Rò rỉ DNS: nó là gì và cách khắc phục bằng tiện ích DNSCrypt

,

Kể từ khi huyền thoại về tính ẩn danh trên Internet bị xóa bỏ, vấn đề quyền riêng tư của người dùng đã được đưa vào danh sách những vấn đề cấp bách nhất. Không chỉ các hoạt động trực tuyến của bạn có thể được theo dõi công cụ tìm kiếm và các trang web bạn truy cập cũng như các nhà cung cấp dịch vụ Internet của riêng bạn. Về mặt kỹ thuật, điều này không quá khó khăn nếu DNSđược nhà cung cấp cấp cho bạn và điều này thường xảy ra nhất, mọi thứ đều đi qua DNS giao thông có thể được theo dõi bởi nó, đặc biệt là vì DNS-yêu cầu được gửi qua kết nối không được mã hóa.

Rõ ràng là việc thay thế các gói bị chặn sẽ không khó ngay cả khi bạn sử dụng VPN-dịch vụ.

Cách duy nhất để đóng lỗ hổng là thông qua mã hóa. DNS-giao thông, nhưng để làm được điều này, bạn sẽ cần một giải pháp đặc biệt phần mềm, vì không có hệ điều hành nào hỗ trợ mã hóa DNS từ chiếc hộp. Hầu hết công cụ đơn giảnđể mã hóa DNS- lưu lượng truy cập là - nhỏ tiện ích miễn phí, có ưu điểm là không yêu cầu cài đặt bổ sung, nghĩa là người mới bắt đầu có thể sử dụng nó. Có một công cụ điều khiển - Proxy DNSCrypt, nhưng bạn cần phải sửa đổi nó - thực hiện một loạt lệnh trong PowerShell, thay đổi địa chỉ DNS bằng tay và như vậy. Bạn nào có thời gian và mong muốn có thể tìm hiểu trên trang nhé github.com/jedisct1/dnscrypt-proxy .

Chúng tôi khuyên bạn nên sử dụng phiên bản máy tính để bàn đơn giản và thuận tiện hơn DNS- nhà mật mã học. Tải xuống từ trang web của nhà phát triển simplednscrypt.org Phiên bản của chương trình tương ứng với cấp độ bit hệ điều hành của bạn và cài đặt nó.

Được trang bị dễ dàng, trực quan giao diện rõ ràng và hơn nữa, nó bằng tiếng Nga nên bạn có thể dễ dàng hiểu được đó là gì. Các cài đặt cơ bản được thực hiện trong phần "Thực đơn". Để bắt đầu sử dụng chương trình, ngay sau khi cài đặt, hãy nhấp vào nút "Áp dụng", sau đó chọn của bạn bên dưới thẻ kết nối, nó sẽ được đánh dấu như trong ảnh chụp màn hình. Công tắc "Dịch vụ DNSCrypt" phải hoạt động.

Thật dễ dàng để kiểm tra xem mọi thứ có hoạt động không. Thực hiện trong cửa sổ Chạyđội ncpa.cpl, mở thuộc tính kết nối của bạn, chọn từ danh sách IP phiên bản 4 (TCPIPv4) và mở thuộc tính của nó. Nút radio "Sử dụng các địa chỉ máy chủ DNS sau" phải đang hoạt động và trường này phải cho biết tùy chọn ưu tiên DNS-máy chủ. Chúng tôi có nó 127.0.0.1 , địa chỉ của bạn có thể khác.

Theo mặc định, chương trình sẽ tự động chọn nhiều nhất máy chủ nhanh, nhưng bạn có thể thay đổi tùy chọn của mình bằng cách tự chọn tùy chọn đó trong phần này.

Các thông số của phần không cần phải thay đổi nếu bạn không sử dụng giao thức IPv4. TRONG cài đặt chung bạn có thể kích hoạt các tab bổ sung "Danh sách đen các tên miền", "Nhật ký chặn tên miền", nhưng điều này một lần nữa, nếu bạn định làm việc với các chức năng mà họ cung cấp, đặc biệt là soạn thảo "đen" danh sách tên miền.

Ngoài ra còn có các tab và "Danh sách đen các địa chỉ", nhưng vì lý do nào đó chúng không hoạt động đối với chúng tôi.

