Как включить DNS через HTTPS и для чего это нужно


Оглавление

1. Что такое DNS через HTTPS?

2. Как соотносятся DNS поверх HTTPS, DNSSEC, DNSCrypt, DNS поверх TLS

3. Способы включения DNS через HTTPS (DoH)

4. Публичные сервера имён с поддержкой DNS через HTTPS

5. Как включить DNS через HTTPS (DoH) в веб-браузерах

5.1 Google Chrome

5.2 Firefox

5.3 Opera

5.4 Microsoft Edge

6. Как включить DNS через HTTPS (DoH) для всех приложений

6.1 Программы для DNS через HTTPS (DoH)

6.1.1 dnscrypt-proxy

6.1.2 DNS-over-HTTPS

6.2 Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows

6.2.1 Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows (в настройках ОС)

6.2.2 Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows (с помощью dnscrypt-proxy)

6.3 Как включить DNS через HTTPS (DoH) на уровне операционной системы в Linux

6.3.1 Установка dnscrypt-proxy в Kali Linux

6.3.2 Установка dnscrypt-proxy в Arch Linux, BlackArch и их производные

6.3.3 Защита файла /etc/resolv.conf от изменений


7. Как настроить dnscrypt-proxy

8. Проверка работы dnscrypt-proxy

9. Настройка dnscrypt-proxy для использования с IPv6


Такие компании, как Microsoft, Google и Mozilla, продвигают DNS через HTTPS (DoH). Эта технология будет шифровать поисковые запросы DNS, улучшая конфиденциальность и безопасность в Интернете. Давайте познакомимся поближе с технологией DNS Over HTTPS, узнаем, для чего она нужна и как её включить. Вполне возможно, что вы уже пользуетесь DNS через HTTPS даже не зная этого!

Что такое DNS через HTTPS (DoH)?

Интернет стремится, чтобы по умолчанию шифрование присутствовало везде. На данный момент большинство веб-сайтов, к которым вы обращаетесь, вероятно, используют шифрование HTTPS. Современные веб-браузеры, такие как Chrome, теперь помечают любые сайты, использующие стандартный HTTP, как «небезопасные». HTTP/3, новая версия протокола HTTP, имеет встроенное шифрование.

Это шифрование гарантирует, что никто не сможет вмешаться в работу веб-страницы, пока вы её просматриваете, или следить за тем, что вы делаете в Интернете. Например, если вы подключаетесь к Wikipedia.org, оператор сети — будь то общедоступная точка доступа Wi-Fi компании или ваш Интернет-провайдер — может видеть только то, что вы подключены к wikipedia.org. Они не видят, какую статью вы читаете, и не могут изменять статью Википедии пока она идёт до вашего компьютера.

Но в стремлении к шифрованию DNS остался позади. Система доменных имён делает так, что мы можем подключаться к веб-сайтам через их доменные имена, а не с помощью числовых IP-адресов. Вы вводите доменное имя, например google.com, и ваша система свяжется с DNS-сервером, который указан в настройках системы, чтобы получить IP-адрес, связанный с google.com. Затем ваш компьютер или телефон подключится к этому IP-адресу.

Смотрите также статьи:

До сих пор эти запросы DNS не были зашифрованы. Когда вы подключаетесь к веб-сайту, ваша система отправляет запрос о том, что вы ищете IP-адрес, связанный с определённым доменом. Любой посредник передачи данных — возможно, ваш интернет-провайдер, но, возможно, также просто общедоступная точка доступа Wi-Fi, записывающая трафик, — могут регистрировать, к каким доменам вы подключаетесь. Из-за этого возможны атаки и сбор информации, описанные в статье «Применение фальшивого DNS».

DNS через HTTPS делает этот надзор невозможным. При использовании DNS через HTTPS ваша система установит безопасное зашифрованное соединение с вашим DNS-сервером и будет передавать запрос и ответ через это соединение. Все, кто находится между ними, не смогут увидеть, какие доменные имена вы ищете, или вмешаться в присланный ответ.

Сегодня большинство людей используют DNS-серверы, предоставленные их интернет-провайдером. Однако существует множество сторонних DNS-серверов, таких как Google Public DNS, Cloudflare и OpenDNS. Эти сторонние поставщики одними из первых включили поддержку DNS через HTTPS на стороне сервера. Чтобы использовать DNS через HTTPS, вам потребуется как DNS-сервер, так и клиент (например, веб-браузер или операционная система), который его поддерживает.

Как соотносятся DNS поверх HTTPS, DNSSEC, DNSCrypt, DNS поверх TLS

Имеется несколько протоколов, обеспечивающих шифрование DNS запросов. В настоящее время на клиентском программном обеспечении лучше всего поддерживается DNS поверх HTTPS (DoH) — именно ему и посвящена данная статья. Чтобы ориентироваться в терминах, рассмотрим краткие характеристики каждого из протоколов.

DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNS поверх TLS (DoT) — предлагаемый стандартный протокол для выполнения разрешения удалённой системы DNS с использованием TLS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNSSEC (англ. Domain Name System Security Extensions) — набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Он направлен на предоставление DNS-клиентам (англ. термин resolver) аутентичных ответов на DNS-запросы (или аутентичную информацию о факте отсутствия данных) и обеспечение их целостности. При этом используется криптография с открытым ключом.


DNSCrypt — это сетевой протокол, который аутентифицирует и шифрует трафик системы доменных имён (DNS) между компьютером пользователя и рекурсивными серверами имён. Первоначально он был разработан Фрэнком Денисом и Йеченг Фу.

Хотя существует несколько реализаций клиента и сервера, протокол никогда не предлагался Инженерной группе Интернета (IETF) в виде RFC.

DNSCrypt обёртывает неизмененный DNS-трафик между клиентом и преобразователем DNS в криптографической конструкции для обнаружения подделки. Хотя он не обеспечивает сквозную безопасность, он защищает локальную сеть от атак типа «злоумышленник в середине».

Он также снижает опасность атак с усилением на основе UDP, требуя, чтобы вопрос был не меньше размера соответствующего ответа. Таким образом, DNSCrypt помогает предотвратить атаки с усилением DNS.

DNSCurve — это предлагаемый безопасный протокол для системы доменных имён (DNS), разработанный Дэниелом Дж. Бернстайном.

Способы включения DNS через HTTPS (DoH)

Можно включить зашифрованные DNS запросы двумя способами — на уровне веб-браузеров и на уровне операционной системы. Каждый из этих способов имеет свои преимущества.

Включение безопасного DNS на уровне веб-браузеров выполняется очень просто, достаточно поставить галочку в настройках. Более того, в Google Chrome эта настройка уже включена по умолчанию. Недостаток этого метода в том, что все другие приложения, использующие Интернет-подключение, не смогут использовать DNS через HTTPS. Такими приложениями могут быть программы для скачивания файлов, мессенджеры, службы обновления программ и операционной системы и так далее.

