Что такое утечка DNS leak и как устранить

Discussion in 'Безопасность и Анонимность' started by madik, 13 Dec 2018.

  1. madik

    madik Member

    Joined:
    4 May 2017
    Messages:
    244
    Likes Received:
    93
    Reputations:
    6
    При подключении к VPN серверу в некоторых ОС (например, Windows) не всегда запросы проходят через DNS сервер VPN подключения. В этом случае некоторые сайты могут узнать, что ваш IP адрес и DNS сервера находятся в разных странах, и ваша анонимность может оказаться под угрозой.
    Что такое DNS сервер
    Основное предназначение DNS серверов - это преобразование доменных имен сайтов в IP адреса, за которыми эти домены закреплены. Простыми словами, вводя в браузере домен Google.com, DNS сервер смотрит за каким IP адресом закреплен данный домен, и загрузка страницы сайта происходит через IP адреса.

    Ниже представлен пример определения DNS серверов на сайте Whoer.net.
    [​IMG]
    Из примера видно, что мы подключились к VPN и скрыли свой IP адрес (IP принадлежит Великобритании), но при этом DNS сервер выдает наше реальное местонахождение (США).

    В данном случае, проблема лежит в принципе работы DNS службы Windows. При подключении к VPN по-умолчанию запрос посылается на DNS VPN сервера. Затем DNS служба Windows ждет 2 секунды, и если ответ не пришел, то посылает запрос на следующий DNS сервер, находящийся в списке ОС Windows. Как раз следующие DNS сервера и принадлежат вашему Интернет-провайдеру, но имеют меньший приоритет по сравнению с DNS VPN сервера.

    DNS VPN сервера может не успевать отвечать на запрос вовремя из-за географической удаленности VPN сервера от вас, в то время как DNS сервер вашего провайдера располагается в вашем городе. Также на это может влиять качество прохождения сигнала от вашего Интернет-провайдера до VPN сервера.

    Решение: принудительно использовать нужный нам DNS сервер. В этом случае мы однозначно укажем операционной системе, что нужно использовать только указанные DNS сервера и тогда в списке DNS службы Windows не будут значиться DNS сервера вашего реального провайдера.

    Как скрыть свой реальный DNS в Windows
    Выполните следующие действия в любой версии Windows.
    1
    [​IMG]
    2
    [​IMG]
    3
    [​IMG]
    4
    [​IMG]
    5
    Кликните правой кнопкой мышки на сетевое подключение Windows и затем выберите "Свойства".
    6
    [​IMG]

    Укажите публичные DNS сервера Google или OpenDNS.

    Google DNS:
    - 8.8.8.8
    - 8.8.4.4

    OpenDNS:
    - 208.67.222.222
    - 208.67.220.220

    Эти DNS сервера чаще всего определяются как США. В этом случае ни один сайт не будет выдавать ваши реальные DNS.

    Для полной анонимности мы рекомендуем использовать наши DNS сервера. В разделе "Мой аккаунт" указаны DNS сервера для каждого VPN направления. И уже в этом случае ваш DNS сервер будет всегда соответствовать вашему IP адресу (по стране).

    [​IMG]

    После выполнения указанных действий, ваш реальный DNS сервер в Windows будет скрыт.
    [​IMG]

    Как скрыть свой реальный DNS на Ubuntu
    Для устранения DNS leak в операционной системе Ubuntu на базе Linux, откройте раздел Соединения.

    [​IMG]

    Выберите ваше подключение к Интернету и нажмите Изменить.

    [​IMG]

    Выберите:

    1. Вкладку Параметры IPv4
    2. Автоматически (DHCP, только адрес)
    3. Укажите DNS сервер. Например, можно использовать публичные DNS сервера от Google или OpenDNS
    Google DNS:
    - 8.8.8.8
    - 8.8.4.4

    OpenDNS:
    - 208.67.222.222
    - 208.67.220.220

    [​IMG]

    В Linux необходимо перезапустить настройки сети, чтобы изменения вступили в силу.

    Нажмите на Управление сетью.

    [​IMG]

    Появится сообщение Соединение разорвано.

    [​IMG]

    Затем нажмите на Управлению сетью еще раз, чтобы включить соединение.

    [​IMG]

    После этих действий, ваш реальный DNS сервер будет скрыт.

    [​IMG]

    Как скрыть свой реальный DNS на серверной Linux
    Следующие действия выполняйте только в том случае, если вы считаете себя опытным пользователем Linux. Мы предупреждаем, что вносить изменения ручным способом опасно, если у вас мало знаний по администрированию Linux. Внимание: мы снимаем с себя ответственность за последствия.

    Зайдите на сервер под root пользователем (или под обычным пользователем, но у вас должны быть привилегии исполнять команды под sudo).

    Введите следующую команду. Возможно понадобится ввести пароль от учетной записи ОС. Для редактирования используется текстовый редактор nano. Если он у вас не установлен, то сделайте изменения другим редактором или установите nano.

