Τι είναι το DNScrypt

Contents

Τι είναι το DNScrypt

Modern Open Router Firmwares όπως η ντομάτα Shibby και άλλες παραλλαγές ντομάτας περιλαμβάνουν ένα DNScrypt Client Out-of-the Box. Ο πελάτης DNScrypt-Proxy είναι επίσης διαθέσιμος στο OpenWRT, το οποίο διαθέτει σελίδα wiki σχετικά με τη χρήση DNScrypt στο OpenWRT. Το DNScrypt-Proxy μπορεί επίσης να βρεθεί στο entware. Μπορεί επίσης να καταρτιστεί για οποιονδήποτε στόχο που βασίζεται στο Linux, εκτελώντας ένα CPU που βασίζεται στο Linux.

Κρυπτογράφηση

Το DNS είναι ένα από τα θεμελιώδη δομικά στοιχεία του Διαδικτύου. Χρησιμοποιείται κάθε φορά που επισκέπτεστε έναν ιστότοπο, στείλτε ένα email, έχετε μια συνομιλία ή κάνετε οτιδήποτε άλλο online. Ενώ η Opendns έχει παράσχει ασφάλεια παγκόσμιας κλάσης χρησιμοποιώντας DNS εδώ και χρόνια και η Opendns είναι η πιο ασφαλής διαθέσιμη υπηρεσία DNS, το υποκείμενο πρωτόκολλο DNS δεν ήταν αρκετά ασφαλές για την άνεσή μας. Πολλοί θα θυμούνται την ευπάθεια Kaminsky, η οποία επηρέασε σχεδόν κάθε εφαρμογή DNS στον κόσμο (αν και όχι Opendns).

Τούτου λεχθέντος, η κατηγορία των προβλημάτων που σχετίζεται με την ευπάθεια Kaminsky ήταν αποτέλεσμα ορισμένων από τα υποκείμενα θεμέλια του πρωτοκόλλου DNS που είναι εγγενώς αδύναμες – ιδιαίτερα στο “τελευταίο μίλι.Το “The” Last Mile “είναι το τμήμα της σύνδεσης στο διαδίκτυο μεταξύ του υπολογιστή σας και του ISP σας. Το DNScrypt είναι ο τρόπος εξασφάλισης του “τελευταίου μιλίου” της κυκλοφορίας DNS και της επίλυσης (χωρίς λογοπαίγνιο) μια ολόκληρη κατηγορία σοβαρών ανησυχιών για την ασφάλεια με το πρωτόκολλο DNS. Καθώς η συνδεσιμότητα του διαδικτύου στον κόσμο γίνεται όλο και πιο κινητό και όλο και περισσότεροι άνθρωποι συνδέονται με διάφορα διαφορετικά δίκτυα WiFi σε μια μέρα, η ανάγκη για λύση είναι η τοποθέτηση.

Υπήρξαν πολλά παραδείγματα παραβίασης ή επιθέσεων από τον άνθρωπο-σε-μεσαία και την εκτόξευση της κυκλοφορίας DNS στο τελευταίο μίλι και αντιπροσωπεύει έναν σοβαρό κίνδυνο ασφάλειας που πάντα θέλαμε να διορθώσουμε. Σήμερα μπορούμε.

Γιατί το dnScrypt είναι τόσο σημαντικό

Με τον ίδιο τρόπο το SSL μετατρέπει την κυκλοφορία ιστού HTTP σε κρυπτογραφημένη κυκλοφορία Web HTTPS, η DNScrypt μετατρέπει την κανονική κυκλοφορία DNS σε κρυπτογραφημένη κυκλοφορία DNS που είναι ασφαλής από τις επιθέσεις και τις επιθέσεις Man-in-the Middle. Δεν απαιτεί αλλαγές στα ονόματα τομέα ή πώς λειτουργούν, παρέχει απλώς μια μέθοδο για την ασφαλή κρυπτογράφηση της επικοινωνίας μεταξύ των πελατών μας και των διακομιστών DNS στα κέντρα δεδομένων μας. Γνωρίζουμε ότι οι ισχυρισμοί από μόνοι τους δεν λειτουργούν στον κόσμο ασφαλείας, ωστόσο, έτσι έχουμε ανοίξει την πηγή στη βάση κώδικα DNScrypt και είναι διαθέσιμη στο GitHub.

Το DNSCRYPT έχει τη δυνατότητα να είναι η πιο επιθετική πρόοδο στην ασφάλεια του Διαδικτύου από την SSL, βελτιώνοντας σημαντικά την ασφάλεια και την ιδιωτική ζωή κάθε χρήστη του Διαδικτύου.

Σημείωση: Ψάχνετε για κακόβουλο λογισμικό, botnet και προστασία phishing για φορητούς υπολογιστές ή συσκευές iOS? Ελέγξτε την ομπρέλα κινητικότητα από την Opendns.