Включение DoH на уровне системы делает так, что все программы будут делать DNS запросы исключительно по зашифрованному каналу. Но это требует установки программы — кэширующего DNS сервера. На самом деле, установка очень простая и программа будет потреблять минимум ресурсов. При этом собственный DNS будет кэшировать полученные данные благодаря чему немного увеличит скорость работы сети.

Какой вариант выбрать — исключительно на ваше усмотрение. В этой инструкции будут рассмотрены оба способа и вы увидите, насколько всё просто при выборе любого метода шифрования DNS запросов.

Публичные сервера имён с поддержкой DNS через HTTPS

Чтобы использовать DNS через HTTPS сервер имён должен поддерживать эту технологию. В настоящее время публичные самые популярные DNS серверы её поддерживают. Их адреса для DoH или обычных DNS запросов одинаковые.

Провайдер IP-адреса Блокирование Особенности
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
нет Конечная точка DNS поверх HTTPS.
Google Public DNS 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
нет Конечная точка DNS поверх HTTPS.
CleanBrowsing 185.228.168.168
185.228.169.168
2a0d:2a00:1::
2a0d:2a00:2::
Взрослый контент. Конечная точка DNS поверх HTTPS.
Adguard 176.103.130.130
176.103.130.131
2a00:5a60::ad1:0ff
2a00:5a60::ad2:0ff
Рекламный контент. Конечная точка DNS поверх HTTPS.
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::9
Вредоносный контент.  
OpenDNS 208.67.222.222
208.67.220.220
2620:119:35::35
2620:119:53::53
нет  

Источник.

Независимо от того, включаете вы DoH в браузерах или для всей системы, вы можете использовать любой DNS сервер из этого списка. Лично я предпочитаю DNS сервера от Google.

Как включить DNS через HTTPS (DoH) в веб-браузерах

Google Chrome

В Google Chrome в Windows уже включена опция DNS через HTTPS. Вы можете её проверить перейдя в «Настройки» → «Конфиденциальность и безопасность» → «Безопасность» → «Дополнительные» → «Использовать безопасный DNS сервер». Чтобы быстро найти эту настройку, введите в адресную строку «chrome://settings/security/» и пролистните в самый низ.

Вы можете выбрать из списка любой DNS сервер с поддержкой DoH или указать свой собственный.


На момент написания, в Google Chrome в Linux данная опция недоступна.

Firefox

Перейдите в Настройки → Основные. Пролистните в самый низ, чтобы найти кнопку «Параметры сети, Настроить».

Поставьте галочку «Включить DNS через HTTPS» и выберите провайдера из списка или введите свой IP адрес:

Opera

Перейдите в настройки (шестерёнка внизу левого сайдбара или кнопка «Простые настройки» → «Открыть все настройки браузера»).

Затем перейдите в «Дополнительно» → «Система».

Включите галочку «Использовать DNS поверх HTTPS вместо системных настроек DNS» и выберите желаемый DNS сервер.

Microsoft Edge

На момент написания предустановленный по умолчанию Internet Explorer (Microsoft Edge) вовсе не знает про DNS через HTTPS. Если скачать последнюю версию Microsoft Edge, то там эту настройку можно включить с помощью флага.

Введите в адресную строку edge://flags#dns-over-https

Включите экспериментальный флаг и перезапустите веб-браузер.

Эммм… вроде как нужно бы ещё ввести настройки DNS сервера, но я не нашёл, где это сделать в Microsoft Edge. Да и кому дело до Microsoft Edge — кто им вообще пользуется?!

Как включить DNS через HTTPS (DoH) для всех приложений

Программы для DNS через HTTPS (DoH)

dnscrypt-proxy

dnscrypt-proxy — это гибкий DNS-прокси с поддержкой современных зашифрованных DNS-протоколов, таких как DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt.

У программы открыт исходный код, также программа доступна в виде предварительно скомпилированных двоичных файлов для большинства операционных систем и архитектур.

Характеристики:

  • Шифрование и аутентификация DNS-трафика. Поддерживает DNS-over-HTTPS (DoH) с использованием TLS 1.3, DNSCrypt и анонимного DNS
  • IP-адреса клиентов могут быть скрыты с помощью Tor, SOCKS-прокси или анонимных DNS-ретрансляторов
  • Мониторинг DNS-запросов с отдельными файлами журналов для обычных и подозрительных запросов
  • Фильтрация: блокируйте рекламу, вредоносное ПО и другой нежелательный контент. Совместим со всеми службами DNS
  • Фильтрация по времени с гибким недельным расписанием
  • Прозрачное перенаправление определённых доменов на определённые резолверы
  • Кэширование DNS для уменьшения задержки и повышения конфиденциальности
  • Локальная блокировка IPv6 для уменьшения задержки в сетях только с IPv4
  • Балансировка нагрузки: выберите набор резолверов, dnscrypt-proxy будет автоматически измерять и отслеживать их скорость, а также балансировать трафик между самыми быстрыми из доступных.
  • Маскировка: как файл HOSTS на стероидах, который может возвращать предварительно настроенные адреса для определённых имён или разрешать и возвращать IP-адреса других имён. Это можно использовать для локальной разработки, а также для обеспечения безопасных результатов поиска в Google, Yahoo, DuckDuckGo и Bing.
  • Автоматическое обновление списков резолверов в фоновом режиме
  • Может заставить исходящие соединения использовать TCP
  • Совместим с DNSSEC
  • Включает локальный сервер DoH для поддержки ECHO (ESNI)

DNS-over-HTTPS

DNS-over-HTTPS — это клиентское и серверное программное обеспечение для запроса DNS через HTTPS, используя протоколы Google DNS-over-HTTPS и IETF DNS-over-HTTPS (RFC 8484).

Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows

Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows (в настройках ОС)

Данный метод удобен тем, что не нужно устанавливать дополнительное программное обеспечение. Но недостатком данного метода является то, что в качестве DNS сервера вы можете использовать только тот, который предусмотрен ОС Windows — всего около 5 провайдеров. Ещё одно ограничение в том, что данный метод работает только начиная с Windows 11.

Сначала выберите, какой DNS с поддержкой DoH вы хотите использовать

Начиная с выпуска Windows 11, DNS через HTTPS в Windows 11 работает только с определенным жёстко запрограммированным списком бесплатных служб DNS (вы можете увидеть список самостоятельно, запустив

netsh dns show encryption

в окне терминала).

