dvs. HTTP este criptat, ceea ce înseamnă că este protejat. Când utilizați un VPN, tot traficul dvs. este deja criptat (desigur, totul depinde de Setări VPN, dar, de regulă, acesta este cazul). Dar uneori, chiar și atunci când utilizați un VPN, interogările dvs. DNS nu sunt criptate, sunt trimise ca atare, ceea ce deschide mult spațiu pentru creativitate, inclusiv atacuri MITM, redirecționarea traficului și multe altele.

Aici vine în ajutor utilitarul open source DNSCrypt, dezvoltat de cunoscuții creatori ai OpenDNS - un program care vă permite să criptați cererile DNS. După ce îl instalați pe computer, conexiunile dvs. vor fi și ele protejate și veți putea naviga pe internet mai sigur și vă uitați la design publicitar exterior. Desigur, DNSCrypt nu este un panaceu pentru toate problemele, ci doar unul dintre instrumentele de securitate. Încă trebuie să utilizați o conexiune VPN pentru a cripta tot traficul, dar asocierea acestuia cu DNSCrypt va fi mai sigură. Dacă sunteți mulțumit de o astfel de explicație scurtă, puteți trece imediat la secțiunea în care voi descrie instalarea și utilizarea programului.

PENTRU adevăratele paranoice

Să încercăm să înțelegem mai profund. Această secțiune este pentru cei cu adevărat paranoici. Dacă prețuiești timpul tău, atunci poți trece imediat la instalarea programului.

Deci, după cum se spune, este mai bine să vezi o dată decât să auzi de o sută de ori. Să presupunem că un client încearcă să contacteze dkws.org.ua. Primul lucru pe care trebuie să-l facă este să rezolve numele de gazdă simbolic la o adresă IP. Dacă configurația rețelei este de așa natură încât serverul DNS al furnizorului este utilizat (o conexiune necriptată, linie roșie în figură), atunci rezoluția numelui simbolic la adresa IP are loc printr-o conexiune necriptată.

Da, nimeni nu va ști ce date vei transmite către dkws.org.ua. Dar sunt momente foarte neplăcute. În primul rând, furnizorul, uitându-se la jurnalele DNS, va putea afla ce site-uri ați vizitat. Ai nevoie de el? În al doilea rând, este probabilă posibilitatea de falsificare a DNS și a atacurilor de snooping DNS. Nu le voi descrie în detaliu multe articole deja scrise despre asta. Pe scurt, situația ar putea fi următoarea: cineva dintre dvs. și furnizor poate intercepta cererea DNS (și din moment ce cererile nu sunt criptate, nu va fi dificil să interceptați cererea și să citiți conținutul acesteia) și să vă trimită un „ răspuns fals”. Ca urmare, în loc să vizitați dkws.org.ua, veți accesa site-ul web al atacatorului, care este exact ca cel de care aveți nevoie, veți introduce parola de pe forum, iar apoi desfășurarea evenimentelor, cred, este clar.

Situația descrisă se numește scurgere DNS. Scurgerea DNS apare atunci când sistemul dvs., chiar și după conectarea la serverul VPN sau Tor, continuă să interogheze serverele DNS ale ISP-ului pentru rezoluția numelui de domeniu. De fiecare dată când vizitați un site nou, vă conectați la un nou server sau lansați o aplicație de rețea, sistemul dumneavoastră contactează DNS-ul ISP-ului dumneavoastră pentru a rezolva numele la IP. Ca urmare, furnizorul dvs. sau oricine situat pe „ultimul mile”, adică între dvs. și furnizor, poate primi toate numele nodurilor pe care le accesați. Opțiunea de mai sus cu înlocuirea adresei IP este destul de crudă, dar în orice caz este posibil să urmăriți nodurile pe care le-ați vizitat și să utilizați aceste informații în propriile scopuri.

Dacă vă „e frică” de furnizorul dvs. sau pur și simplu nu doriți ca acesta să vadă ce site-uri vizitați, puteți (desigur, pe lângă utilizarea unui VPN și alte măsuri de securitate) să configurați suplimentar computerul pentru a utiliza serverele DNS ale proiectul OpenDNS (www.opendns.com). Pe în acest moment acestea sunt următoarele servere:

208.67.222.222;

208.67.220.220.

Nu aveți nevoie de niciun alt software suplimentar. Doar configurați-vă sistemul pentru a utiliza aceste servere DNS.

Dar problema interceptării conexiunilor DNS rămâne încă. Da, nu mai accesați DNS-ul furnizorului, ci mai degrabă OpenDNS, dar încă puteți intercepta pachetele și vedeți ce se află în ele. Adică, dacă doriți, puteți afla ce noduri ați accesat.

