Dnscrypt proxy - шифруем dns трафик для предотвращения mitm атаки • «cyber-x»

SimpleDNSCrypt

Simple DNSCrypt is an easy to use program for Windows that brings the functionality to Microsoft’s operating system. It is not the first program to do so, DNSCrypt Windows Service Manager was released in 2014, but it is a feature-rich solution but it is no longer in active development.

Simple DNSCrypt utilizes DNSCrypt Proxy which is also available for Windows and other operating systems.

The user interface is divided into several tabs.

Main Menu — lists configuration options, e.g. use of servers and available network cards.
Resolvers — lists the available DNS Resolvers and offers configuration options.
Advanced Settings — additional settings that change core functionality.
Query Log — A log that is disabled by default.

A click on the settings icon gives you options to add additional tabs to the program interface which you may use to blacklist and whitelist domains, and check the domain block log.

Activate the DNSCrypt Service after you have configured the options to your liking to get started with the application. Once you have done so, select the network cards that you want the service to run on.

This is the bare-minimum configuration to encrypt your DNS traffic. It is recommended that you go through the settings before you enable the server to make sure all is set up correctly.

Simple DNSCrypt lists IPv4 servers by default only and blocks IPv6-related queries. You enable IPv6 servers under main menu and unblock IPv6-related queries under Advanced Settings.

The program retries resolvers that support DNSSEC and don’t log or filter traffic by default. You can uncheck these options as well if you want but it is recommended that you don’t unless you run into issues.

Simple DNSCrypt runs in automatic mode by default. The service picks the fastest resolver from the list of available servers and uses it. You can switch that off under resolvers by selecting one or multiple resolvers from the list. This may take a bit of testing to make sure performance is fine.

The advanced settings give you more control over the service’s functionality. You can disable DNS caching there for instance. Simply put, if caching is enabled, Simple DNSCrypt tries to find the information in the cache before resolvers are used to look-up the information.

There is also an option to Force TCP, and to uninstall the Windows service.

Uninstallation worked without issues on several test systems.

Closing Words

Simple DNSCrypt is an easy to use program for Windows to protect DNS queries against man-in-the-middle attacks. One downside of the project is that you don’t have control over the resolvers. There is no option, at least none is in the UI, to add custom resolvers. This means, basically, that you have to trust at least one of the servers used.

Now You: Do you encrypt your DNS traffic?

Encryption and Strong Passwords
How to encrypt Windows 10 hard drives using BitLocker
How to Speed Up a slow loading website
ProtonMail Bridge: encrypted email for Outlook, Thunderbird, and other email clients
Quad9 DNS promises better privacy and security

Summary

Author Rating

4.5 based on 12 votes

Software Name
Simple DnsCrypt

Operating System
Windows

Software Category
Networking

Landing Page
https://github.com/bitbeans/SimpleDnsCrypt

Публичные сервера имён с поддержкой DNS через HTTPS

Чтобы использовать DNS через HTTPS сервер имён должен поддерживать эту технологию. В настоящее время публичные самые популярные DNS серверы её поддерживают. Их адреса для DoH или обычных DNS запросов одинаковые.

Провайдер	IP-адреса	Блокирование	Особенности
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001	нет	Конечная точка DNS поверх HTTPS.
Google Public DNS	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844	нет	Конечная точка DNS поверх HTTPS.
CleanBrowsing	185.228.168.168 185.228.169.168 2a0d:2a00:1:: 2a0d:2a00:2::	Взрослый контент.	Конечная точка DNS поверх HTTPS.
Adguard	176.103.130.130 176.103.130.131 2a00:5a60::ad1:0ff 2a00:5a60::ad2:0ff	Рекламный контент.	Конечная точка DNS поверх HTTPS.
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::9	Вредоносный контент.
OpenDNS	208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53	нет

Независимо от того, включаете вы DoH в браузерах или для всей системы, вы можете использовать любой DNS сервер из этого списка. Лично я предпочитаю DNS сервера от Google.