DNSCrypt mã hóa DNS, nhưng còn quyền riêng tư nói chung thì sao, chương trình có thể giúp duyệt mạng ẩn danh không?Đừng hỏi DNSCrypt là để bảo vệ chống lại sự thay thế DNS-máy chủ của những kẻ tấn công (giả sử bạn không chỉnh sửa tập tin HOST) , nó không ảnh hưởng đến tính ẩn danh dưới bất kỳ hình thức nào nhưng có thể được sử dụng như công cụ phụ trợ quyền riêng tư khi kết nối Internet thông qua VPN .

Trong Windows 10, bạn có thể thêm và xóa các kết nối VPN rất dễ dàng nhưng không có cách nào để xuất các kết nối đã được định cấu hình. Tại sao điều này có thể cần thiết? Bản thân thủ tục Cài đặt VPN trên Windows...

Bất cứ ai nghĩ đến việc ẩn danh trên Internet đều biết cách tuyệt vờiẩn địa chỉ IP của bạn trên Internet là một dịch vụ VPN. Tuy nhiên, ngay cả với kết nối VPN, các truy vấn tới máy chủ DNS thường không được bảo vệ và bạn có thể dễ dàng theo dõi các truy vấn DNS của mình đi đến đâu. Điều này còn được gọi là “Rò rỉ DNS” hoặc “rò rỉ DNS”.

Chúng ta hãy xem xét kỹ hơn DNS là gì và những vấn đề tồn tại.

Như các bạn đã biết, mỗi máy tính trên Internet đều có địa chỉ IP riêng, nếu không biết địa chỉ IP của máy tính thì không thể gửi thông tin hay yêu cầu cho nó. Địa chỉ IP là một số 4 byte được phân tách bằng dấu chấm (ví dụ: 162.234.12.110 hoặc 78.31.54.226).

Vì người bình thường nhớ một số lượng lớnĐịa chỉ IP không hề dễ dàng, vì vậy khi bắt đầu phát triển Internet, cần có một công cụ giúp cuộc sống của người dùng Internet trở nên dễ dàng hơn. DNS, Hệ thống tên miền, đã trở thành một công cụ như vậy. Máy chủ DNS là một công cụ cho phép bạn xác định địa chỉ IP bằng cách tên miền.

Ví dụ: bạn nhập địa chỉ trang web vào dòng trình duyệt, trình duyệt sẽ gửi yêu cầu đến máy chủ DNS, được chỉ định trong cài đặt kết nối Internet của bạn. Máy chủ gửi lại gói phản hồi chứa địa chỉ IP của trang mong muốn.

Một mặt, mọi thứ đều được thực hiện thuận tiện - bạn chỉ cần cắm cáp vào card mạng, bạn sẽ tự động được chỉ định máy chủ DNS của nhà cung cấp với phản hồi nhanh và mọi thứ đều hoạt động. Nhưng mặt khác, có hai vấn đề với kế hoạch này:

1) Không mã hóa kết nối. Điều này có nghĩa là bất kỳ kẻ tấn công nào cũng có thể chặn lưu lượng truy cập của bạn và giả mạo địa chỉ IP của bạn. Ví dụ: hiển thị cho bạn một trang ngân hàng trực tuyến giả mạo. Bạn cũng nên ẩn lưu lượng truy cập này khỏi nhà cung cấp hoặc khỏi thực thi pháp luật(bạn không bao giờ biết J).

2) Luật pháp yêu cầu máy chủ DNS của ISP phải lưu trữ nhật ký(từ IP nào, trang web nào đã được truy cập và thời gian kết nối), cũng như theo yêu cầu từ các cơ quan thực thi pháp luật, hãy cung cấp các nhật ký này (Tôi hy vọng mọi người đều biết điều này? J). Tôi thậm chí còn nói nhiều hơn, 99% máy chủ DNS trên thế giới ghi nhật ký và không ẩn nó.

Nếu đột nhiên bạn không muốn bất kỳ ai chặn dữ liệu của bạn hoặc đọc nhật ký các lượt truy cập của bạn thì có một tùy chọn đáng tin cậy. Nên làm gì:

1) Bạn cần mã hóa kết nối. Có một chương trình DNSproxy cho việc này. Nó kết nối với máy chủ DNS không trực tiếp mà được mã hóa thông qua trình phân giải DNS (nó chỉ chuyển hướng các yêu cầu đến máy chủ DNS). Đổi lại, trình phân giải sẽ truyền dữ liệu đến máy chủ DNS cũng qua kết nối được mã hóa. Nghĩa là, theo cách này, bằng cách sử dụng trình thám thính (ví dụ: WIreshark), bạn chỉ có thể tìm ra địa chỉ IP của trình phân giải. Nhưng vì các gói được mã hóa bằng “Mật mã đường cong Elliptic” nên không thể xác định được máy chủ DNS cụ thể mà chúng tôi đang trao đổi dữ liệu.

