DNSCrypt — инструмент для безопасности использования Интернета

DNSCrypt — инструмент для безопасности использования Интернета

Категория: Программы безопасности
Разработчик:
Обновлено: 20.05.2019
Рейтинг:
Интерфейс: английский
Версия: 2.0.23.
Системы: Windows 2000 и выше
Лицензия: бесплатная
Размер: 2,8 МБ

О программе

Утилита DNSCrypt представляет собой инструмент, повышающий безопасность использования Интернета. Принцип действия программы основан на шифровании DNS-трафика между пользователем и провайдером. Она отличается простым использованием и бесплатным распространением, позволяя обходить блокировку сайтов, даже если в этом пользователю не помогают другие аналогичные сервисы.

Что нового

Версия 2.0.23, вышедшая в конце апреля 2019 года, считается последней на данный момент. Разработчик, с сайта которого можно DNSCrypt скачать, не сообщает о сделанных изменениях. Скорее всего, в программе было исправлено несколько обнаруженных у прошлой версии багов.

Системные требования

Для запуска программы не требуется компьютер с мощной аппаратной частью. Системные требования следующие:

  • для DNSCrypt Windows – версия этой операционной системы, начиная с 2000 и выше;
  • процессор и память, параметров которых будет достаточно для работы с Виндоус 2000;
  • любая графическая карта.

Есть версии программы, предназначенные для MacOS. Разработана даже утилита на ОС Android и DNSCrypt Linux, хотя их настройка будет сложнее, чем для Виндоус.

Плюсы и минусы:

Преимущества:

  • использование DNSCrypt серверов для защиты от подмены адресов мошенниками;
  • эффективная шифровка запросов;
  • бесплатное распространение;
  • минимальный размер, позволяющий утилите не занимать много места.

Недостатки DNSCrypt:

  • отсутствие доступа к некоторым заблокированным для страны проживания пользователя сайтам;
  • невозможность избежать замены, если уже отредактирован файл hosts;
  • отсутствие поддержки русского языка – интерфейс утилиты только английский.

Как использовать?

Работа с утилитой предполагает выполнения следующих этапов:

  • Скачивание DNSCrypt, установка которого не нужна для ОС Windows.
  • Сохранение копии исходного файла конфигурации example-dnscrypt-proxy.toml.
  • Запуск в командной строке с правами Администратора.
  • Настройка DNSCrypt вводом соответствующих команд – dnscrypt-proxy -service install и dnscrypt-proxy -service start.

Пользователь Windows может запустить DNS, просто кликнув дважды по файлу service-install. Для той же операционной системы можно скачать утилиту Simple DNSCrypt. Несмотря на похожее название, она представляет программу, решающую похожие задачи – но выпущенную другим производителем.

Часто задаваемые вопросы:

Какая главная задача у DNSCrypt?

Утилита входит в комплект программного обеспечения, повышающего конфиденциальность посещения сайтов, избавляющего от утечки информации и доступа к личной информации. Она шифрует весь трафик между пользователем и OpenDNS.

Появляются ли новые обновления DNSCrypt?

У новых версий программы нет графического интерфейса. Однако обновления продолжают разрабатываться и бесплатно выкладываться в Интернете.

Что делать, если программа не работает?

Вероятность отказа существует при использовании на ПК фаервола или других программ, управляющих сетевыми пакетами. Проблема решается включением DNSCrypt по TCP с портом 443 – это обманет фаерволлы, позволяя им считать, что используется HTTPS-трафик.

Отзывы пользователей

Не могу назвать DNSCrypt программой – это, скорее, служба Виндоус, только скачиваемая отдельно. Плюсов у неё много – простой интерфейс, быстрая работа. Минусы – нет поддержки русского языка и трудно найти инфу по ней на русском языке.

Михаил Д.

Пользовался этой программой несколько лет назад. Но теперь перешёл на Яндекс-браузер, который, в принципе, не нуждается в DNSCrypt – у него есть собственный встроенный плагин с похожими функциями.