Как включить DNS через HTTPS (DoH) в веб-браузерах

Google Chrome

В Google Chrome в Windows уже включена опция DNS через HTTPS. Вы можете её проверить перейдя в «Настройки» → «Конфиденциальность и безопасность» → «Безопасность» → «Дополнительные» → «Использовать безопасный DNS сервер». Чтобы быстро найти эту настройку, введите в адресную строку «chrome://settings/security/» и пролистните в самый низ.

Вы можете выбрать из списка любой DNS сервер с поддержкой DoH или указать свой собственный.

На момент написания, в Google Chrome в Linux данная опция недоступна.

Firefox

Перейдите в Настройки → Основные. Пролистните в самый низ, чтобы найти кнопку «Параметры сети, Настроить».

Поставьте галочку «Включить DNS через HTTPS» и выберите провайдера из списка или введите свой IP адрес:

Opera

Перейдите в настройки (шестерёнка внизу левого сайдбара или кнопка «Простые настройки» → «Открыть все настройки браузера»).

Затем перейдите в «Дополнительно» → «Система».

Включите галочку «Использовать DNS поверх HTTPS вместо системных настроек DNS» и выберите желаемый DNS сервер.

Microsoft Edge

На момент написания предустановленный по умолчанию Internet Explorer (Microsoft Edge) вовсе не знает про DNS через HTTPS. Если скачать последнюю версию Microsoft Edge, то там эту настройку можно включить с помощью флага.

Введите в адресную строку edge://flags#dns-over-https

Включите экспериментальный флаг и перезапустите веб-браузер.

Эммм… вроде как нужно бы ещё ввести настройки DNS сервера, но я не нашёл, где это сделать в Microsoft Edge. Да и кому дело до Microsoft Edge — кто им вообще пользуется?!

Отключить DNSCrypt

DNSCrypt — это приятный небольшой инструмент, который позволяет пользователям скрывать свои DNS-запросы, повышать безопасность и предотвращать подмену DNS. Тем не менее, как бы хорошо это ни было, если вы обнаружите, что это не для вас (по какой-либо причине), вы можете отключить его.

Благодаря системе systemd init в Linux, DNSCrypt, пользователи могут запускать и останавливать ее в любое время, даже не удаляя ее! Для этого откройте терминал и получите корневую оболочку.

sudo -s

С помощью корневой оболочки вы можете свободно манипулировать служебными файлами DNSCrypt. Чтобы остановить это, выполните следующую команду:

sudo systemctl stop dnscrypt-proxy.service

Чтобы полностью отключить его и предотвратить его запуск при запуске, выполните следующие действия:

sudo systemctl disable dnscrypt-proxy.service

Отключить DNSCrypt

sudo -s

sudo systemctl stop dnscrypt-proxy.service

Чтобы полностью отключить его и предотвратить запуск при запуске, выполните следующие действия:

sudo systemctl disable dnscrypt-proxy.service

Скрещивание с TLS

Положительный момент в том, что Stubby допускает конфигурации с использованием нескольких служб на основе DNS по TLS. Файл конфигурации на YAML позволяет настроить несколько служб IPv4 и IPv6 и включает в себя настройки для SURFNet, Quad9 и других сервисов. Однако реализация YAML, используемая Stubby, чувствительна к пробелам, поэтому будьте осторожны при добавлении новой службы (например, Cloudflare). Сначала я использовал табы — и всё поломал.

— address_data: 1.1.1.1
tls_auth_name: «cloudflare-dns.com»
tls_pubkey_pinset:
— digest: «sha256»
value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
— address_data: 1.0.0.1
tls_auth_name: «cloudflare-dns.com»
tls_pubkey_pinset:
— digest: «sha256»
value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=

После установления TCP-соединения клиента с сервером через порт 853 сервер представляет свой сертификат, а клиент сверяет его с хэшем. Если всё в порядке, то клиент и сервер производят рукопожатие TLS, обмениваются ключами и запускают зашифрованный сеанс связи. С этого момента данные в зашифрованной сессии следуют тем же правилам, что и в DNS по TCP.