Вот текущий список поддерживаемых адресов серверов DNS IPv4 по состоянию на октябрь 2022 года:

  • Основной DNS Google: 8.8.8.8
  • Дополнительный Google DNS: 8.8.4.4
  • Основной DNS Cloudflare: 1.1.1.1
  • Вторичный DNS Cloudflare: 1.0.0.1
  • Первичный DNS Quad9: 9.9.9.9
  • Вторичный DNS Quad9: 149.112.112.112

Для IPv6 список поддерживаемых адресов серверов DNS:

  • Основной DNS Google: 2001:4860:4860::8888
  • Вторичный DNS Google: 2001:4860:4860::8844
  • Основной DNS-сервер Cloudflare: 2606:4700:4700::1111
  • Дополнительный DNS Cloudflare: 2606:4700:4700::1001
  • Первичный DNS Quad9: 2620:fe::fe
  • Вторичный DNS Quad9: 2620:fe::fe:9

Когда придёт время включить DoH в разделе ниже, вам нужно будет выбрать две пары этих DNS-серверов — первичный и вторичный для IPv4 и IPv6 — для использования с ПК с Windows 11. В качестве бонуса их использование, скорее всего, ускорит работу в Интернете.

Затем включите DNS через HTTPS в Windows 11

Чтобы начать настройку DNS через HTTPS, откройте приложение «Настройки», нажав Win+i на клавиатуре. Либо можно нажать правой кнопкой мыши кнопку «Пуск» и в появившемся специальном меню выбрать пункт «Параметры».

В настройках нажмите «Сеть и Интернет» на боковой панели.

Для «Wi-Fi» и «Ethernet» процедура настройки DNS поверх HTTPS чуть различается.

Настройка DNS поверх HTTPS для Ethernet (проводное подключение)

В настройках сети и Интернета щёлкните имя вашего основного подключения к Интернету в списке, например «Ethernet».

На странице свойств Ethernet найдите параметр «Назначение DNS-сервера» и нажмите кнопку «Изменить» рядом с ним.

В появившемся окне в раскрывающемся меню выберите «Вручную» настройки DNS.

Затем переведите переключатель «IPv4» в положение «Вкл.».

В разделе IPv4 введите адрес основного DNS-сервера, который вы выбрали в разделе выше, в поле «Предпочтительный DNS» (например, «8.8.8.8»).

Станет активным выпадающий список «Предпочтительное шифрование DNS». В этом списке выберите «Только зашифрованные (DNS поверх HTTPS)».

Аналогичным образом введите адрес вторичного DNS-сервера в поле «Дополнительный DNS» (например, «8.8.4.4»). Станет активным выпадающий список «Предпочтительное шифрование DNS». В этом списке выберите «Только зашифрованные (DNS поверх HTTPS)».

Если ваш Интернет-провайдер поддерживает IPv6, то повторите этот процесс с IPv6. Если ваш Интернет-провайдер НЕ поддерживает IPv6, то вам НЕ НУЖНО включать IPv6 DNS серверы. Если вы не уверены, то лучше не включайте IPv6 DNS. 

Переведите переключатель IPv6 в положение «Вкл.», а затем скопируйте основной IPv6-адрес из раздела выше и вставьте его в поле «Предпочитаемый DNS». Затем скопируйте соответствующий вторичный IPv6-адрес и вставьте его в поле «Дополнительный DNS».

После этого установите для обоих параметров «Шифрование DNS» значение «Только зашифрованные (DNS поверх HTTPS)».

Наконец, нажмите «Сохранить».

Вернувшись на страницу свойств оборудования Ethernet, вы увидите список своих DNS-серверов с пометкой «(Зашифровано)» рядом с каждым из них.

Настройка DNS поверх HTTPS для Wi-Fi (беспроводное подключение)

В настройках Сети и Интернета щёлкните имя вашего основного подключения к Интернету в списке, например «Wi-Fi».

На странице свойств Wi-Fi перейдите в раздел «Свойства оборудования».

На следующем окне найдите параметр «Назначение DNS-сервера» и нажмите кнопку «Изменить» рядом с ним.

В появившемся окне в раскрывающемся меню выберите «Вручную» настройки DNS. Затем переведите переключатель «IPv4» в положение «Вкл.».


В разделе IPv4 введите адрес основного DNS-сервера, который вы выбрали в разделе выше, в поле «Предпочтительный DNS» (например, «8.8.8.8»).

Станет активным выпадающий список «Предпочтительное шифрование DNS». В этом списке выберите «Только зашифрованные (DNS поверх HTTPS)».

Подсказка: Если вы не видите параметры шифрования DNS, значит, вы редактируете настройки DNS для конкретного подключения Wi-Fi, а не для беспроводного адаптера в целом. Убедитесь, что вы выбрали тип подключения в «Настройки» → «Сеть и Интернет», затем сначала нажмите «Свойства оборудования».

Аналогичным образом введите адрес вторичного DNS-сервера в поле «Дополнительный DNS» (например, «8.8.4.4»).

Если ваш Интернет-провайдер поддерживает IPv6, то повторите этот процесс с IPv6. Если ваш Интернет-провайдер НЕ поддерживает IPv6, то вам НЕ НУЖНО включать IPv6 DNS серверы. Если вы не уверены, то лучше не включайте IPv6 DNS.

Переведите переключатель IPv6 в положение «Вкл.», а затем скопируйте основной IPv6-адрес из раздела выше и вставьте его в поле «Предпочитаемый DNS». Затем скопируйте соответствующий вторичный IPv6-адрес и вставьте его в поле «Дополнительный DNS».

После этого установите для обоих параметров «Шифрование DNS» значение «Только шифрование (DNS через HTTPS)».

Наконец, нажмите «Сохранить».

Вернувшись на страницу свойств оборудования Wi-Fi, вы увидите список своих DNS-серверов с пометкой «(Зашифровано)» рядом с каждым из них.

Это всё, что вам нужно сделать. Закройте приложение «Настройки», и вы готовы к работе. Отныне все ваши DNS-запросы будут конфиденциальными и безопасными.

Примечание. Если после изменения этих настроек у вас возникли проблемы с сетью, убедитесь, что вы правильно ввели IP-адреса. Ошибочный IP-адрес может привести к недоступности DNS-серверов. Если адреса введены правильно, попробуйте отключить переключатель «IPv6» в списке DNS-серверов. Если вы настраиваете DNS-серверы IPv6 на компьютере без подключения к IPv6, это может вызвать проблемы с подключением.


Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows (с помощью dnscrypt-proxy)

Для операционной системы Windows мы можем использовать только dnscrypt-proxy, поскольку эта программа является кроссплатформенной.

Чтобы скачать dnscrypt-proxy для Windows, перейдите на официальную страницу https://github.com/DNSCrypt/dnscrypt-proxy/releases и скачайте файл вида dnscrypt-proxy-win64-*.zip

Распакуйте скаченный архив — в нём папка «win64». Переименуйте эту папку в «dnscrypt-proxy» и переместите в корень диска C:\. Таким образом, папка и все файлы расположены по пути C:\dnscrypt-proxy\.

