घर उपकरण अवांछित DNS ट्रैफ़िक को अवरुद्ध करना। DNS रिसाव: यह क्या है और DNSCrypt उपयोगिता का उपयोग करके इसे कैसे ठीक किया जाए, निष्कर्ष के रूप में

अवांछित DNS ट्रैफ़िक को अवरुद्ध करना। DNS रिसाव: यह क्या है और DNSCrypt उपयोगिता का उपयोग करके इसे कैसे ठीक किया जाए, निष्कर्ष के रूप में

4601 ,

जब से इंटरनेट पर गुमनामी का मिथक दूर हुआ है, उपयोगकर्ता की गोपनीयता का मुद्दा सबसे गंभीर मुद्दों की सूची में शामिल हो गया है। इससे न सिर्फ आपकी ऑनलाइन गतिविधियों को ट्रैक किया जा सकेगा खोज इंजनऔर आपके द्वारा देखी जाने वाली वेबसाइटें, बल्कि आपके अपने इंटरनेट सेवा प्रदाता भी। तकनीकी रूप से, यह इतना कठिन नहीं है यदि डीएनएसप्रदाता द्वारा आपको जारी किया जाता है, और यह अक्सर होता है, सब कुछ गुजरता है डीएनएसइससे ट्रैफिक को ट्रैक किया जा सकता है, खासकर तब से डीएनएस-अनुरोध एक अनएन्क्रिप्टेड कनेक्शन पर भेजे जाते हैं।

यह स्पष्ट है कि यदि आप उपयोग करते हैं तो भी इंटरसेप्टेड पैकेट को बदलना मुश्किल नहीं होगा वीपीएन-सेवाएँ।

छेद को बंद करने का एकमात्र तरीका एन्क्रिप्शन है। डीएनएस-यातायात, लेकिन इसके लिए आपको एक विशेष की आवश्यकता होगी सॉफ़्टवेयर, चूँकि इनमें से कोई नहीं ऑपरेटिंग सिस्टमएन्क्रिप्शन का समर्थन नहीं करता डीएनएसअलग सोच। सबसे सरल एन्क्रिप्शन उपकरण डीएनएस- यातायात है - छोटा निःशुल्क उपयोगिता, लाभप्रद रूप से इस तथ्य से अलग है कि इसकी आवश्यकता नहीं है अतिरिक्त सेटिंग्स, जिसका अर्थ है कि इसका उपयोग शुरुआती लोगों द्वारा किया जा सकता है। एक कंसोल टूल है - डीएनएसक्रिप्ट प्रॉक्सी, लेकिन आपको इसके साथ छेड़छाड़ करने की ज़रूरत है - आदेशों की एक श्रृंखला निष्पादित करें पावरशेल, पता बदलाव डीएनएसमैन्युअल रूप से इत्यादि। कृपया, जिस किसी के पास समय और इच्छा हो, वह पृष्ठ पर स्वयं को इससे परिचित कर सकता है github.com/jedisct1/dnscrypt-proxy .

हम सरल और अधिक सुविधाजनक डेस्कटॉप संस्करण का उपयोग करने का सुझाव देते हैं डीएनएस- क्रिप्टोग्राफर. डेवलपर की वेबसाइट से डाउनलोड करें Simplednscrypt.orgप्रोग्राम का वह संस्करण जो आपके OS बिट स्तर और इंस्टॉल से मेल खाता है।

यह एक आसान, सहज ज्ञान युक्त इंटरफ़ेस और इसके अलावा, रूसी में सुसज्जित है, ताकि आप आसानी से पता लगा सकें कि क्या है। अनुभाग में बुनियादी सेटिंग्स बनाई गई हैं "मेनू". प्रोग्राम का उपयोग शुरू करने के लिए, इंस्टालेशन के तुरंत बाद, बटन पर क्लिक करें "आवेदन करना", और फिर नीचे अपना चयन करें नेटवर्क कार्ड, इसे स्क्रीनशॉट में दिखाए अनुसार टिक करना चाहिए। बदलना "DNSCrypt सेवा"सक्रिय होना चाहिए.