Юрий К.

Легко запускается под Виндоус – и очень сложно было разобраться с запуском под Linux. Еле нашёл нужную информацию на форумах. Теперь могу защищать запросы от перехвата провайдером, блокирующим несколько нужных мне сайтов.

Анатолий Р.

Скриншоты

Видео обзор

DNSCrypt (dnscrypt-proxy)

Разработчик: dnscrypt-proxy
Лицензия: Freeware (бесплатно)
Версия: 2.0.33
Обновлено: 2019-11-18
Системы: Windows / MacOS / Linux
Интерфейс: английский
Рейтинг:
Ваша оценка:
Категория: VPN-сервисы, веб-прокси
Размер: зависит от платформы

О программе

Что нового

Новое в версии 2.0.33 (18.11.2019):

Новое в версии 2.0.20 (14.03.2019):

  • Ускорен запуск службы при запуске системы — особенно заметно при использовании DoH серверов.
  • Новое действие: «CLOAK» фиксируется в журнале, когда запросы маскируются.
  • Правило маскировки можно применять сразу к нескольким адресам IPv4 и IPv6 с балансировкой нагрузки
  • Новая опция: «refused_code_in_responses» возвращает отмененный код для запросов из черного списка (по умолчанию отключена для обхода ошибки в Android Pie).
  • Временные ограничения корректно обрабатываются в скрипте generate-domains-blacklist.py.
  • Другие улучшения скрипта generate-domains-blacklist.py.
  • Служба Windows теперь устанавливается как «NT AUTHORITYNetworkService».

Системные требования

Полезные ссылки

Подробное описание

DNSCrypt — программа, работающая как служба dnscrypt-proxy, которая улучшает защиту и конфиденциальность онлайн за счет шифрования DNS трафика между пользователем и OpenDNS, предотвращая попытки отслеживания, перехвата DNS и MITM-атаки (атаки «человек посередине»).

DNS является одним из фундаментальных кирпичиков Интернета. Служба DNS используются каждый раз при посещении веб-сайта, отправки электронной почты, общения с помощью сервисов мгновенного обмена сообщениями или выполнении другой сетевой активности. В то время как OpenDNS на протяжении многих лет предоставляет одну из самых безопасных служб DNS, сам протокол DNS может быть не полностью защищенным и подверженным уязвимостям. Например, в 2008 году Дэн Камински обнаружил критическую уязвимость в протоколе DNS, за счет эксплуатации которой злоумышленники могли перенаправить трафик практически с любого веб-адреса на свои серверы.

Тем не менее, ряд проблем, которые были связаны с уязвимостью стали результатом некоторых откровенно слабых основ протокола DNS, в частности в так называемой “последней мили”. “Последняя миля” — канал, соединяющий конечное пользовательское оборудование с узлом связи провайдера. DNSCrypt является одним из методов защиты “последней мили” DNS трафика и решения целого класса проблем безопасности протокола. Все большее количество пользователей в мире подключаются к различным беспроводным сетям в течение дня, необходимость в подобном инструменте очевидна. В мире фиксируется большое количество взломов, MITM-атак и перехватов DNS трафика в последней миле, и все это представляет серьезный риск безопасности, который нужно исключить при помощи DNSCrypt.

Почему DNSCrypt так важен?

Аналогичным образом, как SSL превращает веб-трафик HTTP в зашифрованный HTTPS трафик, DNSCrypt превращает обычный DNS трафик в зашифрованный DNS трафик, который защищен от отслеживания и MITM-атак. DNSCrypt не требует каких-либо изменений для доменных имен и способов их работы, а просто предоставляет способ для безопасного шифрования канала связи между пользователями и собственными DNS серверами в дата-центрах вендора. Проект DNSCrypt имеет открытый исходный код, выложенный на GitHub.

DNSCrypt имеет потенциал самого эффективного инструмента в Интернет-безопасности наравне с SSL, существенно улучшающего защиту и конфиденциальность пользователей Интернета.