    [​IMG]

    sudo nano /etc/resolv.conf
    1. Если у вас установлен resolvconf, то в этом файле будет сообщение, что после перезагрузки ОС все изменения в этом файле будут утеряны и настройки вернутся по умолчанию на 127.0.1.1. Так как мы меняем DNS сервер временно, то нас это устраивает.
    2. Запишите DNS сервер, указанный по умолчанию в этом файле. Затем измените DNS сервер. Например, можно взять DNS сервер от Google или OpenDNS.
    Google DNS:
    - 8.8.8.8
    - 8.8.4.4

    OpenDNS:
    - 208.67.222.222
    - 208.67.220.220

    [​IMG]

    Для сохранения в редакторе nano нажмите:

    1. Ctrl+X для выхода из редактора
    2. клавишу Y для сохранения изменений в файле
    3. клавишу Enter для подтверждения сохранения в тот же файл
    Чтобы изменения вступили в силу, необходимо перезагрузить сетевой интерфейс.

    для Debian и Ubuntu введите команду:

    sudo /etc/init.d/networking restart
    для CentOS и Red Hat Linux введите команду:

    sudo /etc/init.d/network restart
    Сетевой интерфейс перезагрузится и DNS leak будет устранена.

    Перезагрузите компьютер, чтобы вернуть исходный DNS сервер.

    [​IMG]
    Удачи)
     
    #1 madik, 13 Dec 2018
    Last edited: 13 Dec 2018
    nynenado, quite gray, Jerri and 4 others like this.
  2. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Для Linux, думаю, можно сократить статью жо этого:
    В целом + за старания
     
    Jerri and K800 like this.
  3. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Статья норм, но выделю немного противоречий. Приведеные выше DNS сервера и анонимность- несовместимые понятия. Список днс серверов с поддержкой DNS-SEC и отсутствием логирования (или наоборот ) можно найти на https://dnscrypt.info/public-servers/
    по поводу самого прокси рекомендую https://github.com/jedisct1/dnscrypt-proxy
    DNSCrypt (dnscrypt-proxy) - инструмент безопасности, который улучшает защиту и конфиденциальность в Интернете за счет шифрования DNS трафика между пользователем и DNS провайдером, предотвращая попытки отслеживания, перехвата DNS и MITM-атаки
     
    _________________________
  4. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    Статья - гавно. Унылое и устаревшее.

    И кажется Блиц - он никогда не ошибается, в том, что касается его личной анонимности, это написано курсантом школы МВД.

    У Блиц, настройки ДНС и сети в целом - образца 2018 года, резко и в лучшую сторону отличающиеся от этого недо-курсача, написанного для красоты и бесполезного по сути.
     
    nynenado likes this.
  5. indomix

    indomix Member

    Joined:
    8 Jul 2012
    Messages:
    18
    Likes Received:
    9
    Reputations:
    0
    Не проще юзать ВПН-ку со своими ДНС? В противном случае будет расхождение ГЕО IP и ДНС и как минимум запаришься разгадывать гуглокапчи) В данной статье по сути сказано тоже самое и предложение приобрести VPN от Secure Kit)
    В свойствах адаптера у меня всегда прописано 127.0.0.1 и ВЫКЛ IPV6 (при использовании ВПН соответственно).

    Ну и помимо ДНС-ок и ВПН есть куча множество факторов при пересечении которых идет идентификация юзара, вплоть до разрешения экрана. Просто ВПН-ка подходит для открытия торрент сайтов пожалуй, и для какой никакой защиты трафа, особенно при использовании вай фай))))
     
    #5 indomix, 28 Dec 2018
    Last edited: 28 Dec 2018
    altblitz likes this.
  6. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    А нужно делать с точностью до наоборот - отключить 127.0.0.1 раз и навсегда в настройках адаптера.
    И завести DNS через unix sockets.

    Code:
    ## List of local addresses and ports to listen to. Can be IPv4 and/or IPv6.
    ## Note: When using systemd socket activation, choose an empty set (i.e. [] ).
    
    #listen_addresses = ['127.0.0.1:53', '[::1]:53']
    listen_addresses = []
    
    Запретить обращение к серверу DNS провайдера:

    Code:
    ## Never let dnscrypt-proxy try to use the system DNS settings;
    ## unconditionally use the fallback resolver.
    
    ignore_system_dns = false
    
     
    nynenado and indomix like this.
  7. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    Да. Отключен от обращений к DNS серверам.

    Быстро разул глаза свои! Ещё быстрей, бегом!
    И глянул конфигурацию командирскую Блиц.

    Завтра, опять будешь драить очко в сортире и унижаться в роте, солдафонишко тупейшее - за неисполнение приказов Блиц.
     
  8. indomix

    indomix Member

    Joined:
    8 Jul 2012
    Messages:
    18
    Likes Received:
    9
    Reputations:
    0
    Сэнкс, потестим)))
    Да у меня это вместо килл свитч по сути - при таком варианте когда падает ВПН - падает весь инет прост)))Естестна в браузере стоит еще расширялка от другой ВПН-ки и обрублены все вебджили,Вебртсы и т.п., но не потому что я темная злая личность, а так надо прост дабы не палить по пересечениями несколько рекламных кабинетов, к примеру в Эдвордс.
    Супер темные злые дяди берут железо и через месяцок на выброс, а не ставят ВПН-ку))))
     
  9. Maria1

    Maria1 Member

    Joined:
    11 Dec 2017
    Messages:
    21
    Likes Received:
    5
    Reputations:
    0
    интересно