यह जांचना आसान है कि सब कुछ काम करता है या नहीं। विंडो में निष्पादित करें दौड़नाटीम Ncpa.cpl पर, अपने कनेक्शन के गुण खोलें, सूची से चयन करें आईपी संस्करण 4 (TCPIPv4)और इसके गुण खोलें। रेडियो की बटन "निम्नलिखित DNS सर्वर पतों का उपयोग करें"सक्रिय होना चाहिए, और फ़ील्ड को पसंदीदा इंगित करना चाहिए डीएनएस-सर्वर. हमारे पास यह है 127.0.0.1 , आपका पता अलग हो सकता है.

डिफ़ॉल्ट रूप से, प्रोग्राम स्वचालित रूप से सबसे तेज़ सर्वर का चयन करता है, लेकिन आप अनुभाग में इसे स्वयं चुनकर अपनी प्राथमिकताएँ बदल सकते हैं।

यदि आप प्रोटोकॉल का उपयोग नहीं कर रहे हैं तो अनुभाग मापदंडों को बदलने की आवश्यकता नहीं है आईपीवी 4. में सामान्य सेटिंग्सआप अतिरिक्त टैब सक्षम कर सकते हैं "डोमेन की काली सूची", "डोमेन ब्लॉकिंग लॉग", लेकिन यह फिर से तब है जब आप उन कार्यों के साथ काम करने जा रहे हैं जो वे पेश करते हैं, विशेष रूप से, रचना "काला"डोमेन सूचियाँ.

एनएसटीएक्स का उपयोग करके डीएनएस के भीतर एक आईपी सुरंग बनाना संभव है। उसी नाम का प्रोटोकॉल जो आपको इसे प्राप्त करने की अनुमति देता है उसे "" कहा जाता है और इसका अर्थ "" है नेमसर्वर ट्रांसफर प्रोटोकॉल».

तो, मान लीजिए कि प्रदाता जारी करता है और आपको अपने DNS सर्वर का उपयोग करने की अनुमति देता है। आइए एक नियमित DNS अनुरोध की कल्पना करें: हम प्रदाता के नाम सर्वर पर जानकारी का अनुरोध करते हैं, प्रदाता का सर्वर अनुरोध को दूसरे नाम सर्वर को भेजता है, जो हमें आवश्यक क्षेत्र के लिए जिम्मेदार है। और श्रृंखला का अंतिम DNS सर्वर प्राप्त प्रतिक्रिया को उसी मार्ग से वापस भेजता है।

अब कल्पना करें कि आप एक नाम सर्वर से आईपी पैकेट को डीएनएस क्वेरीज़ में प्रारूपित कर सकते हैं और आने वाले ट्रैफ़िक को उन पैकेटों में "आकार" दे सकते हैं जिनकी हमें ज़रूरत है। और अब हमारे पास एक पूर्ण विकसित "आईपी ओवर डीएनएस" बनाने के लिए पहले से ही सब कुछ है - हमारा अपना छिपी हुई सुरंगलगभग किसी भी तृतीय-पक्ष फ़ायरवॉल के माध्यम से ट्रैफ़िक अग्रेषित करने के लिए!

अब जो कुछ बचा है वह नकली नेमसर्वर और क्लाइंट को कॉन्फ़िगर करना है, लेकिन व्यवहार में यह हमेशा इतना आसान नहीं होता है।

प्रसारित किया जा सकने वाला अधिकतम पैकेट आकार यूडीपी पर अधिकतम 512 बाइट्स है। इसलिए, हमें एक असेंबलर/डिसेम्बलर तंत्र की आवश्यकता होगी जो खंडित पैकेटों को इकट्ठा और अलग करेगा और उनकी शुद्धता की जांच करेगा। इस योजना में, हमारा नकली DNS क्लाइंट हमारे नकली DNS सर्वर के साथ लगातार संचार कर सकता है, लेकिन हमारा DNS सर्वर केवल प्रतिक्रिया दे सकता है। इसलिए, ग्राहक सुलह और दोतरफा संचार बनाए रखने के लिए जिम्मेदार होगा।

पहली बार मैंने 2008 में ऐसा करने की कोशिश की थी। दो सप्ताह तक मैंने धीरे-धीरे इस पैकेज पर काम किया, स्रोत कोड को अपने अनुरूप समायोजित किया, मैनुअल को फिर से पढ़ा और परिणामस्वरूप, मुझे हमारे कॉर्पोरेट नेटवर्क के अति-सुरक्षित फ़ायरवॉल के माध्यम से सफलतापूर्वक निर्मित एक कार्यशील सुरंग प्राप्त हुई। तब यह मेरे लिए बिल्कुल अविश्वसनीय था!