После успешного запуска Stubby я изменил сетевые настройки сети DNS, чтобы направлять запросы на 127.0.0.1 (localhost). Сниффер Wireshark хорошо показывает этот момент переключения, когда трафик DNS становится невидимым.

Хотя DNS по TLS может работать как DNS по TCP, но шифрование TLS немного сказывается на производительности. Запросы dig к Cloudflare через Stubby у меня выполнялись в среднем около 50 миллисекунд (у вас результат может отличаться), в то время как простые DNS-запросы к Cloudflare получают ответ менее чем за 20 мс.

Здесь тоже имеется проблема с управлением сертификатами. Если провайдер удалит сертификат и начнёт использовать новый, то в настоящее время нет чистого способа обновления данных SPKI на клиентах, кроме вырезания старого и вставки нового сертификата в файл конфигурации. Прежде чем с этим разберутся, было бы полезно использовать какую-то схему управления ключами. И поскольку сервис работает на редком порту 853, то с высокой вероятностью DNS по TLS могут заблокировать на файрволе.

Но это не проблема для лидера нашего хит-парада — DNS по HTTPS. Он проходит через большинство файрволов, словно тех не существует.

Google и Cloudflare, похоже, одинаково видят будущее зашифрованного DNS

Простой DnsCrypt

Простой DNSCrypt, инструмент от команда OpenDNS помогает повысить вашу безопасность в Интернете за счет шифрования трафика DNS, тем самым затрудняя проникновение подделок. Он блокирует утечку VPN и плохо настроенный DNS. Помимо повышения вашей безопасности в Интернете, программное обеспечение также исправляет неверно введенные URL-адреса и ускоряет просмотр.

Читать: Что такое отравление и подмена кеша DNS

Основной обзор, показывающий первичный преобразователь и вторичный преобразователь, не перегружен и прост с современным интерфейсом. Несмотря на то, что это простой инструмент с удобным интерфейсом и минимальными настройками конфигурации, для его использования все же необходимы некоторые знания в области сетевой безопасности и базовые навыки работы с компьютером.

Включите первичный преобразователь для шифрования вашего DNS-трафика, и если вы хотите получить дополнительный уровень безопасности, переключитесь на вторичный преобразователь. Вам просто нужно выбрать нужный сервер из комбинированного меню, чтобы настроить здесь каждый из преобразователей. Все ваши сетевые адаптеры отображаются на верхней панели основного обзора программы. Вы можете включить первичный или вторичный преобразователи, нажав кнопки в нижней части основного обзора.

Читать: Что такое DNS Hijacking и как его предотвратить.

Simple DNSCrypt также имеет диспетчер плагинов, с помощью которого вы можете управлять своими плагинами:

Ускорьте работу при отсутствии плагина IPv6 отключено ожидание, если соединение IPv6 недоступно в вашей сети, это еще больше улучшает ваш опыт просмотра веб-страниц.
логирование плагин поможет вам создать журнал DNS-запросов, полученных прокси-сервером, и сохранить их в локальном файле на вашем ПК.
Блокировать адреса и домен плагин возвращает ответ ОТКАЗ на все домены и IP-адреса из черного списка.

В целом Simple DNSCrypt — полезное приложение для компьютерных специалистов, которые хотят зашифровать свой DNS-трафик и повысить безопасность своего домена. Приложение, несомненно, имеет современный интерфейс, но требует определенных навыков работы с компьютером.

Вы можете скачать это Вот и получите безопасный DNS.

Загрузите PC Repair Tool, чтобы быстро находить и автоматически исправлять ошибки Windows

Также обратите внимание на DNSCrypt, еще один бесплатный инструмент для шифрования данных с компьютера в DNS

Обзор Simple DNSCrypt

Стильный пользовательский интерфейс

Установка программы в систему выполняется без особых усилий, так как дополнительная конфигурация не требуется. Благодаря понятному, дружественному интерфейсу и полезным встроенным функциям, Вы сможете удобно использовать все возможности приложения.