Откройте командную строку с правами администратора. Для этого нажмите Win+x и выберите «PowerShell (администратор)».

Выполните там команды:

cd C:\dnscrypt-proxy\
cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
./dnscrypt-proxy

При запуске nscrypt-proxy загружает списки DNS серверов с шифрованием, тестирует доступность и скорость отклика DNS серверов с поддержкой шифрования.

Если всё запустилось нормально, то продолжайте, здесь же несколько подсказок для тех, у кого возникла ошибка:

  • dnscrypt-proxy.toml: no such file or directory (dnscrypt-proxy.toml - нет такого файла или директории): скопируйте файл с образцом конфигурации и назовите его dnscrypt-proxy.toml как это написано выше.
  • listen udp 127.0.0.1:53: bind: permission denied (отклонён запрос на прослушивание порта): вы используете PowerShell без прав администратора, об этом также сказано выше.
  • listen udp 127.0.0.1:53: bind: address already in use (порт 53 уже используется): какая-то программа уже прослушивает DNS порт. Может быть какая-то другая программа, а может быть предыдущий экземпляр dnscrypt-proxy, который вы не остановили перед запуском нового.

Нет ошибок? Отлично!

Пока не закрывайте терминал. В дальнейшем мы установим dnscrypt-proxy как системную службу и нам не нужно будет каждый раз запускать её в командной строке. Но пока мы этого не сделали, dnscrypt-proxy будет работать только пока не закрыто окно консоли.

Теперь мы поменяем системные настройки DNS.

Кликните правой кнопкой мыши по сетевому адаптеру, который используется для выхода в Интернет, и выберите «Свойства».

Найдите и дважды кликните пункт IP версии 4 (TCP/IPv4).

В открывшемся окне поставьте переключатель на «Использовать следующие адреса DNS-серверов» и впишите 127.0.0.1:

В качестве резервного DNS сервера впишите «8.8.8.8».

Если ваш Интернет провайдер поддерживает IPv6, то повторите эту же процедуру для «IP версии 6 (TCP/IPv6)», но в качестве IPv6 адресов используйте «::1» и «2001:4860:4860::8888».

Откройте ещё одно окно командной строки и выполните там:

C:\dnscrypt-proxy\dnscrypt-proxy -resolve hackware.ru

Также в командной строке проверим IP адрес домена с помощью утилиты nslookup:

nslookup hackware.ru

Обратите внимание на строку:

Address:  127.0.0.1

Она означает, что IP адресом DNS сервера является 127.0.0.1.

Проверьте работу операционной системы — откройте веб сайты, загрузите файлы, используйте свою систему обычным образом, чтобы проверить, что нет никаких проблем с DNS.

Если что-то пошло не так и вы хотите вернуть всё назад, то откройте настройки сетевого адаптера, как это показано чуть выше и переключитесь на автоматическое получение адреса DNS-сервера.

Если всё нормально, то нажмите Ctrl+c в первом терминале, где запущен dnscrypt-proxy чтобы остановить DNS прокси.

Теперь зарегистрируйте его как системную службу (эту команду нужно выполнить в окне с повышенными привилегиями, то есть с правами администратора):

C:\dnscrypt-proxy\dnscrypt-proxy -service install

Если не появились ошибки, то это прекрасно! Значит ваша версия Windows совместима со встроенным установощиком.

Теперь, когда служба установлена, запустите её:

C:\dnscrypt-proxy\dnscrypt-proxy -service start

Всё готово! При перезагрузке компьютера, данная служба будет запускаться автоматически.

Если вам нужно остановить службу, то выполните:

C:\dnscrypt-proxy\dnscrypt-proxy -service stop

Чтобы перезапустить запущенную службу (например, после изменения конфигурационного файла) выполните:

C:\dnscrypt-proxy\dnscrypt-proxy -service restart

Для удаления службы выполните:

C:\dnscrypt-proxy\dnscrypt-proxy -service uninstall

Для проверки DNS сервера используйте команду:

C:\dnscrypt-proxy\dnscrypt-proxy -resolve example.com

Чтобы полностью удалить dnscrypt-proxy сервер выполните:

C:\dnscrypt-proxy\dnscrypt-proxy -service uninstall

А затем удалите папку C:\dnscrypt-proxy — всё готово!

Как обновить nscrypt-proxy

Чтобы установить новую версию, остановите службу, замените исполнимый файл (dnscrypt-proxy) на новую версию и запустите службу снова.

У dnscrypt-proxy много опций, но они будут рассмотрены в следующем разделе.

Как включить DNS через HTTPS (DoH) на уровне операционной системы в Linux

Установка dnscrypt-proxy в Kali Linux

Данная инструкция с минимальными поправками должна также работать и в Linux Mint, Ubuntu и аналогичных. Если у вас данный дистрибутив, то попробуйте этот раздел и если что-то не получится, то пишите ваши ошибки в комментариях.

Установите пакет dnscrypt-proxy:

sudo apt install dnscrypt-proxy

ВНИМАНИЕ: Если при выполнении предыдущей команды вы получили ошибку «E: Невозможно найти пакет dnscrypt-proxy» (на английском «E: Unable to locate package dnscrypt-proxy»), то пропустите данный раздел и обратитесь к статье Ошибка «E: Невозможно найти пакет dnscrypt-proxy» в Kali Linux и Debian (РЕШЕНО)

Проверьте, чтобы порт 53 не был занят:

ss -lp 'sport = :domain'

В выводе должна быть всего одна строка, а именно шапка:

Netid State   Recv-Q  Send-Q   Local Address:Port     Peer Address:Port Process

Если вывод содержит более чем одну первую строку с названием столбцов, нужно отключить сервис, который использует порт 53. Одним из частых виновников является systemd-resolved.service (NetworkManager), но другие сетевые менеджеры могут иметь аналогичные компоненты. В общем, какая бы там ни была служба (возможно, вы уже устанавливали другой кэширующий DNS сервер), её нужно остановить и убрать из автозагрузки. Если нет процессов, прослушивающих порт 53, то можно продолжать.