Κατεβάστε τώρα:

Συχνές ερωτήσεις (FAQ):

1. Σε απλά αγγλικά, τι είναι DNScrypt?

Το DNScrypt είναι ένα κομμάτι ελαφρύ λογισμικό που όλοι πρέπει να χρησιμοποιήσουν για να ενισχύσουν την ιδιωτική ζωή και την ασφάλεια στο διαδίκτυο. Λειτουργεί με την κρυπτογράφηση όλων των κυκλοφορίας DNS μεταξύ του χρήστη και των Opendns, αποτρέποντας οποιαδήποτε κατασκοπεία, πλαστογράφηση ή επιθέσεις άνδρα σε μεσαίες.

2. Πώς μπορώ να χρησιμοποιήσω το DNScrypt σήμερα?

Έχουμε ανοίξει την πηγή στη βάση κρυπτογράφησης DNScrypt και είναι διαθέσιμη στο GitHub. Οι γραφικές διεπαφές δεν βρίσκονται πλέον σε εξέλιξη. Ωστόσο, η κοινότητα ανοιχτού κώδικα εξακολουθεί να παρέχει ανεπίσημες ενημερώσεις στην τεχνική προεπισκόπηση.

Συμβουλές:
Εάν έχετε ένα τείχος προστασίας ή άλλο middleware mangling τα πακέτα σας, θα πρέπει να προσπαθήσετε να ενεργοποιήσετε το DNScrypt με TCP πάνω από τη θύρα 443. Αυτό θα κάνει τα περισσότερα τείχη προστασίας να πιστεύουν ότι είναι η κυκλοφορία HTTPS και θα το αφήσει μόνη της.

Εάν προτιμάτε την αξιοπιστία έναντι της ασφάλειας, ενεργοποιήστε το fallback στο ανασφαλές DNS. Εάν δεν μπορείτε να φτάσετε μαζί μας, θα προσπαθήσουμε να χρησιμοποιήσουμε τους διακομιστές DHCP-assigned ή προηγουμένως διαμορφωμένους διακομιστές DNS. Αυτός είναι όμως ένας κίνδυνος ασφαλείας.

3. Τι γίνεται με το DNSSEC? Αυτό εξαλείφει την ανάγκη για DNScrypt?

Οχι. Το DNScrypt και το DNSSEC είναι συμπληρωματικοί. Το DNSSEC κάνει πολλά πράγματα. Πρώτον, παρέχει έλεγχο ταυτότητας. (Είναι το αρχείο DNS που λαμβάνω μια απάντηση για να προέρχομαι από τον ιδιοκτήτη του ονόματος τομέα που ρωτώ ή έχει παραβιαστεί με?) Δεύτερον, το DNSSEC παρέχει μια αλυσίδα εμπιστοσύνης για να βοηθήσει στη δημιουργία εμπιστοσύνης ότι οι απαντήσεις που λαμβάνετε είναι επαληθεύσιμες. Αλλά δυστυχώς, το DNSSEC δεν παρέχει στην πραγματικότητα κρυπτογράφηση για τα αρχεία DNS, ακόμη και εκείνα που υπογράφονται από το DNSSEC. Ακόμη και αν όλοι στον κόσμο χρησιμοποίησαν το DNSSEC, η ανάγκη να κρυπτογραφήσει όλες τις κυκλοφοριακές DNS δεν θα πάει μακριά. Επιπλέον, το DNSSEC αντιπροσωπεύει σήμερα ένα σχεδόν μηδενικό ποσοστό των συνολικών ονομάτων τομέα και ένα όλο και μικρότερο ποσοστό των αρχείων DNS κάθε μέρα καθώς το Διαδίκτυο μεγαλώνει.

Τούτου λεχθέντος, η DNSSEC και η DNScrypt μπορούν να λειτουργήσουν τέλεια μαζί. Δεν είναι αντιφατικοί με κανέναν τρόπο. Σκεφτείτε το DNScrypt ως περιτύλιγμα γύρω από όλα τα DNS Traffic και DNSSEC ως τρόπο υπογραφής και παροχής επικύρωσης για ένα υποσύνολο αυτών των αρχείων. Υπάρχουν οφέλη για το DNSSEC ότι η DNSCRYPT δεν προσπαθεί να αντιμετωπίσει. Στην πραγματικότητα, ελπίζουμε ότι η υιοθέτηση DNSSEC θα αυξηθεί έτσι ώστε οι άνθρωποι να έχουν μεγαλύτερη εμπιστοσύνη σε ολόκληρη την υποδομή DNS, όχι μόνο τη σχέση μεταξύ των πελατών μας και των Opendns.

  Μπορείτε να χρησιμοποιήσετε ένα VPN με Ethernet

4. Είναι αυτό χρησιμοποιώντας SSL? Τι είναι η κρυπτογράφηση και ποιο είναι το σχέδιο?

Δεν χρησιμοποιούμε SSL. Ενώ κάνουμε την αναλογία ότι η DNSCRYPT είναι σαν το SSL στο ότι περιτυλίγει την κυκλοφορία DNS με κρυπτογράφηση με τον ίδιο τρόπο που το SSL περιτυλίγει όλη την κυκλοφορία HTTP, δεν είναι η βιβλιοθήκη κρυπτογράφησης που χρησιμοποιείται. Χρησιμοποιούμε κρυπτογραφία ελλειπτικής καμπύλης, ιδιαίτερα την καμπύλη Curve25519 Elliptic Curve. Οι στόχοι σχεδιασμού είναι παρόμοιοι με εκείνους που περιγράφονται στο σχεδιασμό DNSCURVE FORMARET.

Κρυπτογράφηση

Το DNSCRYPT είναι ένα πρωτόκολλο που επικυρώνει τις επικοινωνίες μεταξύ ενός πελάτη DNS και ενός διαλυτή DNS. Αποτρέπει την πλαστογράφηση DNS. Χρησιμοποιεί κρυπτογραφικές υπογραφές για να επαληθεύσει ότι οι απαντήσεις προέρχονται από τον επιλεγμένο διαλυτή DNS και δεν έχουν παραβιαστεί.

Είναι μια ανοικτή προδιαγραφή, με δωρεάν υλοποιήσεις αναφοράς και ανοικτού κώδικα, και δεν είναι συνδεδεμένη με καμία εταιρεία ούτε οργανισμό.

Δωρεάν, οι διαλυτές με δυνατότητα DNScrypt είναι διαθέσιμοι σε όλο τον κόσμο

Οι εταιρείες, οι οργανώσεις και τα άτομα του ζευγαριού λειτουργούν δημόσιους αναδρομικούς διακομιστές DNS που υποστηρίζουν το πρωτόκολλο DNScrypt, έτσι ώστε το μόνο που πρέπει να εκτελέσετε είναι πελάτης.

Μια συνεχώς ενημερωμένη λίστα με ανοικτές διαλυτές DNScrypt μπορεί να μεταφορτωθεί για να αντικαταστήσει το προεπιλεγμένο αρχείο CSV που αποστέλλεται με τον πελάτη DNScrypt-Proxy.

Εάν εκτελείτε το δικό σας δημόσιο διαλυτή DNS, προκειμένου να σας βοηθήσει να κάνετε το Διαδίκτυο πιο ασφαλές μέρος, υποβάλετε ένα αίτημα έλξης για να προστεθεί ο διαλυτής σας στη λίστα των δημόσιων DNS Resolvers.

Εγκατάσταση πελάτη DNScrypt

Το ίδιο το DNScrypt δεν είναι προϊόν, αλλά ένα πρωτόκολλο που μπορεί να εφαρμόσει ο καθένας. Οι φορητές εφαρμογές είναι επίσης διαθέσιμες, στην κορυφή στην οποία έχουν κατασκευαστεί γραφικές διεπαφές χρήστη και βολικά εργαλεία.

Επιλέξτε την πλατφόρμα σας για να ανακαλύψετε μερικές από τις διαθέσιμες επιλογές: Windows – MacOS – Linux / BSD – Android – iOS ή εκτελέστε το λογισμικό σε δρομολογητή.

Ρύθμιση τείχους προστασίας: Παρόλο που ορισμένοι διαλυτές μπορεί να προτιμούν μια διαφορετική θύρα, η προεπιλεγμένη θύρα που χρησιμοποιείται από το πρωτόκολλο DNSCRYPT είναι 443. Τα εξερχόμενα ερωτήματα σε αυτήν τη θύρα τόσο στο TCP όσο και στο UDP θα πρέπει να επιτρέπονται από το τείχος προστασίας σας.

Μαρτυρίες

“Το DNScrypt είναι ένα πολύ ασφαλές πρωτόκολλο που βοηθά στην οικοδόμηση ενός ασφαλέστερου ιστού” (James Awland – Bestcasino.συνεργάτης.Ηνωμένο Βασίλειο)

“Κατά τη δοκιμή, βρήκαμε το DNScrypt να είναι απίστευτα σταθερό και ενθαρρύνουμε τη χρήση του” (Cisco)

“Συνιστούμε ανεπιφύλακτα το DNScrypt σε όσους θέλουν να έχουν πρόσβαση στους καλύτερους νέους ιστότοπους χαρτοπαικτικών λεσχών” (Aidan Howe – BestCasinosites.καθαρά)

DNScrypt για Windows

  • Το Simple DNScrypt είναι ένας all-in-one, εύχρηστος, αυτόνομος πελάτης.
  • Το DNScrypt WinClient είναι το αρχικό περιβάλλον χρήστη DNScrypt για Windows.
  • Το DNScrypt-Proxy είναι η εφαρμογή του πελάτη αναφοράς και λειτουργεί εγγενώς στα Windows, από τα Windows XP στα Windows 10. Τρέχει ως υπηρεσία και δεν παρέχει γραφικό περιβάλλον χρήστη. Η εγκατάσταση και η διαμόρφωσή του απαιτούν εντολές πληκτρολόγησης. Αυτό παραμένει μια εξαιρετική επιλογή για προηγμένους χρήστες.

Σπουδαίος: Γνωρίζουμε τα ψεύτικα πακέτα που προσποιούνται ότι είναι πελάτες DNScrypt Windows, που περιέχουν πραγματικά κακόβουλο λογισμικό/δυνητικά ανεπιθύμητο πρόγραμμα (PUP). Μην κατεβάσετε τίποτα που προσποιείται ότι είναι πελάτης DNScrypt από torrents, συνδέσμους σε βίντεο YouTube ή ανεπίσημες τοποθεσίες λήψης.

DNScrypt για macOS

  • Το DNScrypt-osxclient είναι ένα εύχρηστο, πλήρες, αυτόνομο γραφικό περιβάλλον χρήστη για macOS.
  • Το DNScrypt-Proxy είναι η εφαρμογή του πελάτη αναφοράς και λειτουργεί εγγενώς στις πρόσφατες εκδόσεις MacOS. Οι χρήστες που είναι εξοικειωμένοι με τη γραμμή εντολών μπορούν να χρησιμοποιήσουν το Homebrew για να εγκαταστήσουν το λογισμικό.

DNScrypt στο πρόγραμμα περιήγησης Yandex Web

Το πρόγραμμα περιήγησης Yandex Web είναι ένα δωρεάν, γρήγορο και ασφαλές πρόγραμμα περιήγησης στο Web Browser.

Σαρώνει αρχεία και ιστότοπο για ιούς, αποκλείει δόλιες ιστοσελίδες, προστατεύει τους κωδικούς πρόσβασης και τα στοιχεία της τραπεζικής κάρτας σας και διατηρεί τις ηλεκτρονικές σας πληρωμές ασφαλή από την κλοπή.

DnScrypt για Android

Η εκτέλεση DNScrypt στο Android απαιτεί σήμερα μια ριζωμένη συσκευή. Εάν δεν ξέρετε πώς να ριζώσετε μια συσκευή Android, το φόρουμ XDA-Developers είναι ένα καλό μέρος για να ξεκινήσετε.

  • Εάν θέλετε να αλλάξετε την διαλυτή DNScrypt, αποσυνδέστε το αρχείο που κατεβάστε, επεξεργαστείτε τη μεταβλητή resolver_name στο σύστημα/etc/init.D/99DNScrypt . Κρατήστε το περιεχόμενο ως αρχείο zip, με την αρχική δομή.
  • Μεταφορτώστε το αρχείο zip στη συσκευή, σε /sdcard ή σε οποιαδήποτε τοποθεσία που μπορείτε να γράψετε.
  • Βεβαιωθείτε ότι έχετε προσαρμοσμένη ανάκαμψη όπως TWRP ή CWM. Ο ευκολότερος τρόπος είναι να κατεβάσετε και να εγκαταστήσετε Διευθυντής TWRP από το επίσημο TWRP.Ιστοσελίδα ME. Επανεκκίνηση τώρα στη λειτουργία “Ανάκτηση” και εγκαταστήστε το αρχείο zip.
  • Επανεκκινώ.
  • Λήψη και εγκατάσταση Καθολικός init.ρε Από το Google Play Store, εάν βρίσκεστε σε προσαρμοσμένο πυρήνα ή firmware μετά από να μην είναι απαραίτητο από το E.σολ. Το Lineageos έρχεται με ολοκληρωμένη υποστήριξη για αυτό. Σε περίπτωση που δεν ξέρετε αν έχετε init.D Υποστήριξη, ανοίξτε την εφαρμογή και ακολουθήστε τις οδηγίες μέχρι να δείτε τον πυρήνα σας να έχει init.στήριξη .
  • Ο πληρεξούσιος DNScrypt πρέπει να εκτελείται σε αυτό το σημείο, αλλά η συσκευή σας εξακολουθεί να χρησιμοποιεί τις προηγούμενες ρυθμίσεις DNS. Υπάρχουν επί του παρόντος τέσσερις (πληρωμένες) εφαρμογές που μπορούν να αλλάξουν αυτή τη συμπεριφορά, το AdGuard (VPN Tunnel) NetGuard (Tunnel VPN), το DNS Manager Pro (Tunnel VPN) και το DNS (A DNS changer). Επιλέξτε ένα από αυτά και κατεβάστε το από το Google Play Store. Προκειμένου να χρησιμοποιήσετε πραγματικά το DNScrypt, εισάγετε 127.0.0.1 ως πρωταρχικός διαλυτής DNS. Το Adguard και το NetGuard απαιτούν να αλλάξετε κάποιες πρόσθετες ρυθμίσεις (δείτε στιγμιότυπα οθόνης). Προκειμένου να σταματήσετε το DNScrypt, απλώς απενεργοποιήστε τις εφαρμογές ή αφήστε το πεδίο διαλυτή DNS κενό.
  • Οι αλλαγές DNS ενδέχεται να μην είναι ορατές αμέσως. Το Android διαθέτει ολοκληρωμένα cache dns και προγράμματα περιήγησης ιστού όπως το Chrome έχουν ένα άλλο στρώμα προσωρινής αποθήκευσης DNS. Προκειμένου να καθαρίσετε την προσωρινή μνήμη DNS του Chrome, εισάγετε το Chrome: // net-Internals/#DNS στη γραμμή URL και πατήστε Καθαρή κρυφή μνήμη υποδοχής.
  • Ξεκινώντας τον δαίμονα στο Android
  • Πώς να εγκαταστήσετε το DNScrypt στο Android
  Όλα όσα yify

DnScrypt για iOS

Για τη συσκευή Jailbroken iOS, το GuizModns είναι μια εφαρμογή για την αλλαγή των ρυθμίσεων DNS (για 3g/4g και wifi), με υποστήριξη για DNScrypt. Διατίθεται στο Cydia. Ο πελάτης DNScrypt-Proxy της γραμμής εντολών είναι επίσης διαθέσιμος στην Cydia. Ωστόσο, η έκδοση στο Cydia μπορεί να μην είναι η τελευταία. Τα επίσημα προκαταρκτικά δυαδικά αρχεία της τελευταίας έκδοσης είναι διαθέσιμα στη σελίδα. Ο πηγαίος κώδικας DNScrypt μπορεί επίσης να καταρτιστεί από το κουτί για συσκευές iOS, χρησιμοποιώντας το παρεχόμενο dist-build/iOS.sh script. Με την εισαγωγή του πλαισίου επέκτασης δικτύου στο iOS 9, μπορεί να είναι δυνατό να γράψετε μια εφαρμογή πελάτη DNScrypt που θα τρέχει παντού, χωρίς να απαιτείται συσκευή Jailbroken.

DNScrypt για δρομολογητές

Modern Open Router Firmwares όπως η ντομάτα Shibby και άλλες παραλλαγές ντομάτας περιλαμβάνουν ένα DNScrypt Client Out-of-the Box. Ο πελάτης DNScrypt-Proxy είναι επίσης διαθέσιμος στο OpenWRT, το οποίο διαθέτει σελίδα wiki σχετικά με τη χρήση DNScrypt στο OpenWRT. Το DNScrypt-Proxy μπορεί επίσης να βρεθεί στο entware. Μπορεί επίσης να καταρτιστεί για οποιονδήποτε στόχο που βασίζεται στο Linux, εκτελώντας ένα CPU που βασίζεται στο Linux.

dnScrypt-proxy

Η πιο δημοφιλής υλοποίηση του πελάτη DNScrypt είναι η DNScrypt-Proxy. Μπορεί να χρησιμοποιηθεί από μόνο του ή μέσω μιας από τις γραφικές διεπαφές χρήστη που αναφέρονται παραπάνω. Το DNScrypt-Proxy εφαρμόζει την τελευταία αναθεώρηση του πρωτοκόλλου και λειτουργεί σε πολλές πλατφόρμες, συμπεριλαμβανομένων των Windows, MacOS, Linux, OpenBSD, FreeBSD, NetBSD, Android και iOS. Μπορεί να επεκταθεί με plugins. Για περισσότερες πληροφορίες σχετικά με το DNScrypt-Proxy, ανατρέξτε στο αφοσιωμένο wiki.

Εναλλακτικοί πελάτες, σενάρια εγκατάστασης και Guis για UNIX

  • Το DNScrypt-Loader είναι ένα εργαλείο που βασίζεται στην κονσόλα για τη διαχείριση του πελάτη Proxy DNScrypt στο Linux. Απαιτεί μια ελάχιστη ποσότητα εξαρτήσεων, έχει έναν πάντα ενημερωμένο κατάλογο διαλυτών και μπορεί να αλλάξει αυτόματα τις ρυθμίσεις DNS για χρήση DNScrypt.
  • Το PCAP_DNSPROXY είναι ένα πολύ γρήγορο πληρεξούσιο DNS. Περιλαμβάνει εφαρμογή πελάτη DNScrypt.

Πάρτε τον έλεγχο της κυκλοφορίας σας DNS

Εκτός από την εφαρμογή του πρωτοκόλλου, οι κοινοί πελάτες DNScrypt δίνουν πολύ έλεγχο στην κυκλοφορία DNS.

  • Ελέγξτε την κυκλοφορία DNS που προέρχεται από το δίκτυό σας σε πραγματικό χρόνο και εντοπίστε συμβιβασμένους οικοδεσπότες και εφαρμογές που τηλεφωνούν στο σπίτι
  • Τοπικά μπλοκάρει τις διαφημίσεις, τους ιχνηλάτες, το κακόβουλο λογισμικό, το spam και οποιονδήποτε ιστότοπο των οποίων τα ονόματα τομέα ή οι διευθύνσεις IP ταιριάζουν με ένα σύνολο κανόνων που καθορίζετε.
  • Αποτρέψτε τη διαρροή των ερωτημάτων για τις τοπικές ζώνες.
  • Μειώστε την καθυστέρηση με αποκρίσεις προσωρινής αποθήκευσης και αποφεύγοντας να ζητήσετε διευθύνσεις IPv6 σε δίκτυα μόνο για το IPv4.
  • Ανεξάρτητα από την κυκλοφορία για να χρησιμοποιήσετε το TCP, για να το δρομολογήσετε μέσω σήραγγες ή TOR μόνο για TCP.

Επαλήθευση υπογραφής

Τα αρχεία (πηγαίοι κώδικες tarballs, προκαταρκτικά δυαδικά αρχεία, κατάλογος διαλυτών) μπορούν να επαληθευτούν με το εργαλείο Minisign και την ακόλουθη εντολή:

$ minisign -vp rwqf6lrcga9i53mlyeco4izt51tgppvwucnsch1cbm0qtaln73y7gfo3 -m

Εκτέλεση του δικού σας διακομιστή DNScrypt

Εάν εκτελείτε το δικό σας ιδιωτικό ή δημόσιο αναδρομικό διακομιστή DNS, η προσθήκη υποστήριξης για το πρωτόκολλο DNScryPT μπορεί να γίνει με την εγκατάσταση του DNScrypt-Wrapper, του διακομιστή DNSCRSOP του διακομιστή αναφοράς.

Το DNScrypt-Wrapper μπορεί να καταρτιστεί από τον πηγαίο κώδικα. Οι χρήστες OSX μπορούν επίσης να χρησιμοποιήσουν το Homebrew για να το εγκαταστήσουν: Εγκατάσταση DNScrypt-Wrapper .

Ο πληρεξούσιος είναι συμβατός με οποιοδήποτε λογισμικό Resolver DNS, συμπεριλαμβανομένων των Unbound, PowerDNS recursor και Bind.

Μια εικόνα Docker για διακομιστή DNScrypt είναι επίσης διαθέσιμη και είναι ο ευκολότερος και ταχύτερος τρόπος για την ανάπτυξη ενός DNSSEC-Valid-Validating, DNSCrypt με δυνατότητα προσωρινής αποθήκευσης διακομιστή DNS Caching DNS. Περιλαμβάνει έναν προ-διαμορφωμένο μη δεσμευμένο διακομιστή, DNScrypt-Wrapper, και όλα τα σενάρια που απαιτούνται για την εκτέλεση κλειδιά και εποπτεία.

Μια άλλη επιλογή είναι η DNSDist, ένας πολύ DNS, DOS και Abuse-Aware LoadBalancer. Ο στόχος της στη ζωή είναι να δρομολογήσει την κυκλοφορία στον καλύτερο διακομιστή, παρέχοντας κορυφαία απόδοση στους νόμιμους χρήστες ενώ παρακινεί ή μπλοκάρει την καταχρηστική κυκλοφορία.

Το DNSDist μπορεί να λειτουργήσει ως διακομιστής DNScrypt όταν καταρτίζεται με-DNScrypt-DNScrypt .

Το Unbound, ένας επικυρωτικός, αναδρομικός και προσωρινός αποκορύφτης DNS, μπορεί επίσης να λειτουργήσει ως διακομιστής DNScryPT όταν καταρτίζεται με-DNSCRYPT-DNSCRYPT .

Αναφέρομαι σε Επιλογές dnScrypt Τμήμα σε μη δεσμευμένο.Conf (5) για επιλογές διαμόρφωσης.

  Comprender las VPN

Ανάπτυξη

Το DNScrypt αναπτύσσεται συνήθως χρησιμοποιώντας ένα ζεύγος proxies DNS: ένα proxy πελάτη και ένα διακομιστή διακομιστή διακομιστή.

Η πλευρά του πελάτη του DNScrypt είναι ένας πληρεξούσιος στον οποίο μπορούν να συνδεθούν οι τακτικοί πελάτες DNS. Αντί να χρησιμοποιείτε τις ρυθμίσεις DNS του ISP σας, μπορείτε απλώς να διαμορφώσετε τις ρυθμίσεις δικτύου σας για να χρησιμοποιήσετε 127.0.0.1 ή οποιαδήποτε διεύθυνση IP και θύρα έχετε ρυθμίσει τον πελάτη DNScrypt για να ακούσετε. Ο πληρεξούσιος πελάτης μεταφράζει τα κανονικά ερωτήματα DNS σε ερωτήματα πιστοποιημένων DNS, τα προωθεί σε έναν διακομιστή που εκτελεί τον διακομιστή μεσολάβησης DNScrypt του διακομιστή, επαληθεύει τις απαντήσεις και τις προωθεί στον πελάτη εάν φαίνεται να είναι γνήσια.

Η πλευρά του διακομιστή της DNSCryPT λαμβάνει ερωτήματα DNS που αποστέλλεται από τον πληρεξούσιο πελάτη, τα προωθεί σε έναν αξιόπιστο διαλυτή DNS και υπογράφει τις απαντήσεις που λαμβάνει πριν τις διαβιβάσει στον πελάτη πληρεξούσιο.

Το πρωτόκολλο DNSCRYPT χρησιμοποιεί θύρες UDP και TCP 443, οι οποίες είναι λιγότερο πιθανό να φιλτραριστούν από δρομολογητές και ISP από την τυπική θύρα DNS.

Το τοπικό δίκτυο είναι συνήθως το πιο ευάλωτο τμήμα δικτύου έναντι ενεργών επιθέσεων όπως η πλαστογράφηση DNS. Ο διακομιστής DNScrypt μπορεί να εκτελεστεί στον δρομολογητή, μαζί με έναν σύγχρονο διαλυτή DNS. Οι πελάτες μπορούν στη συνέχεια να εκτελέσουν τον κωδικό πελάτη του DNScrypt, αξιοποιώντας τον δρομολογητή DNS Resolver.

|----- πιο ευάλωτη στις επιθέσεις ------ | |-πιο ευάλωτα στην τροποποίηση-| DNScrypt Client DNScrypt Server Laptop/Workstation/Phone/Tablet ---------> Οικιακός δρομολογητής ---------> ISP -------> Το Διαδίκτυο | -------------------------------------- --- Ασφαλισμένη από το DNScrypt ---------- | | --------------------------------------

Εναλλακτικά, οι εταιρείες, οι οργανισμοί και τα άτομα εκτελούν δημόσιες διαλυτές DNS που υποστηρίζουν το πρωτόκολλο DNScrypt. Αυτά μπορούν να χρησιμοποιηθούν ως εναλλακτική λύση για τη λειτουργία ενός διακομιστή DNScrypt και ενός διαλυτή DNS στον δρομολογητή.

Για μέγιστη προστασία, ο πελάτης DNScryPT μπορεί να εκτελεστεί σε κάθε συσκευή πελάτη:

|----- πιο ευάλωτη στις επιθέσεις ------ | |-πιο ευάλωτα στην τροποποίηση-| DNScrypt Client DNScrypt Server Laptop/Workstation/Phone/Tablet --------> Οικιακός δρομολογητής ---------------------> Το Διαδίκτυο ----- ---> Δημόσια DNS Resolver | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------------------------------------------ | --- Ασφαλισμένο από το DNSSEC --- | | --- πιο ευάλωτη στην καταγραφή --- |

Ή αν εμπιστεύεστε πλήρως το τοπικό δίκτυο, ο πελάτης DNScrypt μπορεί να τρέξει στον δρομολογητή αντ ‘αυτού:

|----- πιο ευάλωτη στις επιθέσεις ------ | |-πιο ευάλωτα στην τροποποίηση-| DNScrypt Client DNScrypt Server Laptop/Workstation/Phone/Tablet --------> Οικιακός δρομολογητής ---------------------> Το Διαδίκτυο ----- ---> Δημόσιος DNS Resolver | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --- Ασφαλισμένο από το DNSSEC --- | | --- πιο ευάλωτη στην καταγραφή --- |

Τέλος, μπορείτε να εκτελέσετε το δικό σας διακομιστή DNScrypt σε ένα απομακρυσμένο, αξιόπιστο δίκτυο, για να αποκτήσετε πλήρη έλεγχο του τι κάνει και η καταγραφή του διαλυτή:

|----- πιο ευάλωτη στις επιθέσεις ------ | |-πιο ευάλωτα στην τροποποίηση-| DNScrypt Client DNScrypt Server Laptop/Workstation/Phone/Tablet --------> Οικιακός δρομολογητής ---------------------> Το Διαδίκτυο ----- ---> Ιδιωτικός Resolver DNS | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------------------------------------------ | --- Ασφαλισμένο από το DNSSEC --- |