सामान्य तौर पर, थोड़ी सी इच्छा और समय के साथ, आप "आईपी-ओवर-डीएनएस" सुरंग बनाने के लिए स्वतंत्र रूप से एक नकली क्लाइंट नाम सर्वर लॉन्च कर सकते हैं।

खेलो, कोशिश करो. इससे खुद को बचाने के तरीके खोजें। मैं आपको पहले ही चेतावनी देता हूं कि यहां बहुत सारी तकनीकी बारीकियां हैं।

आपको लगता है कि आपकी गुमनामी विश्वसनीय रूप से सुरक्षित है। लेकिन दुर्भाग्य से ऐसा नहीं है. आपकी निजी जानकारी लीक करने का एक बहुत ही महत्वपूर्ण चैनल है - डीएनएस सेवा। लेकिन सौभाग्य से इसका भी समाधान ईजाद हो गया है. आज मैं आपको बताऊंगा कि DNSCrypt उपयोगिता का उपयोग करके अपने DNS ट्रैफ़िक को कैसे एन्क्रिप्ट किया जाए।

HTTPS या SSL का उपयोग करते समय, आपका HTTP ट्रैफ़िक एन्क्रिप्ट किया जाता है, यानी संरक्षित किया जाता है। जब आप वीपीएन का उपयोग करते हैं, तो आपका सारा ट्रैफ़िक पहले से ही एन्क्रिप्टेड होता है (बेशक, यह सब इस पर निर्भर करता है)। वीपीएन सेटिंग्स, लेकिन, एक नियम के रूप में, यह मामला है)। लेकिन कभी-कभी, वीपीएन का उपयोग करते समय भी, आपकी डीएनएस क्वेरीज़ एन्क्रिप्टेड नहीं होती हैं, उन्हें वैसे ही भेजा जाता है, जो रचनात्मकता के लिए बहुत जगह खोलता है, जिसमें एमआईटीएम हमले, ट्रैफ़िक पुनर्निर्देशन और बहुत कुछ शामिल है।

यहीं पर ओपन सोर्स DNSCrypt उपयोगिता बचाव के लिए आती है, जिसे OpenDNS के प्रसिद्ध रचनाकारों द्वारा विकसित किया गया है - एक प्रोग्राम जो आपको DNS क्वेरीज़ को एन्क्रिप्ट करने की अनुमति देता है। इसे आपके कंप्यूटर पर इंस्टॉल करने के बाद आपके कनेक्शन भी सुरक्षित रहेंगे और आप अधिक सुरक्षित रूप से इंटरनेट सर्फ कर पाएंगे। बेशक, DNSCrypt सभी समस्याओं के लिए रामबाण नहीं है, बल्कि सुरक्षा उपकरणों में से केवल एक है। आपको अभी भी सभी ट्रैफ़िक को एन्क्रिप्ट करने के लिए वीपीएन कनेक्शन का उपयोग करने की आवश्यकता है, लेकिन इसे DNSCrypt के साथ जोड़ना अधिक सुरक्षित होगा। यदि आप इस तरह के संक्षिप्त विवरण से संतुष्ट हैं, तो आप तुरंत उस अनुभाग पर जा सकते हैं जहां मैं प्रोग्राम को स्थापित करने और उपयोग करने का वर्णन करूंगा।

आइए गहराई से समझने का प्रयास करें। यह अनुभाग वास्तव में पागल लोगों के लिए है। यदि आप अपने समय को महत्व देते हैं, तो आप तुरंत प्रोग्राम इंस्टॉल करने के लिए आगे बढ़ सकते हैं।
तो, जैसा कि वे कहते हैं, सौ बार सुनने की तुलना में एक बार देखना बेहतर है। तस्वीर पर देखो।