Выполните проверку, чтобы убедиться, что dnscrypt-proxy работает:

/usr/sbin/dnscrypt-proxy -resolve example.com

Запустите службу dnscrypt-proxy и проверьте её статус:

sudo systemctl start dnscrypt-proxy.service
systemctl status dnscrypt-proxy.service

Если всё в порядке, добавьте службу в автозагрузку:

sudo systemctl enable dnscrypt-proxy.service

Откройте файл /etc/NetworkManager/NetworkManager.conf:

sudo gedit /etc/NetworkManager/NetworkManager.conf

и в раздел

[main]

добавьте

dns=none

 

Перезапустите NetworkManager:

sudo systemctl restart NetworkManager

Сделайте резервную копию файла /etc/resolv.conf:

sudo cp /etc/resolv.conf /etc/resolv.conf.backup

А затем удалите /etc/resolv.conf (это важно, поскольку это может быть ссылка на файл, а не настоящий файл):

sudo rm -f /etc/resolv.conf

И создайте файл /etc/resolv.conf 

sudo gedit /etc/resolv.conf

со следующим содержимым:

nameserver 127.0.2.1
# nameserver ::1 # для IPv6
options edns0 single-request-reopen
EDNSPayloadSize 4096

Установка dnscrypt-proxy в Arch Linux, BlackArch и их производные

Установите пакет dnscrypt-proxy:

sudo pacman -S dnscrypt-proxy

Проверьте, чтобы порт 53 не был занят:

ss -lp 'sport = :domain'

В выводе должна быть всего одна строка, а именно шапка:

Netid State   Recv-Q  Send-Q   Local Address:Port     Peer Address:Port Process

Если вывод содержит более чем одну первую строку с названием столбцов, нужно отключить сервис, который использует порт 53. Одним из частых виновников является systemd-resolved.service (NetworkManager), но другие сетевые менеджеры могут иметь аналогичные компоненты. В общем, какая бы там ни была служба (возможно, вы уже устанавливали другой кэширующий DNS сервер), её нужно остановить и убрать из автозагрузки. Если нет процессов, прослушивающих порт 53, то можно продолжать.

Выполните проверку, чтобы убедиться, что dnscrypt-proxy работает:

dnscrypt-proxy -resolve example.com

Запустите службу dnscrypt-proxy и проверьте её статус:

sudo systemctl start dnscrypt-proxy.service
systemctl status dnscrypt-proxy.service

Если всё в порядке, добавьте службу в автозагрузку:

sudo systemctl enable dnscrypt-proxy.service

Откройте файл /etc/NetworkManager/NetworkManager.conf:

sudo gedit /etc/NetworkManager/NetworkManager.conf

и проверьте, имеются ли там следующие строки:

[main]
dns=none

Если их нет, то добавьте их и перезапустите NetworkManager:

sudo systemctl restart NetworkManager

Сделайте резервную копию файла /etc/resolv.conf:

sudo cp /etc/resolv.conf /etc/resolv.conf.backup

А затем удалите /etc/resolv.conf (это важно, поскольку это может быть ссылка на файл, а не настоящий файл):

sudo rm -f /etc/resolv.conf

И создайте файл /etc/resolv.conf 

sudo gedit /etc/resolv.conf

со следующим содержимым:

nameserver 127.0.0.1
# nameserver ::1 # для IPv6
options edns0 single-request-reopen
EDNSPayloadSize 4096

Защита файла /etc/resolv.conf от изменений

Выше мы добавили настройку NetworkManager чтобы эта служба не меняла содержимое файла /etc/resolv.conf, как это делает она без предупреждений. На самом деле, NetworkManager действительно является самой частой причиной сброса настроек в /etc/resolv.conf, но не единственной. Подробности, а также способы, как определить, какая программа меняет файл /etc/resolv.conf и как надёжно заблокировать этот файл от изменения любыми программами, смотрите в статье «Как запретить NetworkManager менять файл /etc/resolv.conf».

Как настроить dnscrypt-proxy

Настройка dnscrypt-proxy выполняется с помощью файла dnscrypt-proxy.toml. В Windows этот файл расположен по пути C:\dnscrypt-proxy\dnscrypt-proxy.toml, а в Linux это файл /etc/dnscrypt-proxy/dnscrypt-proxy.toml. Независимо от операционной системы, настройка делается одинаково.

Откройте этот файл любым текстовым редактором, например, в Linux:

sudo gedit /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Содержимое этого файла зависит от вашего дистрибутива: иногда там полный дефолтный файл, иногда уже настроенный сопровождающими пакета.

Чтобы после редактирования файла dnscrypt-proxy.toml изменения вступили в силу, выполните следующую команду.

  • Для Windows:
C:\dnscrypt-proxy\dnscrypt-proxy -service restart
  • Для Linux:
sudo systemctl restart dnscrypt-proxy.service

Чтобы понять, что настраивать, немного информации о том, как работает dnscrypt-proxy. Для преобразования имён в IP адреса dnscrypt-proxy скачивает большой список DNS серверов и в фоне проверяет их доступность и скорость отклика. Запросы делаются к разным DNS серверам в зависимости от скорости отклика и алгоритмов балансировки нагрузки. Это можно изменить — например, можно выбрать определённое имя или несколько имён и указать его (или их) в директиве server_names. Если директива server_names пустая, то будут использоваться все сервера. Если в директиве server_names указано одно или более имён DNS серверов, то будут использоваться только эти сервера.

К примеру, я предпочитаю DNS сервер Google, тогда значение моей директивы:

server_names = ['google']

Если хотите сразу несколько DNS серверов, то укажите их используя следующий синтаксис:

server_names = ['scaleway-fr', 'google', 'yandex', 'cloudflare']

Чтобы узнать, какие сервера выбраны для использования, выполните команду.

  • В Windows:
C:\dnscrypt-proxy\dnscrypt-proxy -list
  • В Kali Linux:
/usr/sbin/dnscrypt-proxy -list -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml
  • В Arch Linux, BlackArch:
dnscrypt-proxy -list -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Директива listen_addresses устанавливает порт и IP адрес для прослушивания. Обычно, нет необходимости здесь что-то менять. Для работы с сокетами устанавливается следующее значение:

listen_addresses = []

Установите fallback_resolvers на

fallback_resolvers = ['8.8.8.8:53', '8.8.4.4:53']

Если вам зачем-то нужно вести журнал сделанных запросов, то найдите и раскомментируйте следующие строки:

[query_log]
file = '/var/log/dnscrypt-proxy/query.log'

Как добавить DNS сервер в исключение

Предположим, вы хотите использовать полный список DNS серверов, но хотите исключить некоторые из них. К примеру, как написали в комментарии, в данный момент у сервера rdns.faelix.net просрочен сертификат, что приводит к выводу предупреждений от антивирусного ПО. По этой причине мы хотим исключить данный сервер из списка используемых.

Это можно сделать с помощью директивы disabled_server_names, в качестве её значения нужно перечислить имена серверов, которые нужно избегать даже если они удовлетворяют всем критериям.

В первую очередь нам нужно знать имя проблемного DNS сервера. Для этого перейдите на страницу https://dnscrypt.info/public-servers

Внизу найдите выпадающий список «Rows per page» (Строк на страницу) и выберите там «All» (Все).