Acum ajungem la DNSCrypt. Acest program vă permite să criptați conexiunea DNS. Acum ISP-ul tău (și toată lumea dintre tine și ei) nu va ști exact ce site-uri vizitați! O voi repeta din nou. Acest program nu este un înlocuitor pentru Tor sau VPN. Ca și înainte, restul datelor pe care le transmiteți sunt transmise fără criptare dacă nu utilizați nici un VPN sau Tor. Programul criptează doar traficul DNS.

Site-ul https://www.dnsleaktest.com vă permite să identificați o scurgere de DNS și vă explică cum să scăpați de ea. Doar accesați acest site. Făcând clic pe butonul Verificați acum scurgerile DNS, veți primi o listă de servere DNS prin care pot trece interogările dvs. Prin urmare, vei vedea exact cine poate afla ce site-uri vizitezi.

În cazul meu, proprietarii a 12 servere DNS au capacitatea de a înregistra toate site-urile pe care le vizitez. Dar din moment ce lucrez prin Tog, această problemă mă îngrijorează puțin.

Pagina bit.lv/1ctmaaJ descrie cum să remediați această vulnerabilitate (adică ce să faceți pentru ca, după conectarea la un VPN, sistemul dvs. să folosească serverele DNS ale furnizorului VPN, și nu furnizorul dvs. de internet). Nu văd niciun rost să repet toate acestea, deoarece oricine poate face față secvenței pas cu pas de acțiuni.

INSTALATII CU DNSCRYPT

Cel mai simplu mod de a vă asigura conexiunea DNS este să utilizați DNSCrypt. Puteți, desigur, să urmați recomandările de pe www. dnsleaktest.com, sau puteți lua calea cu cea mai mică rezistență și doar instalați DNSCrypt.

În primul rând, descărcați DNSCrypt în sine (https://github.com/QDendns/dnscrypt-win-client). Am furnizat imediat un link către GitHub, de unde puteți descărca programul. Pentru a descărca programul din GitHub, faceți clic pe butonul Descărcare ZIP. Va fi descărcată o arhivă cu surse DNSCrypt. Versiunea deja compilată se află în directorul DNSCrypt al arhivei. Despachetați fișierele. Practic, aveți nevoie de un singur fișier - dnscrypt-proxy.exe. Se află în același director. Toate celelalte (surse) pot fi șterse.

Dar asta nu este tot. Dacă l-ați căutat deja pe Google, atunci ați văzut capturi de ecran ale DNSCrypt. După lansarea dnscrypt-proxy.exe, v-ați dat seama că ceva nu este în regulă. Programul a pornit în fereastră linie de comandă. Totul este corect, ați descărcat proxy-ul în sine și acum mai trebuie să descărcați shell-ul pentru acesta. Există un alt proiect pe GitHub - shell-ul de care avem nevoie.

În mod similar, descărcați arhiva ZIP și despachetați-o undeva. În directorul binare/Release/ va exista un program numit dnscrypt-winclient.exe. Copiați acest fișier în directorul în care se află fișierul dnscrypt-proxy.exe.

Tot ce rămâne este să rulați dnscrypt-proxy. eh. În fereastra care apare, selectați adaptoare de rețea pe care doriți să le protejați și faceți clic pe butonul Start. Dacă totul este în regulă, atunci mesajul DNSCrypt rulează va apărea lângă butonul Stop (butonul Start se va transforma în el). Apropo, rețineți că interfața pentru OS X arată ușor diferită.

CA O CONCLUZIE

Articolul nu a fost foarte lung, deoarece programul în sine este foarte ușor de utilizat. Dar nu ar fi complet dacă nu aș menționa VPN. Dacă citiți acest articol și sunteți interesat de el, dar nu ați folosit încă serviciile unui furnizor VPN pentru a vă cripta datele, atunci este timpul să faceți acest lucru. Furnizorul VPN vă va oferi un tunel securizat pentru a vă transfera datele, iar DNSCrypt vă va asigura conexiunile DNS. Desigur, SecurityKISS este plătit (gratuit plan tarifar poate fi folosit doar în scop informativ), dar trebuie să plătiți pentru securitate?

Puteți, desigur, să utilizați Tor, dar Tor funcționează relativ lent și, orice s-ar spune, nu este un VPN - nu va fi posibil să „tarifați” tot traficul. În orice caz (indiferent de opțiunea pe care o alegeți), conexiunile DNS sunt acum securizate. Tot ce rămâne este să decideți asupra unui mijloc de criptare a traficului (dacă nu ați făcut-o deja).

Salutare tuturor! Este timpul să privim traficul DNS prin lupa WireShark.

Permiteți-mi să vă reamintesc că protocolul DNS este folosit pentru a converti un nume simbolic ușor de înțeles pentru oameni, cum ar fi, de exemplu, un site web, în ​​adresa IP la care se face cererea.