2) Bạn cần sử dụng máy chủ DNS không lưu giữ nhật ký. Như bạn đã hiểu, các máy chủ của nhà cung cấp sẽ ngay lập tức biến mất. Ngoài ra, để ẩn danh, bạn không thể sử dụng máy chủ DNS của Google hoặc Yandex, vì họ thành thật thừa nhận việc lưu trữ thông tin (đọc Thỏa thuận bảo mật của họ). Nhưng có những máy chủ DNS sẽ giúp chúng tôi. Đây là www.opennicproject.org. Trang web nói rằng các máy chủ không ghi bất kỳ nhật ký nào (tốt, hãy tin vào điều đó). Nhưng thật không may, những máy chủ này không ổn định và đôi khi gặp sự cố. Để giải quyết vấn đề này bạn có thể sử dụng chương trình "Proxy DNS acrylic". Nó cho phép bạn thực hiện các truy vấn không phải tới một máy chủ DNS mà tới 10 máy chủ cùng một lúc. Và gói tin từ máy chủ đến nhanh nhất sẽ được chương trình chấp nhận. Do đó, chúng tôi sẽ giải quyết hai vấn đề cùng một lúc - chúng tôi sẽ giảm thiểu việc mất tốc độ yêu cầu (vì hầu hết trao đổi nhanh dữ liệu thường xảy ra với máy chủ DNS của nhà cung cấp) và chúng tôi giảm thiểu tính không ổn định của bất kỳ máy chủ nào.

Vì vậy chúng ta cần mã hóa kết nối tới DNS an toàn máy chủ. Điều này sẽ hữu ích không chỉ với những người không sử dụng VPN (cách giải quyết vấn đề rò rỉ DNS sẽ được viết sau). Hãy bắt đầu:

2) Trong cài đặt của bạn Kết nối mạng bạn cần nhập địa chỉ DNS theo cách thủ công. Chuyển đến "Trung tâm mạng và điều khiển" quyền truy cập được chia sẻ" -> "Kết nối qua mạng nội bộ" -> "Thuộc tính" -> "Giao thức Internet phiên bản 4 TCP/IPv4". Ở đó chúng tôi đặt 127.0.0.1. Dòng thứ hai nên để trống.

3) Để khởi chạy AcrylicDNSProxy, hãy đi qua Bắt đầu và nhấp vào “ Bắt đầu dịch vụ acrylic". Một thông báo cho biết khởi chạy thành công sẽ xuất hiện.

4) Bây giờ chúng tôi kiểm tra máy chủ DNS của mình trên trang web www.perfect-privacy.com/dns-leaktest. Nó phải giống như thế này:

Cơm. 2

Bạn có thể thêm tập tin AcrylicController.exe Khởi nghiệp.

5) Bây giờ chúng tôi mã hóa các yêu cầu của mình tới máy chủ DNS bằng chương trình DNScrypt.

6) Giải nén và chạy dnscrypt-winclient.exe. Ở đó chúng tôi chọn card mạng của mình và nhấp vào Cài đặt. Kết nối tới máy chủ DNS hiện đã được mã hóa.

7) Hãy kiểm tra xem các dịch vụ xác minh của chúng tôi hiện sẽ hiển thị cho chúng tôi những gì. Truy cập www.perfect-privacy.com/dns-leaktest. Không ai trong số các máy chủ của chúng tôi nên quyết định.

Và nếu bạn truy cập http://whoer.net, thì điều duy nhất nó có thể hiển thị là địa chỉ của trình phân giải DNS mà các truy vấn DNS đi qua. Bản thân các máy chủ là "không xác định".

Cơm. 3

Mã hóa VPN + DNS​

Hình này hiển thị sơ đồ điển hình về kết nối của bạn khi kết nối với máy chủ VPN.

Hình 4.

Như bạn có thể thấy, có một lỗ hổng - các yêu cầu DNS có thể được gửi đồng thời cả thông qua máy chủ VPN và trực tiếp đến máy chủ DNS được chỉ định trong kết nối mạng của bạn.