Нажмите в веб-браузере Ctrl+f для поиска по странице. Мы знаем, что проблемный адрес rdns.faelix.net, попробуем поискать по части имени «faelix»:

Итак, имена IPv4 DNS серверов это faelix-ch-ipv4 и faelix-uk-ipv4.

В файле настроек найдите disabled_server_names и добавьте имена туда:

disabled_server_names = ['faelix-ch-ipv4', 'faelix-uk-ipv4']

Если вы используете IPv6 подключение, то также добавьте в список исключений и IPv6 имена.

Сохраните файл настроек и перезапустите службу dnscrypt-proxy.

Документация по настройке dnscrypt-proxy на русском

На странице карточки программы размещён пример конфигурационного файла dnscrypt-proxy с объяснением всех опций и переводом комментариев на русский язык: https://kali.tools/?p=5964

Проверка работы dnscrypt-proxy

Я уже упоминал, что благодаря кэшированию, повторные DNS запросы обрабатываются быстрее. Для проверки можно выполнить два раза подряд команду:

time dig kali.tools +short

Первый ответ получен через 0,047s, а второй всего через 0,006s. Конечно, это только доли секунды, но всё равно хорошо. К тому же, вы реже будете сталкиваться с ситуацией, когда браузер «задумался» во время запроса из-за того, что по какой-то причине некоторые DNS ответы идут слишком долго или вовсе потеряны.

Можно проверить, сколько идёт запрос «напрямую», без DoH:

time dig kali.tools +short @8.8.8.8

В моём случае это 0,058s-0,094s с периодическими таймаутами, видимо, задержка на СОРМ. Видимо, зашифрованный трафик пропускается «как есть», а незашифрованный проходит какую-то обработку, вроде как проверку доменов/IP по реестру запрещённых сайтов и т. п. Больше шифрования — больше скорости!

Запустите Wireshark и начните захват трафика. Через некоторое время проверьте с использованием фильтра

dns

Там должно быть пусто, совсем.

Также с помощью фильтра посмотрим на пакеты, которые уходят к DNS серверу и возвращаются от него:

ip.addr == 8.8.8.8

Как можно увидеть на скриншоте, всё зашифровано, теперь у Интернет-провайдера и других посредников нет никакой возможности узнать или изменить содержимое DNS запросов и ответов.

Смотрите также «Фильтры Wireshark».

Настройка dnscrypt-proxy для использования с IPv6

Во-первых, измените файл /etc/resolv.conf

sudo gedit /etc/resolv.conf

там должны быть строки

nameserver 127.0.2.1
nameserver ::1
options edns0 single-request-reopen
EDNSPayloadSize 4096

В файле dnscrypt-proxy.toml

sudo gedit /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Нужно установить прослушивание IPv6 интерфейса:

listen_addresses = ['127.0.0.1:53', '[::1]:53'])

Замените

ipv6_servers = false

на

ipv6_servers = true

Помните, что сервер google это IPv4 сервер, а google-ipv6 это IPv6 сервер. Поэтому если вы установили значение server_names, то не забудьте туда вписать и IPv6 сервера, например:

server_names = ['google-ipv6', 'google']

Рекомендуется Вам:

31 комментарий to Как включить DNS через HTTPS и для чего это нужно

  1. Vlad:

    "Распакуйте скаченный архив — в нём папка «win64». Переименуйте эту папку в «dnscrypt-proxy» и переместите в корень диска C:\. Таким образом, папка и все файлы расположены по пути C:\nscrypt-proxy\."

    У вас опечатка, переименовать папку нужно в \nscrypt-proxy\

    • Alexey:

      Приветствую! Спасибо, что обратили внимание. В принципе, оно и так работало (видно по скриншотам), но для красоты поправил во всех командах. Но на скриншотах осталось как было.

      • Vlad:

        У меня еще вопрос, список автоматически загружаемых dns-серверов по умолчанию безопасен или нужно все же выбрать определенные (известные как гугл например)?

        Так то с предлагаемым списком cерверов dns работает очень шустро, не хотелось бы отказываться 🙂

        • Alexey:

          Полный список DNS серверов, которые использует dnscrypt, можно посмотреть на этой странице: https://dnscrypt.info/public-servers/. Там же есть их описание.

          Мне не нравится, что многие из них что-то фильтруют (блокируют). Какие-то из них ведут журналы. Кстати, DNS сервера Google ведут журналы, но ничего не блокируют.

          Можно было бы составить списки по описанию, например, отобрать те из них, в чьём описании встречается uncensored и non-censoring и которые не ведут журналы, но лично я не понимаю, почему мы должны верить тому, что написано.

          То есть если вас беспокоит, будут ли сохранены ваши запросы в журнал, то да, надо отбирать те из них, кто журнал не ведёт (по их же словам).

          Если вас беспокоит цензура, то опять придётся выбирать те, которые ничего не фильтруют.

          Если эти вопросы вас не беспокоят, то, наверное, можно использовать все сервера.

          Ещё интересные ссылки

          Интерактивная карта публичных DNS серверов: https://dnscrypt.info/map

          Ещё больше источников DNS серверов: https://github.com/jedisct1/dnscrypt-proxy/wiki/DNS-server-sources

          Анонимизированные DNS-реле:

  2. Oleg:

    Установил, все работает. Однако через месяц работы Kaspersky Total Security выдал следующую инфу:  "Невозможно гарантировать подлинность домена, с которым устанавливается зашифрованное соединение" - "программа dnscrypt-proxy.exe, веб-адрес: rdns.faelix.net", Причина:"Этот сертификат или один из сертификатов в цепочке не актуален".

    Подскажите: как  с этим бороться? Обращать внимание или игнорировать?

    При каждом запуске компа - нетбука высвечивается вышеуказанная инфа

    • Alexey:

      Приветствую! Я открыл этот адрес в веб-браузере и даже там показано, что сертификат данного субдомена просрочен. Если вы используете полный список DNS серверов, то добавьте этот адрес в исключение. Или составьте свой собственный список DNS серверов, которые, по вашему мнению, заслуживают доверие.

    • Alexey:

      Написал в статье раздел «Как добавить DNS сервер в исключение» на примере вашего проблемного сервера.

  3. Алексей:

    в wiresharke : ip addr == 8.8.8.8 - не показывает трафик - это правильно? ( так и должно быть? )

    у вас на скриншотах все таки показан зашифрованный трафик

    • Alexey:

      8.8.8.8 — это IP адрес DNS сервера Google который я выбрал в статье в качестве примера. Если вы выбрали другой DNS сервер или оставили автоматический выбор, то трафик к 8.8.8.8 может отсутствовать.

  4. Vlad:

    Доброго времени, Алексей

    Вышла новая версия исполняемого файла в windows понятно. В Kali установка была из репозитория. Файл автоматически версию не обнавляет, как заменить? Скачать с github установочный файл для linux amd64?