Descărcați fișierul de trafic. Deschideți-l în WireShark și uitați-vă:

După cum puteți vedea, protocolul DNS (în zona selectată este cel mai mic - sistemul de nume de domeniu) este un add-on la protocolul UDP, care se află la nivelul 4. Adică fără a stabili o conexiune permanentă, ci pur și simplu prin trimiterea de pachete (datagrame). La fel ca TCP, UDP are porturi. Pentru DNS, acesta este portul numărul 53, care poate fi văzut cu ușurință în arborele de protocol.

Să mergem și mai jos Protocolul UDP se bazează pe protocolul IP pentru transferul între rețele. În prezent, este principalul protocol pentru transferul de date pe Internet. La acest nivel avem informații despre adresele IP sursă și destinație. Ei bine, și informații despre pachetul UDP încapsulat.

Adresa sursă va fi mașina noastră (care a solicitat informații prin DNS), iar adresa IP de destinație va fi însăși. server DNS, care (prin implicație) trebuie să aibă o bază de date cu astfel de potriviri.

Această bază de date stochează înregistrări de mai multe tipuri:

• A (gazdă) – conectează numele gazdei și adresa sa IP;
• AAAA (gazdă) – conectează numele gazdei și adresa sa IPv6;
• CNAME (alias) – conectează numele nodului și aliasul acestuia pentru a redirecționa către alt nume de nod;
• MX (schimb de e-mail) – indică către o adresă IP server de mail prelucrarea acestui domeniu;
• NS (server de nume) – indică către serverul DNS care deservește acest domeniu;
• SOA (start of authority) – indică zona de pornire pentru acest domeniu, conține IP-ul serverului DNS principal, adresa și informațiile de contact ale persoanei, proprietarului domeniului, marcajele de timp etc.;
• PTR (pointer) – pointer către feedback, care convertește adresa IP într-un nume canonic;
• SRV (server) – pointer către diverse servicii;
• Lista completă a intrărilor poate fi vizualizată la http://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml

Deci, să revenim la cererea noastră. Să ne uităm la primul pachet:

După cum vedem, dacă extindem arborele de informații în analiza pachetelor, putem vedea că a fost primită o solicitare (Interogări) pentru a obține o înregistrare standard de gazdă (Tip: A) după nume (Nume: www.iana.org) . Adică, tradus din DNS în rusă va fi așa:

"Hei, 68.87.76.178 ! Să-mi dai de veste ce IP un tip pe nume www.iana.org, vreau să-i spun ceva.”

Așa decurg conversațiile lor. La care serverul va răspunde (pachetul nr. 2):

Aici vedem răspunsul la întrebare. Cu alte cuvinte, serverul DNS răspunde gazdei care a trimis cererea:

"Hei, 71.198.243.158 , ai întrebat care este adresa www.iana.org, deci iată adresa lui 192.0.34.162 !, acum scrie-i direct”

În detaliu, ar trebui să acordați atenție și câmpurilor Steaguri, care arată caracteristicile solicitărilor și răspunsurilor:

Aici am trecut din nou la primul pachet, în care apare cererea către server.

Atenție la ID-ul tranzacției: această valoare numerică trebuie repetată în răspuns, ceea ce va însemna că răspunsul este special pentru această solicitare.

Un câmp standard de doi octeți ale cărui valori sunt suma biților:

• primul bit (1) indică faptul că aceasta este o cerere;
• 2-5 biți (4) – că aceasta este o cerere standard;
• 7 biți (1) – că aceasta nu este o cerere trunchiată;
• 8 biți (1) – interogare recursivă (adică dacă serverul nostru DNS nu cunoaște IP-ul gazdei pe care am solicitat-o, va interoga el însuși alte servere DNS până când va găsi un răspuns;
• 10 biți (1) – rezervat;
• 12 biți (1) – acceptă răspunsuri neautorizate. Un răspuns de la un server este numit autoritar dacă afirmă că deservește zona dată. Dacă serverul a primit un răspuns de la alte servere, atunci un astfel de răspuns nu este autorizat pentru noi.

Acum să ne uităm la steaguri de răspuns:

Fiți atenți la ID-ul tranzacției. Se potrivește cu ID-ul pachetului anterior.

• Primul bit (1) este că acesta este un răspuns;
• 2-5 biți (4) – răspuns standard;
• 6 biți (1) - autoritatea răspunsului, dacă serverul însuși deservește această zonă - va returna „1”, dacă a primit un răspuns din alt loc - va fi „0”;
• 7 biți (1) – pachet scurtat. În cazul în care răspunsul nu se încadrează în dimensiunea datagramei UDP (512 octeți);
• 8 biți (1) – este de dorit să se utilizeze interogări recursive. Dacă flag-ul este setat la „0”, atunci în răspuns clientul va primi o listă cu alte servere de la care poate încerca să afle informațiile necesare.
• 9 biți (1) – serverul face cereri recursive;
• 10 biți (1) – rezervat;
• 11 biți (1) – a fost primit un răspuns autorizat, adică serverul însuși deservește această zonă;
• 12 biți (1) – acceptați răspunsuri neautorizate?
• 13-16 biți (4) – cod de eroare. Dacă 0, atunci totul este în regulă.