Тем не менее, желательно обладать продвинутыми навыками работы с компьютером и пониманием принципов сетевой безопасности, чтобы извлечь максимальную пользу от встроенного функционала.

Двухуровневое шифрование

Simple DNSCrypt позволяет зашифровывать DNS трафик, улучшая приватность и безопасность и предотвращая любые попытки прослушивания соединения.

Защита достигается за счет использования первичного преобразователя, и при необходимости пользователь может настроить вторичный преобразователь, что улучшит общий уровень безопасности. Таким образом, приложение обеспечивает двухуровневое шифрование.

Настройка преобразователей выполняется за счет выбора подходящих серверов из списка согласно вашим предпочтениям.

Включает менеджер дополнений

Доступ к разделу расширенных настроек (Advanced Settings) позволят настраивать различные параметры, например, переключать модуль глобального преобразователя, включать TCP поверх UDP для снижения скорости и получать доступ к менеджеру дополнений.

Менеджер дополнений позволяет отключать ожидание ответов для потока адресов IPv6, что позволяет ускорить серфинг в браузере. Также можно активировать регистрацию отправляемых на DNS-сервер запросов и сохранять их в локальный файл.

Системные требования

Требуется Microsoft .NET 4.6.2 и выше

Требуется Microsoft Visual C++ Redistributable for Visual Studio 2017

Заключение

В общем, Simple DNSCrypt — полезное приложение, которое позволяет зашифровывать DNS-трафик, предотвращая попытки нарушения безопасности и несанкционированного доступа к персональным данным. Программа поставляется с привлекательным интуитивным интерфейсом и удобным конфигурационным меню.

Протокол

DNSCrypt можно использовать как через UDP, так и через TCP . В обоих случаях его порт по умолчанию — 443 . Несмотря на то, что протокол радикально отличается от HTTPS , оба типа служб используют один и тот же порт . Однако, хотя DNS через HTTPS и DNSCrypt возможны на одном и том же порте, они все равно должны работать отдельно на разных серверах. Два серверных приложения не могут работать одновременно на одном сервере, если оба используют один и тот же порт для связи; хотя теоретически возможен подход с мультиплексированием.

Вместо того, чтобы полагаться на доверенные центры сертификации, которые обычно встречаются в веб-браузерах, клиент должен явно доверять общедоступному ключу подписи выбранного поставщика. Этот открытый ключ используется для проверки набора сертификатов, полученных с помощью обычных DNS-запросов. Эти сертификаты содержат краткосрочные открытые ключи, используемые для обмена ключами, а также идентификатор используемого набора шифров. Клиентам рекомендуется генерировать новый ключ для каждого запроса, а серверам рекомендуется менять краткосрочные пары ключей каждые 24 часа.

Протокол DNSCrypt также можно использовать для контроля доступа или учета, принимая только предопределенный набор открытых ключей. Это может использоваться коммерческими службами DNS для идентификации клиентов без необходимости полагаться на IP-адреса.

Запросы и ответы шифруются с использованием того же алгоритма и дополняются до кратного 64 байта, чтобы избежать утечки размеров пакетов. По UDP, когда ответ будет больше, чем вопрос, ведущий к нему, сервер может ответить коротким пакетом, для которого установлен бит TC (усеченный). Затем клиент должен повторить попытку использования TCP и увеличить заполнение последующих запросов.

Версии 1 и 2 протокола используют алгоритм X25519 для обмена ключами, EdDSA для подписей, а также X Salsa20 — Poly1305 или X ChaCha20 -Poly1305 для аутентифицированного шифрования.

По состоянию на 2020 год в протоколе DNSCrypt нет известных уязвимостей или практических атак на лежащие в его основе криптографические конструкции.

Анонимный DNSCrypt

Анонимизированный DNSCrypt — это расширение протокола, предложенное в 2019 году для дальнейшего улучшения конфиденциальности DNS.