Có vẻ như bạn chỉ cần đăng ký thủ công máy chủ DNS trong cài đặt kết nối là 127.0.0.1 để không có yêu cầu không cần thiết đối với nhà cung cấp DNS. Nhưng rõ ràng là khi ngắt kết nối khỏi mạng VPN sẽ không hoạt động vì kết nối với VPN sử dụng máy chủ DNS của riêng họ. Nếu bạn chỉ cần nhập hai máy chủ của dự án www.opennicproject.org, điều này sẽ làm giảm tốc độ lướt Internet khi VPN bị tắt. Trong trường hợp này, bạn cũng nên cài đặt chương trình AcrylicDNSProxy, chương trình này sẽ không làm giảm tốc độ lướt web của bạn. Nhưng vì bạn đã cài đặt AcrylicDNSProxy, tại sao không cài đặt DNScrypt?

Nếu bạn sử dụng dịch vụ VPN 100% thời gian, bạn chỉ cần đăng ký một địa chỉ IP trong cài đặt DNS: 127.0.0.1. Sẽ là đủ.

Do đó, một kế hoạch thú vị đã được tìm thấy cho phép bạn ẩn danh và ẩn các yêu cầu DNS, điều này sẽ giúp ích một chút nếu bạn gặp phải “chính quyền” và nếu một hacker độc ác ở địa phương quyết định chuyển hướng các yêu cầu DNS và hiển thị các trang web cho con bạn thay vì “Chà, đợi một chút” - trang web dành cho người lớn.

Lưu ý: nếu tất cả những điều này không có ích gì với bạn, chỉ cần cài đặt AcrylicDNSProxy cho biết các máy chủ của nhà cung cấp của bạn, Yandex, Google, v.v., điều này sẽ giúp bạn tăng tốc lướt Internet đáng chú ý.

Cám ơn vì sự quan tâm của bạn.

DNSCrypt sẽ giúp bạn mã hóa lưu lượng DNS và bảo vệ nó khỏi bên thứ ba.

DNS dùng để làm gì?

1. Thiết lập máy chủ DNS là tốt, nhưng còn tốt hơn nữa nếu mã hóa lưu lượng giữa máy chủ và máy khách, tức là bạn. Tôi đã viết trong các bài viết khác DNS là gì và đã đánh giá các dịch vụ máy chủ DNS tiên tiến nhất. Sự khác biệt giữa DNS đơn giản và DNSCrypt là tất cả lưu lượng truyền từ thiết bị máy tính của bạn đến máy chủ DNS đều không được mã hóa. Thứ duy nhất họ cho Dịch vụ đơn giản DNS là việc chặn các trang web đáng ngờ. Và lưu lượng truy cập, như tôi đã viết ở trên, được truyền trở lại máy tính của bạn và một yêu cầu được gửi từ máy tính của bạn đến máy chủ DNS, sẽ được chuyển đi rõ ràng.

Đây là danh sách các bài viết mà tôi đã viết trước đó về dịch vụ nổi tiếng DNS:

2. Những cái này Dịch vụ DNS bảo vệ hoàn hảo thiết bị máy tính của bạn và cung cấp lựa chọn lọc trang web. Nhưng lưu lượng truyền từ máy chủ DNS đến thiết bị máy tính của bạn không được mã hóa như tôi đã viết ở trên. Bạn có thể tìm hiểu thêm về cách thiết lập các thiết bị máy tính khác nhau với tư cách là khách hàng ngay từ bài viết đầu tiên mà tôi đã liệt kê ở trên. Ngoài ra còn có một cái nhìn tổng quan về cách lựa chọn máy chủ phù hợp DNS. Có lẽ anh ấy sẽ cho bạn biết thêm về DNS. Vì trong bài viết này chúng ta đang nói về DNS nhưng chúng tôi chỉ tập trung vào việc mã hóa chính kết nối từ máy chủ DnS và máy tính của bạn.

Mã hóa kết nối DNS:

3. Tự mã hóa kết nối DNS có thể được cài đặt và cấu hình trên thiết bị máy tính và cũng truy cập trang web chính thức. Tải xuống phiên bản mới nhất DNSCrypt dành cho thiết bị máy tính chạy Windows của bạn, mình sẽ đăng toàn bộ link ở cuối bài viết. Đã giải nén kho lưu trữ để đĩa hệ thống Thư mục C:/ có thể đặt tên theo ý của bạn hoặc để mặc định. Mở dòng lệnh với tư cách quản trị viên, bạn có thể thực hiện việc này nếu chưa biết bằng cách đọc bài viết. Tiếp theo trong dòng lệnh bạn vào thư mục vừa giải nén vào ổ C:/. Tên thư mục trong đường dẫn khác với tên bạn đặt, nhấn Enter và nếu mọi thứ đều đúng bạn sẽ nhận được câu trả lời, hình bên dưới:
4. Tiếp theo, đi tới thư mục nơi bạn đã giải nén nó, mở thư mục trong Explorer thông thường và tìm tệp dnscrypt-resolvers.csv trong đó, chọn máy chủ DNS mà bạn sẽ kết nối. Ở nơi đầu tiên là máy chủ Có lẽ mọi người đều biết một chương trình như vậy. Ngoài máy chủ Adguard, còn có nhiều máy chủ khác để bạn lựa chọn, nhưng trong danh sách thì đây là máy chủ nổi tiếng nhất. Mặc dù tôi thích Yandex.
5. Bạn có thể sử dụng DNSCrypt và định cấu hình nó để kết nối với Yandex DNS, chi tiết hơn trên trang web chính thức có tên, v.v. để thiết lập chương trình DNSCrypt (Cá nhân tôi, theo ý kiến ​​​​của tôi, tôi đã định cấu hình DNS Yandex). Tham số DNSYandex: yandex,"Yandex","Yandex DNS công cộng máy chủ","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071: C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327 Lấy từ tệp cài đặt chương trình đó (dnscrypt-resolvers.csv) Như bạn có thể thấy, hãy thiết lập kết nối tới máy chủ DNS đã chọn trước đó và không chỉ từ tệp mà còn từ các bài viết được đề cập ở trên. Bằng cách thiết lập kết nối của bạn bằng phương pháp này, bạn sẽ không cần phải cài đặt các chương trình chống quảng cáo và giám sát.
6. Trong ví dụ này tôi sẽ nói về việc kết nối máy chủ DNS ADGuard. Tiếp theo, chúng ta chọn các tên trong danh sách trong file dnscrypt-resolvers.csv, tên server sẽ như sau: adguard-dns-family-ns1 và gõ lệnh vào dòng lệnh, mình đã bôi đậm trong hình dưới:
7. Nếu máy chủ khả dụng thì bạn sẽ thấy thông tin sau như trong hình trên trong hình chữ nhật nhấn. Cài đặt DNSCrypt trên hệ thống lệnh tiếp theo, được đánh dấu trong hình bên dưới và nhấn Enter:
8. Nếu mọi việc suôn sẻ, câu trả lời trên dòng lệnh sẽ giống như trong hình trên trong một hình chữ nhật. Nếu bạn muốn gỡ bỏ DnSCrypt thì lệnh sẽ tương tự, chỉ ở vị trí Cài đặt cuối cùng sẽ có Gỡ cài đặt. Sau đó mọi thứ vẫn như cũ nếu bạn muốn thay đổi máy chủ, thực hiện tương tự với phần cài đặt Install, v.v. Chương trình đã được cấu hình và bây giờ bạn cần kết nối thiết bị máy tính của mình thông qua DNSCrypt. Chúng tôi đi đến các kết nối trong kết nối của bạn và trong thuộc tính kết nối của máy chủ DNS ưa thích, quay số 127.0.0.1 đây là địa chỉ máy của bạn. Về sự thay đổi địa chỉ dns Bạn có thể tìm ra các máy chủ trong kết nối từ ví dụ về các bài viết tôi đã viết ở trên. Bạn có thể tìm hiểu cách vào thuộc tính kết nối để thay đổi địa chỉ Dns bằng các liên kết ở đầu bài viết.

Chúng ta sẽ nói về việc cài đặt và định cấu hình chương trình DNSCrypt (thường là chương trình khách), chương trình này bảo vệ chống lại khả năng nhà cung cấp của bạn thay thế phản hồi DNS thành các yêu cầu đến từ máy tính của bạn. Việc thay thế như vậy có thể là một trong những cách để chặn quyền truy cập vào diễn đàn Rutreker sau khi có quyết định chặn của tòa án.

Các hướng dẫn được đưa ra có tính đến thực tế là Windows 8 với bản địa hóa tiếng Nga đã được cài đặt trên máy tính. Đối với các hệ điều hành khác, các hành động có thể hơi khác một chút nhưng chúng sẽ khác một chút cả về mô tả và ảnh chụp màn hình được cung cấp.

Các địa chỉ IP cụ thể được liệt kê trong bài viết này là hiện tại tại thời điểm viết bài và có thể thay đổi trong tương lai. Không sử dụng chúng mà không kiểm tra chức năng của chúng.