    • Alexey:

      Приветствую! В Linux, тем более Rolling дистрибутиве основанном на Debian Testing, которым является Kali Linux, dnscrypt-proxy обязательно обновится, причём раньше чем во многих других дистрибутивах.

      К тому же, если посмотреть список изменений dnscrypt-proxy, то в версии 2.1.0 (от августа этого года) изменения несущественные. А в версии 2.1.1 (от сентября этого года), исправляют ошибки, которые были «представлены» в версии 2.1.0… Вам действительно не терпится получить эти выпуски?

      И если ответ «да, не терпится», то переходите на Arch Linux — там пакеты обновляются чуть ли не раньше, чем на официальных сайтах )))))

      • Vlad:

        У меня в Kali версия файла до сих пор 2.0.45, в поиске пакетов также только эта версия, поэтому возник вопрос, возможно я что-то путаю.

        • Alexey:

          И в чём же проблема?

          • 2.1.1 — последняя версия, выпущена недавно, исправляет баги, возможно, добавляет новые
          • 2.1.0 — незначительные улучшения, баги
          • КАКИЕ-ТО ТАМ БЕТЫ
          • 2.0.45 — последняя стабильная версия ветки 2.0.*, эта версия сейчас в репозитории

          В репозитории сейчас последняя стабильная версия, за исключением двух совсем недавних. Что в этом вам кажется неправильным? Ветка 2.1.* чуть устаканется и пойдёт в репозитории.

          Опять же, повторюсь, самые последние версии пакетов не входят в достоинства Debian, а уж тем более производные вроде Ubuntu и Linux Mint. Или вы живёте с этим, или переходите на Arch Linux.

          Устанавливать вручную я бы не советовал кроме тех случаев, когда в последней версии есть функции, которые очень важны для вас или исправлен важный баг. В противном случае вы можете поломать процесс обновления, когда обновится версия в репозитории.

          • Vlad:

            Благодарю.

            Проблемы нет, всё работает. Хотел доп. пояснения по версии. За последними пакетами

            не гонюсь, понимаю, что в репозитории cтабильной ветки остается стабильный пакет до последнего, но руки "чесались")

  5. nobody:

    Работают  только восьмерки и единицы.

    Для остальных бубен?

    • Alexey:

      Нет. Вы что-то не так делаете.

      Хотя я не понимаю, о чём именно вы говорите… я, например, говорю о dnscrypt-proxy.

      • nobody:

        Да - dnscrypt-proxy.Получилось запустить только google и Cloudflare.

        Остальные FATAL ….. че-то там.

        Cloudflare в dnsleaktest говорит:

        172.68.15.190

        None

        Cloudflare

        Moscow, Russian Federation

        172.68.15.196

        None

        Cloudflare

        Moscow, Russian Federation

        172.68.9.113

        None

        Cloudflare

        Moscow, Russian Federation

        • Alexey:

          Остальные FATAL ….. че-то там.

          Что именно? Вас бы вряд ли устроил мой ответ «чё-то там сделайте чтобы чё-то там заработало».

          Я у себя выбрал в качестве DNS сервера НЕ Google Public DNS и НЕ Cloudflare, перезапустил службу DNSCrypt-proxy — всё работает.

          Если выбираете какие-то определённые сервера DNS, то напишите какие — могу проверить с компьютера в РФ (возможно, кто-то из них блокируется РКН).

          Чем больше конкретики, тем лучше — пишите ошибки полностью, желательно приводите настройки. Потому что у меня всё работает (я использую небольшой список отобранных DNS серверов, за работоспособность остальных DNS я ничего сказать не могу, но могу проверить).

          Результат dnsleaktest говорит о двух вещах:

          1) Вы правильно настроили DNSCrypt и он у вас действительно работает

          2) Вы не понимаете принцип работы/цели DNS через HTTPS

          Цель DNS через HTTPS в том, чтобы посредники (передатчики) вашего Интернет-трафика (например, ваш Интернет-провайдер или хакер, выполняющий в отношении вашего компьютера атаку человек-посередине) не могли бы записать и/или модифицировать ваши DNS запросы и получаемые ответы.

          Ни для каких приложений на вашем компьютере, в том числе веб-браузера, открывшего сайт https://dnsleaktest.com/, ваш DNS сервер НЕ является секретом. DoH НЕ пытается скрыть DNS сервер от веб-сайтов. DoH предотвращает прослушивание и модификацию DNS трафика для тех, кто может получить к нему доступ «на проводах» (как уже было сказано, это может быть Интернет-провайдер, или СОРМ).

          При использовании технологии DoH, НЕ является секретом, какой DNS сервер использует пользователь ни для Интернет-провайдер, ни для СОРМ — они видят, что до, например, IP адреса 8.8.8.8 идёт некий зашифрованный трафик. Конечно они могут догадаться, что это DNS запросы, поскольку 8.8.8.8 это популярный DNS сервер. Но для них весь трафик зашифрован — они не могут узнать, какие именно запросы вы туда отправляете и не могут подменить ответы. Именно это я и показывал в тестах Wireshark — распознать DNS запросы невозможно, но факт того, что он идёт до определённого IP, виден.

          • nobody:

            Благодарю!

            для opendns:

            sudo systemctl restart dnscrypt-proxy.service                  
            $  /usr/sbin/dnscrypt-proxy -list -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml                  
            [2022-02-11 18:06:42] [NOTICE] dnscrypt-proxy 2.0.45
            [2022-02-11 18:06:42] [NOTICE] Source [public-resolvers] loaded
            [2022-02-11 18:06:42] [FATAL] No servers configured

            так для всех в таблице кроме жужла и Cloudflare . И кстати в wireshark-е - только 1.0.0.1 (Cloudflare)

            И почему Cloudflare типа стучит в Moscow, Russian Federation ? Хочу чтоб был за бугром. Или это норм, или РКН? Этот момент бы пояснить плиз.

            server_names = ['opendns']
            fallback_resolvers = ['208.67.222.222:53','208.67.220.220:53']

            [query_log]
              file = '/var/log/dnscrypt-proxy/query.log'

            [nx_log]
              file = '/var/log/dnscrypt-proxy/nx.log'

            [sources]
              [sources.'public-resolvers']
              url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
              cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
              minisign_key = 'f6LRCGA9i53mlYGPpvWucNSCh1CBM0QTaLn73YMJKJBJHVGCVHGCH66'
              refresh_delay = 72
              prefix = ''

             

             

             

             

             

             

             

             

             

             

             

             

             

    • Alexey:

      Начну новую ветку, чтобы сообщения не были слишком узкими.

      При использовании опции -list ведь даже не происходит попыток подключиться к серверам. Эта опция просто выводит список серверов, которые в конфигурационном файле указаны в качестве DNS серверов. Более того, если ничего не трогать и всё оставить как есть, то опция -list просто выведет полный список серверов. А если настроить директиву server_names, то опцией -list будут выведены сервера, которые вы выбрали для использования.