DNSCrypt не использует криптографические библиотеки и полагается на эллиптическую криптографию, в частности криптопримитив Curve25519.

Важно: если Вы используете фаервол или другое ПО для управления сетевыми пакетами, попытайтесь включить DNSCrypt по TCP с портом 443. В этом случае большинство фаерволов будут считать, что имеют дело с HTTPS трафиком и проигнорируют контроль.

Как в Windows 10 — полностью скрыть DNS-трафик от посторонних глаз, используя шифрование.

В последнее время вопрос безопасности в сети волнует большое количество пользователей. Смерть сетевого нейтралитета а также ослабление правил для интернет-провайдеров связанных с обработкой сетевого трафика вызвали немало опасений по поводу конфиденциальности.

Несмотря на то, что провайдеры широкополосного доступа могут заявить, что они не отслеживают ваш трафик, «у них есть технические возможности и бизнес-интересы для манипулирования вашим интернет-трафиком».

DNS — можно представить как справочник Сети, выдающий фактический сетевой адрес IP, связанный с доменными именами сайтов и других интернет-служб.

Например, он превращает google.com в 172.217.21.238. Ваш интернет-провайдер предлагает DNS в пакете услуг, но он также может журналировать DNS-трафик — по сути, записывать историю ваших действий в интернете.

Предположим, что вы посещаете сайт с использованием HTTPS, но ваш DNS-запрос отправляется по незашифрованному соединению. Это означает, что если вы просматриваете страницу https://site.com , любой, кто слушает пакеты в сети, знает, что вы посетили сайт — site.com. Протокол DNS использует открытый обмен информацией между всеми клиентами и DNS-серверами(в их число входит и Ваше устройство). Таким образом, провайдер или злоумышленник который перехватывает ваши сетевые пакеты знает адреса посещаемых Вами сайтов или может их подменить (!) это не составляет особенного труда, даже при использовании VPN.

Компания Cloudflare запустила свой новый, бесплатный и высокопроизводительный DNS-сервис, предназначенный для повышения конфиденциальности пользователей в интернете и обещает не журналировать DNS-трафик.

Как в Windows 10 — полностью скрыть DNS-трафик от посторонних глаз, используя шифрование.

Для пользователей Windows 10 подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. На данный момент ни одна операционная система не поддерживает шифрование DNS без дополнительного программного обеспечения.

Установка Dnscrypt-Прокси с помощью PowerShell для Windows 10.

Примечание: Эта инструкция предназначена для пользователей, знакомых с командной строкой.

Самый простой способ использования dnscrypt-proxy в Windows 10- использовать инструмент Simple DNSCrypt.

Dnscrypt-прокси 2.0+ поддерживает DOH из коробки. Он поддерживает как 1.1.1.1, так и другие сервисы, включает в себя более сложные функции, такие как балансировка нагрузки и локальная фильтрация.

Шаг 1. Запустите PowerShell от имени Администратора.

Шаг 2. Загрузите dnscrypt-proxy здесь: файлы dnscrypt-proxy .

Найдите на странице файл в зависимости от разрядности вашей системы:

  • dnscrypt-proxy-win32-2.0.16.zip
  • dnscrypt-proxy-win64-2.0.16.zip

В примере мы используем файл dnscrypt-proxy-win64-2.0.16.zip

Итак, загрузите этот файл и распакуйте архив, где хотите.

Примечание: Вполне возможно, что исполняемый файл должен находится в одном месте, файл конфигурации в другом месте, файлы кэша в третьем и файлы журналов еще где-то. Но если это первый раз, когда вы устанавливаете программное обеспечение, и у вас нет веских причин сделать вещи более сложными, чем они должны быть, просто держите все в одном каталоге. По крайней мере, для начала и для обеспечения того, чтобы все работало так, как ожидается. Кроме того, не изменяйте настройки DNS на этом этапе.