Câu hỏi thường gặp nhỏ

Không đi sâu vào chi tiết, trong đó có rất nhiều chi tiết, chúng ta có thể nói rằng hệ thống DNS chuyển tên máy chủ, ví dụ như rutracker.org, thành địa chỉ IP của chúng, chẳng hạn như 195.82.146.214. Đây là cách hoạt động liên lạc trên Internet: kết nối giữa các máy diễn ra tại các địa chỉ này chứ không phải ở tên thông thường của các trang web khác nhau để mọi người dễ nhớ hơn. Khi bạn muốn truy cập diễn đàn Rutreker, bạn yêu cầu trình duyệt của bạn kết nối với máy chủ mà diễn đàn này đang chạy. Sử dụng tên miền rutracker.org, trình duyệt sẽ xác định địa chỉ IP của nó và tạo kết nối đến máy chủ tương ứng.

Một lần nữa, tóm lại: đây là máy chủ DNS mà bạn có thể kết nối một cách chuẩn mực từ các chương trình khác để phân giải tên trang Internet, tức là. chuyển đổi tên chuỗi như rutracker.org thành địa chỉ IP như 195.82.146.214. Bản thân máy chủ này không thực hiện chuyển đổi như vậy mà yêu cầu nó từ máy chủ bên ngoài được chỉ định cho nó. Bản chất của việc sử dụng DNSCrypt là yêu cầu máy chủ bên ngoài được mã hóa và sử dụng giao thức không chuẩn, điều này không tạo cơ hội cho nhà cung cấp thay thế phản hồi DNS bằng phản hồi của chính họ và gây khó khăn cho việc phát hiện việc sử dụng chương trình này.

Một điều quan trọng cần hiểu: DNSCrypt là một cặp chương trình - một chương trình máy khách mã hóa yêu cầu của bạn và giải mã phản hồi thu được, và một chương trình máy chủ chấp nhận yêu cầu được mã hóa, biến tên trang web thành địa chỉ IP và gửi phản hồi được mã hóa trở lại . Chúng tôi sẽ cài đặt chương trình máy khách và chọn chương trình máy chủ được ghép nối từ những chương trình đã tồn tại và hoạt động trên Internet.

Trình duyệt của bạn liên hệ với dịch vụ DNS cục bộ và yêu cầu nó xác định địa chỉ IP của bạn máy chủ mong muốn. Dịch vụ truy cập máy chủ DNS có địa chỉ được chỉ định trong cài đặt kết nối mạng của máy tính. Bằng cách này hay cách khác, yêu cầu sẽ truy cập máy chủ DNS của nhà cung cấp của bạn hoặc đi qua các máy chủ thông thường của nhà cung cấp đó để đến máy chủ DNS bên ngoài, ví dụ: Yandex.DNS hoặc Google DNS. Tại thời điểm này, hệ thống của nhà cung cấp có thể quyết định thay đổi phản hồi của máy chủ và thay vì địa chỉ IP chính xác 195.82.146.214, bạn sẽ nhận được địa chỉ IP, chẳng hạn như của máy chủ của nhà cung cấp, bằng cách kết nối với đó bạn sẽ thấy một trang với việc chặn thông tin trong trình duyệt của bạn. Hoặc nhà cung cấp có thể trả lại địa chỉ không chính xác, khiến bạn không thể kết nối với địa chỉ đó. Hơn nữa, của bạn dịch vụ địa phương DNS sẽ ghi nhớ phản hồi của nhà cung cấp là chính xác và sẽ tiếp tục sử dụng phản hồi đó trong những lần thử tiếp theo để kết nối với cùng một trang cho đến khi hết thời hạn hiệu lực của phản hồi đó. Một khoảnh khắc khó chịu khác có thể là nhà cung cấp sẽ lưu ý rằng bạn đã yêu cầu tên của một trang web bị chặn.

Chúng tôi sẽ định cấu hình máy tính của mình để các yêu cầu tới máy chủ DNS bên ngoài sẽ được mã hóa và chúng sẽ được tạo theo một cách khác. Do đó, nhà cung cấp sẽ không thể thay thế câu trả lời của mình hoặc đưa ra câu trả lời của riêng mình.

Chúng tôi sẽ định cấu hình máy tính là giải pháp đơn giản nhất cho vấn đề, mặc dù sẽ đúng hơn nếu thực hiện các thay đổi phù hợp đối với thiết bị cung cấp quyền truy cập Internet cho tất cả người tiêu dùng - máy tính, máy tính bảng, điện thoại thông minh, v.v., chẳng hạn như bộ định tuyến được lắp đặt trong một căn hộ. Nếu bạn có cơ hội để làm điều đó, hãy chọn con đường này.