मान लीजिए कि एक ग्राहक (तस्वीर में लैपटॉप) google.com तक पहुंचने का प्रयास कर रहा है, तो उसे सबसे पहले ऐसा करना चाहिए
प्रतीकात्मक होस्टनाम को आईपी पते पर हल करें। यदि नेटवर्क कॉन्फ़िगरेशन ऐसा है कि प्रदाता के DNS सर्वर का उपयोग किया जाता है (एक अनएन्क्रिप्टेड कनेक्शन, चित्र में लाल रेखा), तो आईपी पते के प्रतीकात्मक नाम का रिज़ॉल्यूशन एक अनएन्क्रिप्टेड कनेक्शन पर होता है।

हाँ, किसी को पता नहीं चलेगा कि आप dkws.org.ua पर कौन सा डेटा संचारित करेंगे। लेकिन कुछ बेहद अप्रिय क्षण भी हैं. सबसे पहले, प्रदाता, DNS लॉग को देखकर, यह पता लगाने में सक्षम होगा कि आप किन साइटों पर गए थे। क्या आपको इसकी जरूरत है? दूसरे, डीएनएस स्पूफिंग और डीएनएस स्नूपिंग हमलों की संभावना है। मैं उनका विस्तार से वर्णन नहीं करूंगा; इस बारे में पहले ही कई लेख लिखे जा चुके हैं। संक्षेप में, स्थिति इस प्रकार हो सकती है: आपके और प्रदाता के बीच कोई व्यक्ति DNS अनुरोध को रोक सकता है (और चूंकि अनुरोध एन्क्रिप्टेड नहीं हैं, इसलिए अनुरोध को रोकना और उसकी सामग्री को पढ़ना मुश्किल नहीं होगा) और आपको एक "भेजें" नकली” प्रतिक्रिया। परिणामस्वरूप, google.com पर जाने के बजाय, आप हमलावर की वेबसाइट पर जाएंगे, जो बिल्कुल वैसी ही है जैसी आपको चाहिए, आप फ़ोरम से अपना पासवर्ड दर्ज करेंगे, और फिर घटनाओं का विकास, मुझे लगता है, स्पष्ट है।

वर्णित स्थिति को DNS लीकिंग कहा जाता है। डीएनएस लीक तब होता है जब आपका सिस्टम, वीपीएन सर्वर या टोर से कनेक्ट होने के बाद भी, डोमेन नामों को हल करने के लिए प्रदाता के डीएनएस सर्वर से क्वेरी करना जारी रखता है। हर बार जब आप किसी नई साइट पर जाते हैं, नए सर्वर से जुड़ते हैं, या कुछ लॉन्च करते हैं नेटवर्क अनुप्रयोग, आपका सिस्टम आईपी का नाम हल करने के लिए आईएसपी के डीएनएस से संपर्क करता है। परिणामस्वरूप, आपका प्रदाता या "अंतिम मील" पर स्थित कोई भी व्यक्ति, यानी आपके और प्रदाता के बीच, आपके द्वारा एक्सेस किए जाने वाले नोड्स के सभी नाम प्राप्त कर सकता है। आईपी एड्रेस प्रतिस्थापन के साथ उपरोक्त विकल्प काफी क्रूर है, लेकिन किसी भी मामले में आपके द्वारा देखे गए नोड्स को ट्रैक करना और इस जानकारी का उपयोग अपने उद्देश्यों के लिए करना संभव है।

यदि आप अपने प्रदाता से "डरते" हैं या नहीं चाहते कि वह यह देखे कि आप किन साइटों पर जाते हैं, तो आप (निश्चित रूप से, वीपीएन और अन्य सुरक्षा उपायों का उपयोग करने के अलावा) अपने कंप्यूटर को उपयोग करने के लिए अतिरिक्त रूप से कॉन्फ़िगर कर सकते हैं डीएनएस सर्वरओपनडीएनएस प्रोजेक्ट (www.opendns.com)। पर इस समयये निम्नलिखित सर्वर हैं:

208.67.222.222
208.67.220.220

आपको किसी अन्य अतिरिक्त सॉफ़्टवेयर की आवश्यकता नहीं है. इन DNS सर्वरों का उपयोग करने के लिए बस अपने सिस्टम को कॉन्फ़िगर करें।

लेकिन DNS कनेक्शन को इंटरसेप्ट करने की समस्या अभी भी बनी हुई है। हां, अब आप प्रदाता के DNS तक नहीं पहुंच रहे हैं, बल्कि OpenDNS तक पहुंच रहे हैं, लेकिन आप अभी भी पैकेट को रोक सकते हैं और देख सकते हैं कि उनमें क्या है। यानी आप चाहें तो पता लगा सकते हैं कि आपने किन नोड्स को एक्सेस किया है।

अब हम DNSCrypt पर आते हैं। यह प्रोग्राम आपको अपने DNS कनेक्शन को एन्क्रिप्ट करने की अनुमति देता है। अब आपके आईएसपी (और आपके और उनके बीच के सभी लोगों) को ठीक से पता नहीं चलेगा कि आप किन साइटों पर जाते हैं! मैं इसे दोबारा दोहराऊंगा. यह प्रोग्राम टोर या वीपीएन का प्रतिस्थापन नहीं है। पहले की तरह, यदि आप वीपीएन या टोर का उपयोग नहीं करते हैं तो आपके द्वारा प्रसारित बाकी डेटा एन्क्रिप्शन के बिना प्रसारित होता है। प्रोग्राम केवल DNS ट्रैफ़िक को एन्क्रिप्ट करता है।

निष्कर्ष के रूप में

लेख बहुत लंबा नहीं था, क्योंकि प्रोग्राम का उपयोग करना बहुत आसान है। लेकिन यह पूरा नहीं होगा अगर मैंने वीपीएन का उल्लेख नहीं किया। यदि आपने यह लेख पढ़ा है और इसमें रुचि रखते हैं, लेकिन आपने अभी तक अपने डेटा को एन्क्रिप्ट करने के लिए किसी वीपीएन प्रदाता की सेवाओं का उपयोग नहीं किया है, तो ऐसा करने का समय आ गया है।
वीपीएन प्रदाता आपको अपना डेटा स्थानांतरित करने के लिए एक सुरक्षित सुरंग प्रदान करेगा, और DNSCrypt आपके DNS कनेक्शन को सुरक्षित करेगा। बेशक, वीपीएन प्रदाताओं की सेवाओं का भुगतान किया जाता है, लेकिन आपको सुरक्षा के लिए भुगतान करना होगा, है ना?

बेशक, आप टोर का उपयोग कर सकते हैं, लेकिन टोर अपेक्षाकृत धीमी गति से काम करता है, और, कोई कुछ भी कहे, यह एक वीपीएन नहीं है - सभी ट्रैफ़िक को "टोरिफाई" करना संभव नहीं होगा। किसी भी स्थिति में (आप जो भी विकल्प चुनें), आपके DNS कनेक्शन अब सुरक्षित हैं। अब केवल ट्रैफ़िक को एन्क्रिप्ट करने के साधन पर निर्णय लेना बाकी है (यदि आपने पहले से ऐसा नहीं किया है)।

प्रोग्राम सर्वर की DNS प्रतिक्रियाओं को स्कैन करता है (यह पर्याप्त है, प्रतिक्रियाओं के अंदर प्रश्न हैं), और यदि डोमेन नाम नियमित अभिव्यक्ति से मेल खाता है, तो यह ए रिकॉर्ड से पता प्रिंट करता है (रिज़ॉल्यूशन के परिणामस्वरूप क्या प्राप्त हुआ था)।

इस उपयोगिता का उपयोग करके, आप लगभग सभी आँकड़े एकत्र कर सकते हैं - किस डोमेन नाम को आईपी पते में हल किया गया था, और यह कब हुआ। एक प्रशिक्षित उपयोगकर्ता, निश्चित रूप से, इस जानकारी को छिपा सकता है (मेजबान फ़ाइल में नोड लिखकर, या डीएनएस प्रश्नों के लिए किसी अन्य चैनल का उपयोग करके, उदाहरण के लिए), लेकिन अधिकांश नोड्स के लिए हमें एक संतोषजनक तस्वीर मिलेगी।

