Jak sprawdzić, czy DNS jest szyfrowany?

14

Zainstalowałem DNSCrypt , jego zaszyfrowaną OpenDNS DNS dla Ubuntu i innych użytkowników Linuksa i działa dobrze.

Skąd mam wiedzieć, czy mój DNS jest zaszyfrowany? Poszukałem google, ale nic nie znalazłem.

Status 

one@onezero:~$ status dnscrypt 
dnscrypt start/running, process 1013
one@onezero:~$ sudo netstat -atnlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1013/dnscrypt-proxy

Zaktualizowano

Wireshark

@Alvar

wprowadź opis zdjęcia tutaj

wprowadź opis zdjęcia tutaj

wprowadź opis zdjęcia tutaj

wprowadź opis zdjęcia tutaj

bez DNSCrypt

wprowadź opis zdjęcia tutaj

encryption dns dnscrypt-proxy One Zero
źródło

Odpowiedzi:

6

Możesz to sprawdzić, Wiresharksłuchając karty sieciowej, po prostu wykonaj następujące kroki:

  1. sudo apt-get install wireshark (wklej to do terminala)
  2. uruchom go z terminala za pomocą sudo wireshark(musisz być sudo, aby móc słuchać karty sieciowej).
  3. następnie zacznij słuchać i odfiltruj wszystko oprócz własnego adresu IP.

Teraz sprawdź, czy protokoły dns są zaszyfrowane.

  1. użyj filtra, aby tylko pokazać dns
  2. Zatrzymaj skanowanie.
  3. kliknij element listy, który mówi dns i pochodzi z twojego ip.
  4. Teraz kliknij protokół transmisji, aby sprawdzić, czy jest zaszyfrowany.
Alvar
źródło
@OneZero kliknij podświetlony na czerwono obszar z napisem dns , spójrz tam, powinieneś dowiedzieć się, czy jest tam zaszyfrowany.
Alvar
3

Jeśli używasz OpenDNS jako serwera DNS obsługującego dnscrypt, sposobem sprawdzenia, czy działa, jest użycie jednego z następujących poleceń:

drill txt debug.opendns.com

dig txt debug.opendns.com

Tekst odpowiedzi powinien zawierać wiersz, w którym jest napisane „włączony dnscrypt”:

;; ANSWER SECTION:
debug.opendns.com.  0   IN  TXT "server 11"
debug.opendns.com.  0   IN  TXT "flags 22 2 222 2"
debug.opendns.com.  0   IN  TXT "id 6666666"
debug.opendns.com.  0   IN  TXT "source 209.6.69.160:44444"
debug.opendns.com.  0   IN  TXT "dnscrypt enabled (...)"
sanilunlu
źródło
drillwymaga pakietu ldnsutils, chociaż digdziała, a nslookup -type=txt debug.opendns.comtakże działa.
Acumenus
1

Zainstalowałem dnscrypt 1.1 na Ubuntu 12.10.

Zredagowałem, /etc/NetworkManager/NetworkManager.confaby skomentować

dns=dnsmasq

Następnie dodaj /etc/init/dnscrypt.confi dodaj w nim:

 description "dnscrypt startup script"

 start on (local-filesystems and started dbus and stopped udevtrigger)
 stop on runlevel [016]

 script
         exec /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d
 end script

Następnie zmieniłem ustawienia sieciowe na DNS 127.0.0.1:

Potem zrestartowałem się i upewniłem, że dnscryptdziała, a dnsmasqto nie było:

 ps aux | grep dns
 root      6581  0.0  0.0  16116   720 ?        Ss   04:47   0:00 /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d

Następnie otworzyłem, wiresharkaby sprawdzić, czy DNS został zaszyfrowany:

Wygląda na to, że nie jest.

Odwiedzając stronę http://www.opendns.com/welcome/, weryfikuję, czy korzystam z opendns.

]

echosyp
źródło
0

OK, rozumiem

Uruchom dnscrypt-proxy --deamonize (powinien już być uruchomiony)

  1. Przejdź do ikony Sieć u góry i przejdź do Ustawień sieci.
  2. Przejdź do bieżącego połączenia i kliknij Konfiguruj ...
  3. Przejdź do zakładki Ustawienia IPv4.
  4. W polach Serwery DNS i Wyszukaj domeny wpisz: 127.0.0.1
  5. Wejdź na http://opendns.com/welcome

Jeśli zostaniesz przekierowany na stronę http://opendns.com/welcome/oops, oznacza to, że nie jest poprawnie skonfigurowany.

Przepraszam za to. Nie chciałem iść na ból, żeby to wszystko skonfigurować, ale było to niezwykle łatwe! Mam nadzieję, że się czegoś nauczyłeś. Oczywiście zrobiłem!

Chuck R.
źródło
czy mogę sprawdzić, czy qcesy zostały wysłane, który zaszyfrowany serwer DNS?
One Zero
1
Naprawdę nie rozumiem, co masz na myśli, zostanie przesłana tylko do dwóch możliwości w większości sieci domowych. Najprawdopodobniej ustawisz je w routerze lub w pliku /etc/resolv.conf. Dlatego za każdym razem, gdy komputer o coś prosi, router pyta te dwa serwery DNS. Żadnych innych, ponieważ nie zna innych. Jeśli naprawdę chcesz wiedzieć, możesz umieścić komputer z dwoma kartami sieciowymi i Wireshark między komputerem a routerem. Następnie możesz odczytać pakiety przechodzące przez komputer. Ale oczywiście musisz wiedzieć, czego szukasz.
Chuck R
ty, dobry, powinieneś dołączyć ten szczegół do swojej odpowiedzi
One Zero
Szturchać! Czy widziałeś moją zaktualizowaną odpowiedź?
Chuck R
tak zrobiłem, jego 127.0.0.2, jeśli używasz skryptu upstart jako im, patrz pomoc w8, już sprawdzone otwarte dns witają to samo na szyfrowanym i nieszyfrowanym
One Zero
0

dnscrypt-proxy przyjmuje żądania DNS, szyfruje je i podpisuje za pomocą *  dnscrypt  * i przekazuje je do zdalnego resolvera obsługującego dnscrypt

Oczekuje się również, że odpowiedzi z resolvera zostaną zaszyfrowane i podpisane.

Serwer proxy weryfikuje podpis odpowiedzi, odszyfrowuje je i trans-rodzicielsko przekazuje je do lokalnego programu rozpoznawania kodów pośredniczących.

dnscrypt-proxy domyślnie nasłuchuje na 127.0.0.1 / port 53.

One Zero
źródło
-1

Przechodzisz na stronę powitalną OpenDNS i powinieneś zobaczyć coś w rodzaju „Witamy w OpenDNS! Twój Internet jest bezpieczniejszy, szybszy i mądrzejszy, ponieważ używasz OpenDNS”. Oznacza to, że używasz OpenDNS jako dostawcy DNS i jeśli nie skonfigurowałeś OpenDNS bez dnscrypt, twoje żądania DNS powinny zostać zaszyfrowane.

Innym sposobem byłoby przechwycenie ruchu DNS za pomocą wireshark, tcpdump itp. I sprawdzenie, czy rzeczywiście jest on zaszyfrowany, ale jest bardziej skomplikowany i wymaga dogłębnej wiedzy.

Li Lo
źródło
opendns.com/welcome > ya, byłem tam przed jego dns o open-dns, pozwól mi zweryfikować na moim laptopie ten bez szyfrowania
One Zero
jak pokazano tutaj
One Zero
OpenDNS nie jest jedynym dostawcą obsługującym DNScrypt. sudo dnscrypt-proxy --daemon -a 127.0.0.2 --resolver-address=23.226.227.93:443 --provider-name=2.dnscrypt-cert.okturtles.com --provider-key=1D85:3953:E34F:AFD0:05F9:4C6F:D1CC:E635:D411:9904:0D48:D19A:5D35:0B6A:7C81:73CBjest jednym z wielu, które nie używają OpenDNS.
mchid