Vỏ đồ họa

Bản thân chương trình DNSCrypt chỉ có giao diện console, không phù hợp với tất cả mọi người. Có ít nhất ba chương trình phụ trợ, quản lý nó thông qua một shell đồ họa và bây giờ chúng tôi sẽ cho bạn biết về tất cả chúng.. Để thuận tiện cho bạn, hãy lưu tệp dnscrypt-winclient.exe trong cùng thư mục nơi bạn đã cài đặt DNSCrypt, sau đó chạy nó với tư cách quản trị viên (làm thế nào để làm điều này được mô tả trong phần mô tả bước 4). Sau khi đồng ý với cảnh báo của hệ thống về việc chạy chương trình với quyền quản trị viên, bạn sẽ thấy cửa sổ WinClient chính. Chuyển đến tab "Cấu hình".

Tùy thuộc vào việc bạn đã chạy ứng dụng khách DNSCrypt hay chưa, một số nhãn sẽ khác với những gì được hiển thị trong hình ảnh bên dưới: nút trái sẽ hiển thị “Install” (DNSCrypt chưa được cài đặt hoặc không chạy) hoặc “Uninstall” (DNSCrypt đang ở chế độ khoảnh khắc này ra mắt) và nút bên phải, tương ứng là “Bắt đầu” hoặc “Dừng”. Trong cửa sổ này, bạn có thể thực hiện các bước tương tự như bạn đã làm trong phần chính: chọn máy chủ DNSCrypt phù hợp với bạn (danh sách thả xuống “Chọn nhà cung cấp”) và khởi chạy ứng dụng khách của bạn với các cài đặt thích hợp. Bằng cách nhấp vào "Cài đặt", bạn cài đặt ứng dụng khách như Dịch vụ Windows và bằng cách nhấp vào nút một lần nữa, bạn xóa dịch vụ này. Bằng cách nhấp vào "Bắt đầu" / "Dừng", bạn bắt đầu và dừng ứng dụng khách trong chế độ bình thường, ví dụ: nếu bạn không chắc chắn về chức năng của máy chủ DNSCrypt đã chọn và muốn tạm thời chạy ứng dụng khách để kiểm tra hoạt động của nó.

Hạn chế duy nhất của chương trình ở thời điểm hiện tại là khi khởi chạy, nó không xác định máy chủ DNSCrypt mà bạn đã chọn và luôn chọn phần tử đầu tiên từ danh sách máy chủ có sẵn(nó được lấy từ cùng một tệp dnscrypt-resolvers.csv). Với suy nghĩ này, bạn có thể quản lý ứng dụng khách DNSCrypt của mình thuận tiện hơn trong bảng điều khiển.

Trình quản lý dịch vụ Windows DNSCrypt

Khác vỏ đồ họa là DNSCrypt Dịch vụ Windows Giám đốc. Về mặt chức năng, nó gần giống như DNSCrypt WinClient, nhưng có một lợi thế nhỏ: nó hiển thị chính xác máy chủ DNSCrypt mà bạn đã chọn.

Ở trên cùng, bạn sẽ thấy danh sách tất cả giao diện mạng, hãy chọn địa chỉ mà bạn có thể truy cập Internet. Dưới đây là danh sách các máy chủ DNSCrypt từ tệp dnscrypt-winclient.exe (“Chọn nhà cung cấp”) và lựa chọn giao thức (“Giao thức”) mà khách hàng sẽ gửi yêu cầu DNS đến máy chủ; chọn "UDP". Bên dưới danh sách máy chủ là nút chương trình chính; nó khởi động (“Bật”) hoặc dừng (“Tắt”) DNSCrypt dưới dạng dịch vụ Windows. Cuối cùng, ở cuối cửa sổ, bạn có thể thấy trạng thái hiện tại của DNSCrypt - nó đang chạy (màu xanh lá cây “đã bật”) hoặc đã dừng (màu đỏ “đã tắt”). Kích thước phông chữ được chọn kém và một phần từ bị cắt.

Khi bạn đã cấu hình dịch vụ và khởi động nó, bạn có thể đóng cửa sổ chương trình.

Bài viết này được viết theo yêu cầu của một trong những độc giả blog. Và tôi phải nói - chủ đề này rất thú vị.