Ei bine, în general, ne-am dat seama de întrebările și răspunsurile standard pe DNS.

Apropo, a existat un troian care a furat date de pe un computer, trimițându-le sub formă de interogări DNS către server. Vă puteți imagina cum este? Majoritatea firewall-urilor permit DNS, asta este funcționare normală computer client. Și viermele, sub masca cererilor DNS, a trimis date private către serverul DNS „stânga”. De exemplu, „hei, server gazdă, spune-mi IP-ul nodului numit „mail” [email protected], parola aaaaa”?” Iar serverul a înregistrat cereri și ar putea trimite răspunsuri fără sens, înregistrând astfel toate cererile într-un fișier. Numărul de solicitări DNS a fost mare și sub masca lor a fost posibil să transferați megaocteți de date complet neobservate de utilizator. Dacă nu ascultați în mod specific traficul, este imposibil să detectați o scurgere de date.

Programul scanează răspunsurile DNS de la servere (acesta este suficient, există interogări în interiorul răspunsurilor), iar dacă numele domeniului se potrivește cu o expresie obișnuită, tipărește adresa din înregistrarea A (ceea ce a fost obținut ca urmare a rezoluției).

Folosind acest utilitar, puteți colecta aproape toate statisticile - ce nume de domeniu a fost rezolvat într-o adresă IP și când s-a întâmplat acest lucru. Un utilizator instruit, desigur, poate ascunde aceste informații (prin scrierea nodului în fișierul hosts sau folosind un alt canal pentru interogări DNS, de exemplu), dar pentru majoritatea nodurilor vom obține o imagine satisfăcătoare.

Cum funcţionează asta:

$ sudo ./sidmat eth0 "." iu
Vedem noi nume de domeniiși la ce se rezolvă (eth0 este interfața pe care trece traficul DNS).

$ sudo ./sidmat eth0 "." iu | în timp ce IFS= citește linia -r; face printf "%s\t%s\n" "$(data "+%Y-%m-%d %H:%M:%S")" "$line"; făcut
Fixăm ora. Tot ce rămâne este să redirecționați rezultatul către un fișier și puteți utiliza tabelul de corespondență. Utilitarul poate captura răspunsuri DNS folosind pcap (pe Linux/BSD) sau folosind mecanismul nflog pe Linux.

Aceeași tehnică poate fi folosită pentru a controla traficul. Filtrați după domeniu, obțineți adrese de domenii cu cuvinte cheie în nume etc.

Trebuie să rețineți că controlul poate să nu fie foarte precis. Dacă în momentul în care răspunsul DNS ajunge la utilizator și acesta începe să transmită trafic către acest nod, nu avem timp să adăugăm adresa la ipset/iptables/tabelul de rutare/altul, atunci traficul va merge pe calea „normală”. .

În plus, un utilizator calificat poate genera răspunsuri DNS false, ceea ce înseamnă că este mai bine să folosiți acest lucru cu precauție pentru represalii.

Câteva exemple:

Cum să obțineți o listă de adrese IP la care se rezolvă vk.com și subdomeniile sale? (Fără opțiunea „u”, vor fi tipărite numai adrese IP unice)

$ sudo ./sidmat eth0 "^vk.com$|\.vk.com$" d
Cu opțiunile „d” sau „i” puteți vedea ce domeniu este rezolvat la adresa IP, „d” tipărește numele domeniului în stderr.

Cum să blochezi adresele care permit vk.com, subdomeniile sale și toate domeniile cu cuvântul odnoklassniki? (domenii precum avk.com nu vor intra sub regulă, odnoklassnikii.com va intra).

$ sudo sh -c "/sidmat eth0 "^vk\.com$|\.vk\.com$|odnoklassniki" | /usr/bin/xargs -I () /sbin/iptables -A INPUT -s () - j DROP"
În plus față de expresiile regulate mici, puteți utiliza liste într-un fișier (opțiunea „f”, al doilea argument este interpretat ca numele fișierului, conținutul său ca unul mare. expresie regulată). Listele pot fi destul de mari, ne-am uitat la performanța pe lista de domenii RKN (traficul către domeniile interzise a fost redirecționat către VPN), un router de PC obișnuit a făcut față acestui lucru destul de calm.

Puteți ajuta și transfera niște fonduri pentru dezvoltarea site-ului