कैसे यह काम करता है:

$ sudo ./sidmat eth0 "।" आइयू
हम देखते हैं डोमेन नामऔर वे क्या संकल्प लेते हैं (eth0 वह इंटरफ़ेस है जिस पर DNS ट्रैफ़िक गुजरता है)।

$ sudo ./sidmat eth0 "।" आईयू | जबकि IFS=पढ़ें -r लाइन; do printf "%s\t%s\n" "$(date "+%Y-%m-%d %H:%M:%S")" "$line"; हो गया
हम समय तय करते हैं. जो कुछ बचा है वह परिणाम को एक फ़ाइल में पुनर्निर्देशित करना है, और आप पत्राचार तालिका का उपयोग कर सकते हैं। उपयोगिता pcap (Linux/BSD पर) या Linux पर nflog तंत्र का उपयोग करके DNS प्रतिक्रियाओं को कैप्चर कर सकती है।

इसी तकनीक का उपयोग यातायात को नियंत्रित करने के लिए किया जा सकता है। डोमेन द्वारा फ़िल्टर करें, डोमेन पते प्राप्त करें कीवर्डनामों आदि में

आपको यह ध्यान रखना होगा कि नियंत्रण बहुत सटीक नहीं हो सकता है। यदि जब तक DNS प्रतिक्रिया उपयोगकर्ता तक पहुंचती है और वह इस नोड पर ट्रैफ़िक संचारित करना शुरू कर देता है, हमारे पास पते को ipset/iptables/रूटिंग टेबल/कहीं और जोड़ने का समय नहीं है, तो ट्रैफ़िक "सामान्य" रास्ते पर चला जाएगा .

इसके अलावा, एक योग्य उपयोगकर्ता गलत डीएनएस प्रतिक्रियाएं उत्पन्न कर सकता है, जिसका अर्थ है कि प्रतिशोध के लिए सावधानी के साथ इसका उपयोग करना बेहतर है।

कुछ उदाहरण:

उन आईपी पतों की सूची कैसे प्राप्त करें जिन्हें vk.com और उसके उपडोमेन हल करते हैं? ("यू" विकल्प के बिना, केवल अद्वितीय आईपी पते मुद्रित किए जाएंगे)

$ sudo ./sidmat eth0 "^vk.com$|\.vk.com$" d
विकल्प "डी" या "आई" के साथ आप देख सकते हैं कि कौन सा डोमेन आईपी पते पर हल हो गया है, "डी" डोमेन नाम को stderr पर प्रिंट करता है।

उन पतों को कैसे ब्लॉक करें जो vk.com, उसके उपडोमेन और odnoklassniki शब्द वाले सभी डोमेन को अनुमति देते हैं? (avk.com जैसे डोमेन नियम के अंतर्गत नहीं आएंगे, odnoklassnikii.com आएंगे)।

$ sudo sh -c "/sidmat eth0 "^vk\.com$|\.vk\.com$|odnoklassniki" | /usr/bin/xargs -I() /sbin/iptables -A INPUT -s() - जे ड्रॉप"
छोटे नियमित अभिव्यक्तियों के अलावा, आप किसी फ़ाइल में सूचियों का उपयोग कर सकते हैं (विकल्प "एफ", दूसरे तर्क को फ़ाइल नाम के रूप में समझा जाता है, इसकी सामग्री को एक बड़े नियमित अभिव्यक्ति के रूप में समझा जाता है)। सूचियाँ काफी बड़ी हो सकती हैं, हमने आरकेएन डोमेन सूची पर प्रदर्शन को देखा (निषिद्ध डोमेन पर ट्रैफ़िक को वीपीएन पर पुनर्निर्देशित किया गया था), एक नियमित पीसी राउटर ने काफी शांति से इसका सामना किया।

आप साइट के विकास के लिए मदद कर सकते हैं और कुछ फंड ट्रांसफर कर सकते हैं

ऑपरेटिंग सिस्टम की स्थापना और अनुकूलन