Ngày nay, vấn đề bảo vệ lưu lượng truyền tải trên Internet ngày càng trở nên cấp bách. Nhiều người có thể thèm muốn dữ liệu của bạn - từ những kẻ tấn công sẽ cố gắng hết sức để lấy được mật khẩu của bạn dịch vụ khác nhau, cho đến các cơ quan tình báo muốn biết mọi thứ về mọi hành động của bạn. Và hơn thế nữa thời gian nhất định, có một số lượng lớn “công cụ tự vệ” trên Internet. Về một điều đơn giản như vậy nhưng lại rất phương tiện hiệu quả, sẽ được thảo luận trong bài viết này - Mã hóa DNS.

Có một nguồn tài nguyên tuyệt vời được gọi là OpenDNS, nơi cung cấp các máy chủ DNS công cộng của nó. OpenDNSưu đãi Giải pháp DNS dành cho người dùng và doanh nghiệp như một giải pháp thay thế cho việc sử dụng máy chủ DNS do ISP của họ cung cấp. Bằng cách đặt máy chủ của công ty ở những khu vực chiến lược và sử dụng bộ đệm tên miền lớn, OpenDNS có xu hướng hoàn thành các yêu cầu nhanh hơn nhiều, do đó tăng tốc độ mở trang. Kết quả truy vấn DNS được lưu trữ trong hệ điều hành và/hoặc ứng dụng, vì vậy tốc độ này có thể không được chú ý rõ ràng trên mọi yêu cầu mà chỉ trên những yêu cầu không được lưu vào bộ nhớ đệm.

Bởi vì lưu lượng giữa máy chủ DNS và máy tính của bạn không được mã hóa, điều này tạo ra nguy cơ tắc nghẽn giao thông nghiêm trọng. Mã hóa lưu lượng DNS sẽ bảo vệ máy khách khỏi các cuộc tấn công "người đàn ông ở giữa", trong đó kẻ tấn công xâm nhập vào kênh liên lạc và giả vờ là máy chủ DNS. Ngoài ra, mã hóa còn ngăn chặn việc rình mò lưu lượng truy cập và chặn hoạt động độc hại liên quan đến ID gói cưỡng bức hoặc gửi phản hồi DNS không có thật. Nói một cách đơn giản: Mã hóa DNS sẽ ngăn chặn các cuộc tấn công lừa đảo khi nó được mở thay vì trang mong muốn bản sao độc hại, nơi bạn nhập thông tin chi tiết của mình. Với tất cả những hậu quả. Ngoài ra, nhà cung cấp sẽ gặp khó khăn hơn nhiều trong việc tìm ra trang web nào bạn đã truy cập (vì nhật ký sẽ không chứa thông tin về yêu cầu phân giải tên). Để tổ chức tất cả những điều này, dự án OpenDNS đã phát hành một tiện ích tuyệt vời với nguồn mở mã nguồn- Mật mã DNS.

Tiện ích này sẽ mã hóa tất cả lưu lượng truyền giữa máy tính của bạn và máy chủ OpenDNS. Nếu nhà cung cấp của bạn chặn một trang web bằng tên miền của nó thì bây giờ trang web này sẽ hoạt động! Một điểm cộng nữa. Tiện ích này Có sẵn trên nhiều hệ thống khác nhau. Tôi sẽ mô tả cài đặt và cấu hình bằng một ví dụ Debian Và Ubuntu/Linux Mint.

TRONG Ubuntu 14.04 Và Debian 8, tiện ích này không tồn tại. Cách 2: Tự thu thập hoặc sử dụng kho lưu trữ của bên thứ ba. Trong trường hợp Ubuntu, đây sẽ là kho lưu trữ PPA:

sudo add-apt-repository ppa:xuzhen666/dnscrypt
cập nhật sudo apt-get
sudo apt-get cài đặt dnscrypt-proxy

Trong trường hợp Debian, chỉ cần tải xuống gói proxy-dnscrypt từ kho lưu trữ phát hành thử nghiệm. Và cài đặt bằng cách sử dụng GDebi, hoặc theo đội sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb.

Để tự lắp ráp:

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

Trong quá trình cài đặt, bạn sẽ được yêu cầu chọn máy chủ DNS. Chọn OpenDNS.

Cài đặt thêm không bắt buộc, gói chứa mọi thứ bạn cần. Tất cả những gì bạn cần là cấu hình lại một chút kết nối mạng của mình. Mở cài đặt kết nối mạng, chọn của bạn, chuyển đến tab IPv4, thay đổi Tự động TRÊN Tự động (chỉ địa chỉ) (Tự động (Chỉ địa chỉ) và chỉ định địa chỉ DNS 127.0.2.1

Khởi động lại, kết nối và đi đến