Вместо того, чтобы напрямую отвечать клиентам, преобразователь может действовать как прозрачный прокси для другого преобразователя, скрывая для последнего реальный IP-адрес клиента. Анонимизированный DNSCrypt — это легкая альтернатива прокси Tor и SOCKS, специально разработанная для трафика DNS.

Развертывание анонимизированного DNSCrypt началось в октябре 2019 года, и принятие протокола было быстрым: всего через две недели после публичной доступности клиентских и серверных реализаций было установлено 40 DNS-реле.

Simple DNSCrypt

Simple DNSCrypt позволяет легко и просто изменить настройки сетевой карты так, чтобы все запросы шли к DNS серверам с поддержкой DNSSEC. Эта технология позволяет избежать подмены IP-адресов. Как бонус, будут использоваться только уважающие приватность серверы имён, т.е. не сохраняющие обращения пользователей.

Программа ставится просто. Главное правильно выбрать 32- или 64-битную версию, смотря какой разрядности у вас Windows. Разрядность можно посмотреть в Панели управления — Система (в Windows 10 — Параметры — Система — О программе).

После установки и запуска с ярлыка на Рабочем столе настройки менять не нужно. Просто нажмите кнопку «Применить».

Вы увидите, что переключатель пункта «Служба DNSCrypt» установится в зелёное положение «Вкл». Значит, в Windows запустилась новая служба, суть которой — выступать прокси-сервером всех DNS-запросов, перенаправляя их на безопасные сервера (их список есть на вкладке «Резольверы», там ничего трогать не надо).

После нужно лишь щёлкнуть мышью по всем сетевым картам, видимым в нижней части окна, чтобы на них появилась галочка справа вверху.

На этом всё!
Защита запросов заработает сразу. Программа будет работать сама по себе.

Если вы продвинутый пользователь и хотите проверить, работает ли DNSCrypt на вашем компьютере, откройте свойства протокола TCP/IPv4 сетевого соединения. DNS-сервер должен быть локальный — 127.0.0.1.

Если при использовании сервера имён 127.0.0.1 сайты открываются — утилита dnscrypt-proxy работает, никто ваши запросы не пишет и провайдер запросы не отслеживает.

Удаляется
программа, как и все остальные — через Панель управления.

Проблемы?

unbound-control error: connect: Connection refused

Если не изменялась конфигурация по умолчанию, то всё должно быть в порядке, а если же в директории /etc/unbound/unbound.conf.d/ были созданы дополнительные конфигурационные файлы, то при использовании unbound-control возможны такие вот проблемы:

# systemctl restart unbound
# unbound-control reload
ok
# unbound-control reload
1446250350 unbound-control25955: debug: address 127.0.0.1 port 8953
1446250350 unbound-control25955: error: connect: Connection refused
--- или ---
# systemctl restart unbound
# unbound-control reload
ok
# unbound-control stats
1446250350 unbound-control25955: debug: address 127.0.0.1 port 8953
1446250350 unbound-control25955: error: connect: Connection refused

В любом случае после первого выполнения unbound-control reload ДНС-ресолвер перестаёт отвечать и требуется перезапуск .

Где проблема, в самом unbound (но нет же, запускается/перезапускается успешно) или в unbound-control, можно только гадать? Короче, чтобы избежать этих проблем (версия unbound 1.4.22), конфигурационный файл должен быть один с одной секцией

Unbound не пишет в unbound.log

По умолчанию Unbound пишет в syslog, однако есть возможность писать события в отдельный файл журнала — в unbound.log. Для этого директива «» должна быть установлена в «no» и при этом файл указанный в «» должен физически присутствовать на диске, владельцем которого должен быть unbound:

# touch /etc/unbound/unbound.log
# chown unbound:unbound /etc/unbound/unbound.log
 
# vi /etc/unbound/unbound.conf
server:
  logfile: "/etc/unbound/unbound.log"

Проблемы с forwarding-ом DNS-запросов

Если Unbound продолжает перенаправлять запросы на сторонние сервера, а не на те что мы указали в «forward-zone:», тогда открываем /etc/default/unbound, доводим его до следующей ниже кондиции и перезапускаем Unbound:

# vi /etc/default/unbound
 
# If set, resolvconf nameservers will be configured as forwarders
# to be used by unbound.
RESOLVCONF_FORWARDERS=false
 
DAEMON_OPTS="-c /etc/unbound/unbound.conf"

DNSSEC Validator браузера Firefox пишет о неправильном IP

DNSSEC/TLSA Validator браузера Firefox иногда может выдавать ложную тревогу о том, что IP-адрес полученный браузером не совпадает с тем, который был получен расширением, как на скриншоте ниже:

На скриншоте говорится о том, что IP-адрес 150.203.164.38 полученный браузером не совпадает с IP 5.153.231.4/130.89.148.14, что даёт основания подозревать попытку атаки «DNS spoofing». Проверим:

$ nslookup debian.org
Server:    127.0.0.1
Address:  127.0.0.1#53
 
Non-authoritative answer:
Name:  debian.org
Address: 5.153.231.4
Name:  debian.org
Address: 128.31.0.62
Name:  debian.org
Address: 130.89.148.14
Name:  debian.org
Address: 140.211.15.34
Name:  debian.org
Address: 150.203.164.38
Name:  debian.org
Address: 200.17.202.197
 
$ nslookup debian.org 8.8.8.8
Server:    8.8.8.8
Address:  8.8.8.8#53
 
Non-authoritative answer:
Name:  debian.org
Address: 130.89.148.14
Name:  debian.org
Address: 140.211.15.34
Name:  debian.org
Address: 150.203.164.38
Name:  debian.org
Address: 200.17.202.197
Name:  debian.org
Address: 5.153.231.4
Name:  debian.org
Address: 128.31.0.62

Видим, что (запрос через наш локальный ДНС-ресолвер) и (запрос через ДНС-ресолвер гугла) выдаёт одинаковый список IP-адресов, а это значит, что DNSSEC/TLSA Validator браузера Firefox выдал ложную тревогу.

По умолчанию DNSSEC/TLSA Validator браузера Firefox настроен (Инструменты — Дополнения — Расширения — DNSSEC/TLSA Validator — Настройки) как «Without resolver» и использует «DANE протокол» для проверки DNSSEC для домена. Потому как при наличии нескольких А записей для домена они выдаются динамически, то вполне вероятно что ложная тревога обусловлена несогласованностью между результатами запроса локального ресолвера и самого расширения.

Решить эту проблему можно установив в настройках расширения «Resolver settings» вариант «Custom:» и IP ресолвера «127.0.0.1«, далее нажать «Test current settings» на что должны получить «Success — current settings allow DNSSEC validation.«.

Как защититься от утечки VPN-трафика

Если у вас оборвется VPN, вы этого не заметите, если только вдруг в голову вам не придет идея проверить используемый в данный момент IP-адрес. Что делать? Использовать специальные утилиты, ведущие наблюдение за соединением и разрывающими его принудительно, если VPN внезапно отвалится.

VPNCheck

Приложение для контроля над VPN-соединением. Бесплатная версия поддерживает мониторинг VPN PPTP, позволяет автоматически завершать работу программ, использующих туннельное соединение. Базовая настройка инструмента не представляет сложности. Нужно запустить утилиту, нажать Config -> Add file и добавить программу, которую собираетесь контролировать. Также необходимо заполнить поля «Login info», указав имя вашего VPN-соединения и используемый для него логин и пароль. По умолчанию в настройках выставлено завершение работы контролируемой программы, но вы можете включить ее перезапуск (чекбокс Autorun).

VPN Watcher

Еще одна утилита для наблюдения за VPN-соединением. Работает по тому же принципу, что и VPNCheck. Через меню «File» добавляем контролируемую программу, выбираем VPN и включаем мониторинг. Если вдруг произойдет отключение VPN, утилита принудительно разорвет соединение. Есть платная и бесплатная версия. Последняя позволяет добавлять в список контролируемых программ только одно приложение.

Скрипт VPN Kill Switch

Принудительно завершить соединение можно также с помощью BAT-скрипта VPN Kill Switch от LiquidVPN, бесплатно распространяемого в интернете. Всё, что требуется от пользователя, это запустить этот скрипт после подключения к VPN, вести в командной строке 1 и нажать ввод. Если вдруг соединение VPN оборвется, скрипт тут же удалит IP-адрес шлюза по умолчанию в настройках сетевой карты, в результате интернет будет полностью отключен. Чтобы восстановить исходные сетевые настройки, потребуется запустить скрипт повторно, ввести в консоли 2 и нажать ввод.

Настраиваем резолвер DNS

Для редактирования конфигурационного файла “stubby.yml” воспользуемся текстовым редактором Nano, о котором вы можете прочитать в данной статье. И так, для редактирования файла “stubby.yml” переходим в терминал и вводим команду:

Далее, нам необходимо найти строку “DEFAULT UPSTREAMS” и закомментировать резолверы которые идут по умолчанию:

Далее спускаемся до строки “OPTIONAL UPSTREAMS” и в ней раскомментируем необходимый нам резольвер, в нашем же случае это DNS от Cloudflare. Cloudflare предоставляет пользователям DNS на адресах 1.1.1.1 и 1.0.0.1 для сетей с IPv4 и 2606:4700:4700::1111 и 2606:4700:4700::1001 для сетей с IPv6. Их то мы и раскомментируем:

Вы же можете выбрать что то иное из списка, либо, добавить свой сервер DNS, для этого достаточно вписать примерно следующую конфигурацию:

Давайте поясню, вместо “Name” вам необходимо вписать имя вашего сервера, далее, вместо “8.8.8.8” вписываете ваш ip адрес сервера. После чего сохраняете отредактированный файл сочетанием клавиш “ctrl + o” и выходите из редактора Nano сочетанием клавиш “ctrl +x”.

Развертывание

dnscrypt-proxy, клиент DNSCrypt, работающий в Linux

Помимо частных развертываний, протокол DNSCrypt был принят несколькими общедоступными преобразователями DNS, подавляющее большинство которых являются членами сети OpenNIC , а также службами виртуальной частной сети (VPN).

OpenDNS (теперь часть Cisco ) анонсировала первую общедоступную службу DNS, поддерживающую DNSCrypt, 6 декабря 2011 года, вскоре за ней последовала CloudNS Australia.

29 марта 2016 года Яндекс объявил о поддержке протокола DNSCrypt на своих публичных DNS-серверах, а также в Яндекс-браузере .

14 октября 2016 года AdGuard добавил DNSCrypt в свой модуль фильтрации DNS, чтобы пользователи могли переходить со своих интернет-провайдеров на собственные или собственные DNS-серверы AdGuard для обеспечения конфиденциальности в Интернете и блокировки рекламы .

10 сентября 2018 г. некоммерческая общедоступная служба рекурсивного преобразователя Quad9 объявила о поддержке DNSCrypt.

Другие серверы, поддерживающие безопасный протокол, упоминаются в списке создателей DNSCrypt.

Почему вы должны защитить свой DNS

Поскольку DNS является основой Интернета , это глобальная база данных, используемая каждым приложением, взаимодействующим по сети.

Однако это также протокол, разработанный без механизмов безопасности, таких как шифрование, аутентификация или защита от изменений, что делает его уязвимым для атак. Без защиты DNS-запросов они подвержены перехвату.

Результат этого может повлиять на безопасность и конфиденциальность , поскольку он не только облегчает перехват онлайновой активности , которая может включать доступ к личным учетным записям и информации, но и ложные ответы DNS могут спровоцировать распространение вредоносных программ и многое другое.

DNS Cache Snooping – это имя, данное наиболее распространенному типу DNS-атаки, и включает в себя IP-адрес шлюза, вводимый в запрос для перенаправления трафика на альтернативный веб-сайт, а не на подлинный, предполагаемый.