Λάβετε υπόψη ότι το DNScrypt δεν αποτελεί αντικατάσταση για ένα VPN, καθώς επικυρώνει μόνο την κυκλοφορία DNS και δεν εμποδίζει την καταγραφή της δραστηριότητάς σας από τρίτους DNS να καταγράψουν τη δραστηριότητά σας. Με το σχεδιασμό, το πρωτόκολλο TLS, όπως χρησιμοποιείται σε HTTPs και HTTP/2, διαρροές ιστοσελίδων Host Host Host σε απλό κείμενο, οπότε το DNScrypt δεν αρκεί για να αποκρύψει αυτές τις πληροφορίες.

Χρησιμοποιώντας DNScrypt σε συνδυασμό με μνήμη DNS

Για βέλτιστη απόδοση, ο συνιστώμενος τρόπος λειτουργίας DNScrypt είναι να το εκτελέσει ως μελλοντικό για μια τοπική cache DNS, όπως το Unbound ή το PowerDNS-RECURSOR.

Ο διαλυτής προσωρινής αποθήκευσης μπορεί να παρέχει υψηλή διαθεσιμότητα, προωθώντας τα ερωτήματα σε πολλαπλές ανάντη proxies πελάτη DNScrypt, διαμορφωμένα με διαφορετικούς παρόχους.

Οι περιπτώσεις DNScrypt-Proxy και ο διαλυτής προσωρινής αποθήκευσης μπορούν να τρέξουν με ασφάλεια στο ίδιο μηχάνημα, εφόσον ακούνε διαφορετικές διευθύνσεις IP ή διαφορετικές θύρες.

Εάν η προσωρινή μνήμη DNS σας είναι μη δεσμευμένη, το μόνο που χρειάζεστε είναι να επεξεργαστείτε το μη δεσμευμένο.COND αρχείο και προσθέστε τις ακόλουθες γραμμές στο τέλος της ενότητας διακομιστή:

do-not-query-localhost: Δεν υπάρχει πρόοδο: Όνομα: "."Forward-Addr: 127.0.0.1@40 Forward-Addr: 127.0.0.1@41

Η πρώτη γραμμή δεν απαιτείται εάν χρησιμοποιείτε διαφορετικές διευθύνσεις IP αντί για διαφορετικές θύρες. Οι γραμμές Forward-ADDR υποδεικνύουν διευθύνσεις και θύρες των πελατών DNScrypt για χρήση ως ανάντη διαλυτές.

Στη συνέχεια, ξεκινήστε τους δύο πελάτες proxies, ακούγοντας διαφορετικές τοπικές θύρες (40 και 41 σε αυτό το παράδειγμα).

Δώστε προσοχή στο γεγονός ότι ορισμένοι διαλυτές δεν υποστηρίζουν τις επεκτάσεις ασφαλείας DNS (DNSSEC).

Εάν το μη δεσμευμένο έχει ρυθμιστεί ώστε να εκτελεί επικύρωση DNSSEC σε συνδυασμό με έναν ανάντη διακομιστή που δεν υποστηρίζει το DNSSEC, τα ερωτήματα θα αποτύχουν. Είτε χρησιμοποιείτε μόνο διαλυτές DNScrypt με υποστήριξη για DNSSEC, είτε απενεργοποιήστε την υποστήριξη DNSSEC στο Unbound, σχολιάζοντας τη γραμμή αυτόματης αγκυροβόλησης στη διαμόρφωσή της στη διαμόρφωσή της.

Ένας τοπικός διαλυτής προσωρινής αποθήκευσης μπορεί επίσης να είναι εξαιρετικά χρήσιμη για την προώθηση ερωτημάτων για CDN ή εσωτερικούς τομείς σε συγκεκριμένο διαλυτή.

DNScrypt για προγραμματιστές

Η προδιαγραφή πρωτοκόλλου είναι διαθέσιμη και μπορεί να εφαρμοστεί δωρεάν σε οποιοδήποτε προϊόν.

Τα άτομα και οι οργανισμοί που εκτελούν διαλυτές με δυνατότητα DNScrypt μπορεί επίσης να έχουν σύνδεσμο δωρεάς. Ελέγξτε το στον δικό του ιστότοπο.

Εάν τα χρησιμοποιείτε τακτικά, η συνεισφορά σας θα τους βοηθούσε επίσης να συνεχίσουν να παρέχουν μια εξαιρετική υπηρεσία δωρεάν.