Как проверить, зашифрован ли DNS?

14

Я установил DNSCrypt , его зашифрованный DNS-патч OpenDNS для Ubuntu и других пользователей Linux, и он работает нормально.

Как узнать, зашифрован ли мой DNS? Я гуглил, но ничего не нашел.

Положение дел 

one@onezero:~$ status dnscrypt 
dnscrypt start/running, process 1013
one@onezero:~$ sudo netstat -atnlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1013/dnscrypt-proxy

обновленный

Wireshark

@Alvar

введите описание изображения здесь

введите описание изображения здесь

введите описание изображения здесь

введите описание изображения здесь

без DNSCrypt

введите описание изображения здесь

encryption dns dnscrypt-proxy Один ноль
источник

Ответы:

6

Вы можете проверить это с Wiresharkпомощью прослушивания вашей сетевой карты, просто выполните следующие действия:

  1. sudo apt-get install wireshark (вставьте его в терминал)
  2. запустите его из терминала с помощью sudo wireshark(вам нужно быть sudo, чтобы иметь возможность слушать вашу сетевую карту.)
  3. затем начните слушать и отфильтруйте все, кроме вашего собственного ip.

Теперь просто проверьте , зашифрованы ли протоколы DNS .

  1. использовать фильтр только для показа dns
  2. Остановите сканирование.
  3. нажмите на элемент списка, который говорит DNS и приходит с вашего IP.
  4. Теперь нажмите на протокол передачи, чтобы увидеть, зашифрован ли он.
Альвар
источник
@OneZero нажмите на красную выделенную область с надписью dns , посмотрите там, вы должны выяснить, там ли она зашифрована.
Алвар
3

Если вы используете OpenDNS в качестве DNS-сервера, поддерживающего dnscrypt, можно проверить, работает ли он, с помощью одной из следующих команд:

drill txt debug.opendns.com

dig txt debug.opendns.com

Текст ответа должен содержать строку с надписью «dnscrypt enabled»:

;; ANSWER SECTION:
debug.opendns.com.  0   IN  TXT "server 11"
debug.opendns.com.  0   IN  TXT "flags 22 2 222 2"
debug.opendns.com.  0   IN  TXT "id 6666666"
debug.opendns.com.  0   IN  TXT "source 209.6.69.160:44444"
debug.opendns.com.  0   IN  TXT "dnscrypt enabled (...)"
sanilunlu
источник
drillтребуется пакет ldnsutils, хотя digработает, а nslookup -type=txt debug.opendns.comтакже работает.
Acumenus
1

Я установил dnscrypt 1.1 на Ubuntu 12.10.

Я отредактировал, /etc/NetworkManager/NetworkManager.confчтобы закомментировать

dns=dnsmasq

Затем добавьте /etc/init/dnscrypt.confи включите в него следующее:

 description "dnscrypt startup script"

 start on (local-filesystems and started dbus and stopped udevtrigger)
 stop on runlevel [016]

 script
         exec /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d
 end script

Затем я изменил свои настройки сети, чтобы использовать 127.0.0.1 для DNS:

Затем я перезагрузился и убедился, что dnscryptработает, и это dnsmasqне было:

 ps aux | grep dns
 root      6581  0.0  0.0  16116   720 ?        Ss   04:47   0:00 /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d

Потом я открыл wireshark чтобы проверить, что DNS был зашифрован:

Похоже, это не так.

Посещение http://www.opendns.com/welcome/ подтверждает, что я использую opendns.

]

echosyp
источник
0

ОК, я понял!

Запустите dnscrypt-proxy --deamonize (он уже должен быть запущен)

  1. Перейдите к значку сети в верхней части и перейдите к настройкам сети.
  2. Перейдите к вашему текущему соединению и нажмите Configure ...
  3. Перейдите на вкладку «Настройки IPv4».
  4. В полях DNS-серверы и поисковые домены введите: 127.0.0.1
  5. Отправляйтесь на http://opendns.com/welcome

Если вы будете перенаправлены на http://opendns.com/welcome/oops значит, он не настроен должным образом.

Прости за это. Я не хотел идти на боль, чтобы все это настроить, но это было удивительно легко! Ну, надеюсь, вы чему-то научились. Я уверен, что сделал!

Чак Р
источник
Могу ли я проверить, отправлены ли запросы, какой зашифрованный сервер DNS?
Один ноль
1
Я не очень понимаю, что вы имеете в виду, в большинстве случаев, когда речь идет о домашних сетях, будет отправлено не более двух вариантов. Скорее всего, вы установили их в своем маршрутизаторе или в файле /etc/resolv.conf. Поэтому каждый раз, когда ваш компьютер запрашивает что-то, ваш маршрутизатор запрашивает эти два DNS-сервера. Нет других, потому что он не знает других. Если вы действительно хотите знать, вы можете установить между двумя компьютерами и маршрутизатором компьютер с двумя сетевыми картами и Wireshark. Затем вы можете прочитать пакеты, которые проходят через компьютер. Но, конечно, вы должны знать, что вы ищете.
Чак Р
Ты, хороший, ты должен включить эту деталь в свой ответ
One Zero
Poke! Вы видели мой обновленный ответ?
Чак R
да, я сделал это, его 127.0.0.2, если вы используете сценарий upstart как im, см. справку w8, уже проверил, открыт ли DNS приветствует то же самое на зашифрованном и незашифрованном
One Zero
0

dnscrypt-proxy принимает запросы DNS, шифрует и подписывает их с помощью *  dnscrypt  * и пересылает их на удаленный распознаватель с поддержкой dnscrypt

Ожидается, что ответы от распознавателя также будут зашифрованы и подписаны.

Прокси-сервер проверяет подпись ответов, расшифровывает их и прозрачно передает их локальному преобразователю заглушки.

По умолчанию dnscrypt-proxy прослушивает 127.0.0.1 / порт 53.

Один ноль
источник
-1

Вы переходите на страницу приветствия OpenDNS и увидите что-то вроде «Добро пожаловать в OpenDNS! Ваш Интернет безопаснее, быстрее и умнее, потому что вы используете OpenDNS». Это означает, что вы используете OpenDNS в качестве поставщика DNS и если вы не настроили OpenDNS без dnscrypt, ваши запросы DNS должны быть зашифрованы.

Другим способом было бы отслеживать DNS-трафик с помощью wireshark, tcpdump и т. Д. И посмотреть, действительно ли он зашифрован, но это более запутанно и требует некоторых глубоких знаний.

Ли Ло
источник
opendns.com/welcome > я был там раньше о open-dns dns, позвольте мне проверить на моем ноутбуке тот без шифрования
One Zero
так же, как это показано здесь
One Zero
OpenDNS - не единственный провайдер с поддержкой DNScrypt. sudo dnscrypt-proxy --daemon -a 127.0.0.2 --resolver-address=23.226.227.93:443 --provider-name=2.dnscrypt-cert.okturtles.com --provider-key=1D85:3953:E34F:AFD0:05F9:4C6F:D1CC:E635:D411:9904:0D48:D19A:5D35:0B6A:7C81:73CBявляется одним из многих, которые не используют OpenDNS.
mchid