Шаг 3. В PowerShell перейдите в каталог, который вы только что извлекли из архива, используя команду cd, например (мы распаковали архив на рабочий стол), в моем случае команда будет такая:

Чтобы убедится, что все в порядке используйте команду ls она покажет список файлов каталога, среди которых есть dnscrypt-proxy и example-dnscrypt-proxy.toml.

Шаг 4. Создадим файл конфигурации на основе примера, введите следующую команду:

Перейдите в каталог dnscrypt-proxy для чего введите:

Все в порядке? dnscrypt-proxy is ready — live servers: ** Если нет, попробуйте выяснить, почему. Вот несколько советов:

  • dnscrypt-proxy.toml: no such file or directory: скопируйте пример файла конфигурации, dnscrypt-proxy.toml как описано выше.
  • listen udp 127.0.0.1:53: bind: permission denied: вы не используете PowerShell от имени Администратора (см. шаг 1).
  • listen udp 127.0.0.1:53: bind: address already in use: что-то уже прослушивает порт DNS. Возможно, возможно, предыдущий экземпляр dnscrypt-proxy, который вы не остановили, прежде чем запускать новый.

Нет ошибок? Удивительно!

Не закрывайте окно PowerShell. Мы изменим настройки DNS системы.

Шаг 5: Измените настройки системы DNS

1: Откройте «Параметры Windows» нажав сочетание клавиш Win + I или нажмите на значок шестеренки в меню «Пуск».

2: Перейдите в раздел «Сеть и интернет»«Состояние»«Настройка параметров адаптера».

3: В открывшимся окне «Сетевые подключения» кликните правой кнопкой мыши по сети, к которой вы подключены, и нажмите «Свойства». (в зависимости от подключения это может быть Wi-Fi или Ethernet).

4: В свойствах подключения выберите IP версии 4 (TCPIPv4).

5: Нажмите кнопку «Свойства».

6: На странице свойств протокола IP версии 4 (TCP / IPv4) — выберите «Использовать следующие адреса DNS-серверов» и введите «Предпочитаемый DNS-сервер» как: 127.0.0.1

Вернитесь к PowerShell и нажмите сочетание клавиш Ctrl + C .

Давайте проверим, что все работает, отправив первый запрос с помощью dnscrypt-proxy:

Похоже, успешно разрешен example.com? Отлично! Откройте снова или перезапустите браузер. Теперь попробуйте еще несколько вещей: просмотрите несколько веб-страниц, попробуйте загрузить пару файлов, используйте вашу систему как обычно и проверьте, не появилось ли каких-либо проблем, связанных с DNS.

Если что-либо пойдет не так, и вы хотите вернуть все обратно на странице свойств протокола IP версии 4 (TCP / IPv4) удалите введенные вами DNS-адреса.

Шаг 6: Измените файл конфигурации

Примечание: если сомневаетесь — пропустите данный пункт

Нажмите Ctrl + C окне терминала PowerShell, чтобы остановить dnscrypt-proxy.

В этот момент вы все еще должны находиться в каталоге dnscrypt-proxy.

В файле dnscrypt-proxy.toml есть много пунктов, которые вы можете настроить. Подстройте их, если хотите.

Введите, ./dnscrypt-proxy чтобы запустить сервер, и Ctrl + C чтобы остановить его. Проверяйте, настраивайте, останавливайте, проверяйте, настраивайте, останавливайте, пока не будете удовлетворены.

Вы удовлетворены? Хорошо, давайте перейдем к шагу 7!

Шаг 7: Установите прокси-сервер в качестве системной службы

Нажмите Ctrl + C окне PowerShell, чтобы остановить прокси.

Теперь необходимо зарегистрировать dnscrypt-proxy как системную службу (все еще от имени администратора):

Если нет никаких ошибок, это здорово! Ваша версия Windows 10 совместима со встроенным установщиком.

Теперь, когда служба установлена, ее можно запустить:

Теперь при следующем включении ПК служба будет запускаться автоматически.

Готово! Мы только что установили шифрование для DNS в Windows 10.

Примечание: Хотите остановить службу?

Хотите перезапустить текущую службу после изменения файла конфигурации?

Хотите удалить службу?

Хотите проверить, что разрешение DNS работает?

Блог Алексея Воронина

История, краеведение, сельское хозяйство, лесоводство, биология, IT…

Шифруем DNS-запросы или dnscrypt-proxy в действии — НЕТ утечке DNS

Протокол DNS предполагает открытый обмен информацией между клиентами (в число которых входит и Ваш компьютер) и DNS-серверами. Таким образом, «подсмотреть» адреса посещаемых Вами сайтов (утечка DNS, «DNS Leak«) или даже подменить их (!) не составляет особенного труда, даже при использовании VPN.

Например, рассмотрим информацию, передаваемую при запросе IP-адреса сайта ya.ru у DNS-серверов Google 8.8.8.8 и 8.8.4.4 при выполнении команды ping:

Перехватываем сетевые пакеты — происходит обращение к порту 53 по IP-адресам 8.8.8.8 и 8.8.4.4:

Смотрим содержимое запроса:

Имя сайта (ya.ru) содержится в запросе открытым текстом :
0x02 (2 символа) 0x79 (y) 0x61 (a) 0x02 (2 символа) 0x72 (r) 0x75 (u) 0x00 (конец)

Как же скрыть эту информацию от посторонних глаз?
Протокол DNSCrypt (криптографическая защита DNS-трафика) нам поможет 🙂

Применим в деле чудесную утилиту dnscrypt-proxy (автор — парижский модный фотограф и по совместительству программист и математик Frank Denis), использующую для защиты наших секретов эллиптическую криптографию (Curve25519).

Сначала подключаемся к Интернету и скачиваем последнюю (2.0.*) версию утилиты dnscrypt-proxy по адресу https://github.com/jedisct1/dnscrypt-proxy/releases/latest:
dnscrypt-proxy-win32-*.zip (для 32-битных систем Windows);
dnscrypt-proxy-win64-*.zip (для 64-битных систем Windows)

Распаковываем содержимое скачанного архива, например, в папку C:dnscrypt.

Создаем файл конфигурации dnscrypt-proxy.toml (на основе файла example-dnscrypt-proxy.toml).

Пример файла конфигурации с удаленными комментариями:

Вместо ******** задаем имя удаленного DNS-резольвера.
DNS-резольвер принимает запрос от клиента (Вашего компьютера) и отправляет его к DNS-серверу.
Эти резольверы описаны в файле public-resolvers.md.

Пример описания DNS-резольвера:

Красным цветом выделено имя резольвера, которое и подставляется в файл конфигурации вместо зведочек.

Самыми важными свойствами резольвера являются:

  • Non-logging — не ведет протокол запросов
  • supports DNSSEC — поддерживает цифровую подпись — DNSSEC
  • AD-filtering — фильтрует рекламные запросы

Также в файле конфигурации задан локальный адрес для прием DNS-запросов (выделен синим цветом):
127.0.0.1:53

Устанавливаем утилиту dnscrypt-proxy как службу Windows, запустив командный файл service-install.bat. После инсталляции служба будет автоматически запускаться при каждой перезагрузке

Изменяем адреса DNS-серверов для Ваших сетевых адаптеров:
каждый адаптер имеет свои настройки DNS для протокола IPv4:

задаем как адрес DNS-сервера локальный адрес 127.0.0.1:

Проверяем работу резольвера посредством сайта ipleak.net — должен определяться DNS-сервер, не относящийся к Вашему провайдеру:

посредством сайта Perfect Privacy :

Перехватив пакеты, можно убедиться, что теперь мой компьютер обращается к порту 443 сервера с IP-адресом 212.47.228.136:

Сам запрос зашифрован:

Voila
!

Ссылка на основную публикацию