      Чтобы получить [FATAL] нужно что-то (скорее всего раздел [sources.’public-resolvers’]) самому напортить в своём конфигурационном файле. В этой инструкции показано как настроить основные моменты в dnscrypt-proxy, если о каких-то частях конфигурационного файла ничего не сказано, это не означает, что их можно удалять или произвольно менять. Попробуйте скачать исходный конфигурационный файл и проверить с ним.

      Что касается выбора DNS сервера, то выбор иностранной компании не означает, что физически DNS сервер будет находится заграницей. К примеру, если в качестве DNS прописать 8.8.8.8, IP который принадлежит Google и который находится в США, а затем зайти на https://dnsleaktest.com/, то выяснится, что компьютер действительно использует DNS сервер Google, но расположенный в Финляндии… Это контринтуитивно, но компании, имеющие сервера в разных странах, могут настроить маршрутизацию трафика так, что пользователи будут использовать ближайший к ним сервер, независимо от указанных в их конфигурациях IP. Это настраивается на уровне маршрутизации трафика между сетями ISP (Интернет-провайдеров). Проще говоря, вы не можете на это повлиять/изменить.

      Так и вышло в вашей ситуации. Вы выбрали 1.1.1.1 в качестве DNS сервера. Этот IP принадлежит Cloudflare. Но фактически для ваш компьютер в качестве DNS сервера использует IP 172.68.15.196, который также принадлежит серверу Cloudflare и находится в Москве (просто потому, что он ближайший к вам). Это может определяться, например, протоколом BGP (Border Gateway Protocol) или другими протоколами которые отвечают за маршрутизацию трафика в сети Интернет и о существовании которых большинство пользователей даже не догадывается.

      Чтобы получить самые общие представления посмотрите: Что такое BGP и почему от него зависит Интернет?

      Так вот, чтобы ваш компьютер использовал DNS сервера за пределами РФ, вам нужно (можно выбрать что-то одно):

      1. Использовать DNS сервер компании, не имеющей серверов в РФ

      2. Использовать VPN или прокси-сервер, находящийся за пределами РФ

      • nobody:

        В чем-то Вы мне постоянно приоткрываете глаза.

        Зациклилсо  чет я на OpenDNS. А оказывается OpenDNS прекратил поддерживать DNSCrypt Proxy (вычитал на хабре).А надо-то всего-то dnscrypt.info/public-servers/

        Спасибо за Ваш труд, и за отличнейший ресурс.

        Читал ваши материалы по xss. Хотелось бы про DOM. Кучу англ/яз ресурсов перелопатил - каша в голове. CTF-ка ну никак не дается.

  6. tester:

    DNS через HTTPS

    вы просто поменяли Хозяина, как работодателя. Где здесь шифрование?

    О вас всё знал ваш провайдер, а теперь всё знает Гугл или что-там у вас в настройках, кто теперь Хозяин (принимает DNS).

    Запрос DNS после тунеля HTTPS у кого приземляется, тот и ваш Хоязин.

    • Alexey:

      Во-первых, у вас фиксация на слове «Хоязин/Хозяин» и это точно какая-то нездоровая хрень — но это не ко мне.

      Во-вторых, у вас полное непонимание технической части. На DNS сервера запросы могут приходить, например, от пользователей за NAT (технология при которой большое количество пользователей используют один единственный IP адрес) — при таких условиях даже при большом желании DNS сервер не может ответить, какому именно пользователю принадлежит конкретный запрос. А кроме IP адреса у DNS сервера больше нет способов индивидуализации пользователей. У Интернет-провайдеров достаточно средств для индивидуализации и сопоставления каждого DNS запроса/ответа с конкретным пользователем, заключившим договор.

      В-третьих, главная цель DoH это даже не анонимизация — об этом в комментариях чуть выше. Главная цель — предотвратить атаку DNS спуфинга (подмену DNS ответов, простая, но опасная атака).

      В-четвёртых, то, как у вас подгорает от этой технологии, говорит о том, что она действительно нужна и на самом деле действенная!

      Ну и в-пятых, самое главное — если вам не нужно — не делайте это! Всё на этом сайте только для тех, кому это нужно и кто понимает для чего это. Вас что, кто-то заставляет себе что-то настраивать? Живите как живёте — можете даже не заходить на этот сайт, я не против )))) Хотя DoH сейчас внедряется повсеместно, от веб-браузеров до ОС. Пригорает у вас или не пригорает — DoH скоро будет везде.

      • Jon:

        добрый день,

        а если у меня доменная сеть и ДНС сервер расположен на контроллере домена. могу я использовать такой вариант в связке с dnscrypt-proxy ? как это корректно реализовать?

  7. Kali:

    Здравствуйте.

    У меня вроде всё заработало, но проверочная команда dnscrypt-proxy -resolve example выдаёт [FATAL] Unable to load the configuration file [dnscrypt-proxy.toml] -- Maybe use the -config command-line switch? 

  8. nobody:

    День добрый!

    scaleway-fr отказал чет. Прописал scaleway-ams.Все вроде поднялось.Но в wireshark-е в фильтре ip.addr==51.15.122.250 только udp. Это норм?

  9. dnscrypt-proxy👍:

    Отличная статья, как и все остальные на Ваших сайтах, очень благодарен

  10. Alexey:

    Добавлен раздел 6.2.1 Как включить DNS через HTTPS (DoH) на уровне операционной системы в Windows (в настройках ОС)

    Теперь включить DNS через HTTPS (DoH) в Windows 11 можно без установки дополнительного ПО, но есть ограничения — выбрать можно только из предложенных DNS серверов.

  11. KaliA:

    Здравствуйте. Сейчас попробовала установить на Kali, пишет:

    Package dnscrypt-proxy is not available, but is referred to by another package. This may mean that the package is missing, has been obsoleted, or is only available from another source.

     

     

    • Alexey:

      Приветствую! Причина ошибки в том, что 2022-09-28 пакет был исключён из репозитория Debian Testing, а следовательно и из Kali Linux, которая основывается на Debian Testing. Подробности об этом можно прочитать на странице https://tracker.debian.org/pkg/dnscrypt-proxy, как можно понять из этой страницы, пакет dnscrypt-proxy был исключён автоматически из-за не разрешённой зависимости.

      При этом пакет dnscrypt-proxy легко установить вручную (пока он не вернётся в репозитории), как это сделать я описал в статье Ошибка «E: Невозможно найти пакет dnscrypt-proxy» в Kali Linux и Debian (РЕШЕНО).

  12. KaliA:

    Большое спасибо, буду пробовать.

Добавить комментарий для Alexey Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *