Это копия, сохраненная 7 февраля 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Довольно интересная тема для попиздеть, узнать кто чем пользуется, просто обосрать какого-то провайдера.
Предыдущий тред: https://arhivach.org/thread/328428
Cloudflare DNS
> DNS: 1.1.1.1 / 1.0.0.1 / 2606:4700:4700::1111 / 2606:4700:4700::1001
https://1.1.1.1/
Компания Cloudflare предоставляет услуги DNS, CDN-прокси и защиты от DDoS-атак.
Позиционирование: Совместно с APNIC, они основали DNS-сервер с упором на скорость и приватность. Имеется поддержка DNS-over-TLS и DNS-over-HTTPS. Занимает первое место в рейтинге по версии DNSPerf.
На самом деле: медленнее серверов Google. В тесте на защиту от спуфинга от GRC получает статус "Moderate", что настораживает. Есть статья на Хабре "с разбором полётов" https://habrahabr.ru/post/352654/
Google Public DNS
> DNS: 8.8.8.8 / 8.8.4.4
https://developers.google.com/speed/public-dns/
Позиционирование: быстрый резолвинг адрессов по всему миру.
Монетизация: очередной проект (коих сотни) на бюджете у самой дорогой и успешной рекламной конторы. Могут себе позволить.
На самом деле: анаизируют траффик, применяют различные эксперименты, смотрят кто и как и что делает в интернетах. Довольно быстро резовлят адреса, и новые, только появившиеся домены, или изменения в записях DNS.
OpenDNS
> DNS: 208.67.222.123
https://www.opendns.com/home-internet-security/
Позиционирование: быстрый, надежный, безопасный DNS с вменяемой информацией откуда у них собственно бабло и мотивация заниматься этим бизнесом. Но с 2015 года после покупки за 675 миллионов долларов CISCO, которая славится своим открытым сотрудничеством с американскими ГэБэ отношение немного подпорчено этим осадочком.
На самом деле: сервера практически по всему миру. В бывший совок их не пустили, но они стоят практически на пороге. На западе очень популярно практически везде, но мало о них говориться. Модель бизнеса с 2005 по 2015 была простой: если домен не резолвится, пользователю открывается страница с рекламой + премиум днс без рекламы и с большим количеством серверов. Т.е. до 2015 года модель полностью логично раскладывала "откуда бабло на сервера, и нахуй вы этим занимаетесь". С 2015 года после покупки ВНЕЗАПНО CISCO - стало все предельно не понятно. Появились "регистрации" где просят вставить зонд поглубже в жопу имя \ фамилию, телефон и так далее. Монетизация изменилась, но так же присутствует. Что как бэ намекает. На выбор анона...
Yandex DNS (2013 - 20...)
> DNS: 77.88.8.8 / 77.88.8.1
https://dns.yandex.com/
Позиционирование: "ответ пиндосам Google, но лучше". Смесь OpenDNS + Google но с задержками близкими к нулю из-за физического расположения в странах бывшего совка. Зарубежем не известен, и никому нахуй не нужен. Предоставляют безопастность, скорость, надежность массаж простаты зондами.
На самом деле: появилось именно в момент политического кризиса на Украине, что уже как бэ намекает. Тут 10 лет ничего не делали, и на - вот вам DNS. Сотрудничает с провайдерами по всей РФ, Украине, Беларуси, Казахстану в плане шары и так далее (палите инфу у своего провайдера) но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэ. Но если даже отнять фактор сотрудничества с гэбухой для развязывания войн - довольно шустрый, хороший, и на удивление качественный DNS сервис (лол, да?). Полностью бесплатный. Хоститься так же как и сервис гугла на своих серверах в точках физического присутствия. Финансируется из общака Яндекса, использует продвинутые технологии фильтрации благодаря приобретенным антивирусным компаниям, и собственным наработкам. Если бы не сотрудничали с ГэБэ был бы довольно годный DNS. Но скорее всего он у тебя анон прямо сейчас предустановлен, если у тебя есть контракт (у провайдера) обмена пиров и так далее для максимальной доступности VK / Одноклассники / Mail.ru / Yandex (аля чебурнет social media).
Quad9
> DNS: 9.9.9.9
https://www.quad9.net/
Позиционирование: смесь Google Public DNS + Yandex DNS но от британцев + IBM. Очень быстрые DNS + безопасность с помощью самых передовых технологий обнаружения и блокирования гадостей в интернет.
На самом деле: очень разрекламированный сервис в ноябре 2017. Содержится на донаты от гос. структур, и прочего скама + хостится на инфраструктуре IBM. Цели - понятны, оно же Yandex но британской (IBM) разлива. Работает быстро, фильтрует грамотно, все четко, если бы не одно но - финансируется государством, и прочим скамом. Они заявляют что никому ничего не продают, ничего не собирают и так далее - но мы то знаем... Физическое размещение серверов ЛУЧШЕ (однако) чем у Google для стран бывшего Совка, Европки, и США. Пользоваться на риск анона. Проблем пока не замечено.
Verisign DNS
> DNS: 64.6.64.6 / 64.6.65.6
https://www.verisign.com/ru_RU/security-services/public-dns/index.xhtml
VeriSign, Inc. (стилизованное название: VERISIGN) – американская компания из города Рестон, Вирджиния, поддерживающая разнообразные сетевые инфраструктуры, включая два из тринадцати существующих корневых серверов DNS, авторитетный реестр доменов верхнего уровня .com, .net, общие домены верхнего уровня .name и домены верхнего уровня с кодом страны .cc и .tv, а также серверные системы для доменов .jobs и .edu. Verisign также предлагает услуги по обеспечению безопасности, включая управляемую службу DNS, противодействие распределённым атакам типа «отказ в обслуживании» (DDoS) и уведомление о кибер-угрозах.
Позиционирование: публичные DNS-сервера представляются как стабильные, безопасные и приватные. Утверждают, что не продают данные пользователей и не перенаправляют на рекламу.
На самом деле: собирают служебные данные, такие как IP-адреса и т.д, поэтому может слить добрым людям из пиндоской гэбни. Высокий пинг, но в тоже время хорошие результаты по тестам GRC.
Твой локальный провайдерский DNS
> DNS: 192.168.0.1 / 10.0.0.1 / ты сам знаешь какой
Позиционирование: минимальные из всех возможных задержек (до 10мс, обычно не превышает 2мс). Максимально быстрое открытие сайтов в виду отсутствия пре-дилея с DNS. Синхронизация DNS обычно раз в час, т.е. через 1 час после покупки домена ты сможешь его отрезолвить и посетить, не раньше... Связано с распиздяйничеством администраторов, экономией ресурсов и так далее. Но это лучше - чем ничего. Никаких защит - нет. Онли - максимальная скорость резолвинга домена.
На самом деле: если важна скорость - то это всегда лучше чем любая из альтернатив выше (кроме яндекса наверное). Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой.
==================================
Анон, чем пользуешься ты? И почему?
>Cloudflare DNS
>На самом деле
Можно смело предполагать, что тоже монетизируют юзеров, как гугл.
> Через dnscrypt поддерживается dns-over-tls/https?
В https://dnscrypt.info/faq/ они есть.
>>286044
Можно те же. Возможно днскрипт2 будет тем самым костылём для старых осей, которые не получат поддержку DNS over HTTPS.
>>286084
Айпишник далеко не всегда палит, куда ты идёшь. Тем более в наше время. Идёшь на клаудфлярный айпишник и кто по нему поймёт? Там даже не обязательно стучаться на тот, который указан в днс. Можно тупо стучаться на любой из их облака, и тебя направит к искомому сайту. Блокировки так легко обходятся, в хостс пишешь другой клаудфларный айпишник и хуй ложишь.
Вот если бы ты говорил про SNI, то уже более весомый аргумент. Но при подготовке TLS 1.3 было обсуждение скрытия SNI и варианты, так что это не невозможный вариант в будущем. А DNS было полной жопой, которая любые старания по приватности обсирала в 0. И вот наконец эта проблема решается, это прекрасно.
Алсо из комментов хабра с моими []:
> Пережевывать весь https-трафик [а точнее ClientHello] vs отвести на анализ только 53 порт [по которому тупо открытым текстом бегает днс] — для некоторых провайдеров задачи разного масштаба, на это, видимо, и расчет.
и все?
в зависимости от типа подключения и что нахимичил провайдер. Обычно PPPoE подразумевает полный похуизм на настройки, другими словами - все само должно тебе прописаться от провайдера.
Если вопрос: "я хочу изменить дефолтный провайдерский который выдает мне PPPoE DNS на любой другой", то нужно зайти в дополнительно в роутере в подключениях и ввести нужный тебе днс, либо в настройках своего подключения вбить нужный днс.
У пппое, насколько я помню. Но для верности можешь у обоих поставить, по идее ничего сломаться не должно.
https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html
https://www.opennet.ru/opennews/art.shtml?num=48443
DNSCrypt2 уже умеет в over-tls?
и телеметрию, pi-hole больше не прокатит. надеюсь это выключается в настройках.
А хостс или всякая blokada, о которой пишут в соседнем треде, не катит? Днс отлавливать для блокировки это какой-то ужасный костыль.
> DNSCrypt2 уже умеет в over-tls?
Оказалось, что васян не собирается. Но есть dns-over-https во всех вторых версиях.
Про симплднскрипт виндовый не понятно. Плюс у него сейчас похоже массовые проблемы с запуском службы.
Хостс никто и не спросит тогда.
Алсо. Многие уже выпускают софт с внутренним dns, например Windows 10, Nvidia, Kaspersky и т.д. Они слушают адрес localhost с определённым портом и юзают его для обхода блокировок.
> Хостс никто и не спросит тогда.
Уверен? В чём отличие-то? Никто не долбится в хостс по легаси-днс-протоколу ведь. Просто ось проверяет перед резолвом, есть ли в файле этот домен. Ничего не мешает это и с новыми протоколами делать.
Вот с программами будет проблема, как например лиса в ночнушках dns over https тестирует. Тут ось не знает о резолве, а сама лиса хостс не чекает и возможно даже не имеет доступа.
Но если шифрованием днс занимается сама ось, то работа хостс технически всё так же возможна.
ты реально тупой или притворяешься? зачем что-то перечислять, если нужна просто ссылки на проект
неюзабельное васянское говно
Кому надо итак найдут
>DNS: 1.1.1.1
Почему при настройке stubby на 1,1,1,1 https://dnsleaktest.com/ показывает российский флажок?
И значит ли это что они сливат данные тварищмайору?
Extended test ,нажимал
Лол. А разве твой провайдер не может видеть IP твоих подключений и резолвить их?
Что они так дрочатся со своими днс, и так их мониторят через cookies, айпишник, и еще масса вариантов.
Кто они?
Ну вот тебе и ответ, зачем днс шифровать. Потом и до SNI дойдём.
Что несешь, там anycast адреса есть. OpenNic однозначно стоило в шапку добавить.
Алсо, был же уже такой тред? Зачем второй?
Про DNSCrypt, DNS over TLS и DNS over HTTPS очень рекомендую почитать вот это, поможет разложить в голове мешанину информации по полочкам.
https://habrahabr.ru/post/353878/
Я меня инет щас через 3g свисток.
>^Z
>Остановлен ping
Ты вообще в курсе, что программы завершаются по Ctrl+C? Так, на всякий случай спрашиваю.
В курсе, но нахуй закрывать, если можно остановить и пердолится дальше.
тут и думать нечего, адгуард это говно под колпаком ГэБэ пидаршкинского. Их софт клал хуй на пользователя.
Их товар - жестко пиарят и продвигают куда только можно.
Де-факто это все то же, что у западных аналогов, только на сервера пидарахии с нужным кому нужно доступом.
Не ведись.
Использую вместе с днскрипт уже давно, они берут днс от гугла и опенднс и вырезают рекламные домены, брат жив.
Рекламу можно самому блочить через pdnsd
Х.з. чего ты вообще хочешь от днсов. У меня, например, с год назад в один прекрасный день отвалились все сервисы гугла. Просто телефоны перестили заходить в гугл плей и на ютуб через домашний wifi. При этом с компа и даже через браузер телефона все открывалось, грузилось и логинилось. Они же постоянно что-то блокируют и весь чебурнет пидорасит непредсказуемым образом. Хорошо еще, что телефона 2 и ни с одним из них последние несколько дней я не производил никаких критических манипуляций, иначе вместо того, чтобы копать в сторону провайдера, меня ждали бы увлекательные танцы со сбросами и перепрошивками. А так я как-то нагуглил про смену днс, поменял на 8.8.8.8 волшебным образом все заработало, а за одно пропали тормоза при просмотре ютуба через комп, когда воспроизведение не начиналось по пол минуты, причем само воспроизведение без тормозов, а в начале, или при перемотке постоянные тормоза. Оказалось тоже было из-за днс. Так и жил с пол года, потом заметил, что опять стали появляться тормоза при загрузках сайтов, пару раз кидало на провайдерскую заглушку, причем на самых обычных ресурсах, типа какого-то местного форума. Нагуглил про спуфинги и прочую хуйню, которую стало модно творить. Поставил днскрипт, пока полет нормальный. Вот что я получил как обычный пользователь.
Чё bump?
Настраиваешь до впски шифрованый днс, а впску к корневым днс.
А ещё лучше сразу впн или сс там поднять.
/thread
Это такая залупа которая говорит твоему браузеру как пройти нахуй по айпи зная только домен хуя, ведь маршрутизация работает только по айпи и проследовать куда либо по домену невозможно.
Если у тебя не шифрован днс его можно подменить и послать тебя на айпи пизды.
trr prefs https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec
А шо, низя? Ну значит openvpn. Толку то от гэбистов один днс прятать.
DNSCrypt нинужон! Если уж настраивать, то Dns over Tls или Dns over Https. Такие гайды есть? Прост у меня уже настроен DoT резолвер на 1.1.1.1 сервер, а хотелось бы на свой
>DNSCrypt нинужон! Если уж настраивать, то Dns over Tls или Dns over Https.
А чем они лучше днскрипта?
>DNSCrypt нинужон!
Да они вообще все не нужны. Т.к. днс без свободного доступа в интернет (читай впн) не нужен. А раз есть впн то и шифровать днс смысла нет.
Можно внску с впн через днскрипт пустить.
В прошлом треде анон говорил, что dnscrypt терпеть honeypot в плохом смысле что бы это нетзначило
Если совсем просто, то это тянки.
Вот только ни одного пруфа предоставлено так и не было, что тоже намекает.
В 60 обнаружил проблему с network.trr.mode равному 3. Он должен принудительно использовать DoH и выключить легаси-днс, и это так, но только до первого перезапуска браузера. Потом он то ли сломан напрочь, то ли игнорится и браузер тупо юзает легаси-днс, хотя должен показывать ошибку Server not found, как при первом включении в случае неработающего TRR. Пришлось поставить мод на 2, хотя бы часть шифрует.
В 61 уже починено, поэтому репортить смысла нет. Но на багзиле конкретно про это не нашёл.
В cmd:
nslookup 2ch.hk 1.1.1.1
nslookup 2ch.hk 1.0.0.1
Если первый не работает, тогда его надо убрать из настроек.
Server: 1dot1dot1dot1.cloudflare-dns.com
Address: 1.1.1.1
Non-authoritative answer:
Name: 2ch.hk
Address: 5.61.239.35
И что с того?
DNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.
Что скажете?
Но пинг это не подходящий бенчмарк для сравнения dns. Нужно чекать через dnsbench.
Значит работает. Если лиса 60 версии, то настраивай как тут >>307779, только network.trr.mode пока 2 поставь. С 61 версии можно будет 3 уже.
Будет шифрованный днс в лисе, ляпота. А для остальной системы пусть стоит в свойствах подключения 1.1.1.1, если пердолиться не хочешь. Я забил пока, самое критичное это браузер.
Алсо, на скрине я игрался с айпишниками. Не надо 104, ставьте 1.0.0.1 или 1.1.1.1.
Вот этим сайтом проверил, он-то вроде правду пишет.
Когда в настройках вписан 1.1.1.1, то показывает Россию и Клаудфляру.
Теперь мой проф. не знает, что я фапаю на хентай? Только добрые дяди из Клаудфляры?
>Теперь мой проф. не знает, что я фапаю на хентай? Только добрые дяди из Клаудфляры?
Бака, учи интернеты.
А если на одном IP несколько сайтов хостятся?
> На самом деле: медленнее серверов Google
C:\Users\Unknown>ping 8.8.8.8
Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=23мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=21мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54
Статистика Ping для 8.8.8.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 20мсек, Максимальное = 23 мсек, Среднее = 21 мсек
----
C:\Users\Unknown>ping 1.1.1.1
Обмен пакетами с 1.1.1.1 по с 32 байтами данных:
Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=17мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=20мс TTL=57
Статистика Ping для 1.1.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 17мсек, Максимальное = 20 мсек, Среднее = 18 мсек
> На самом деле: медленнее серверов Google
C:\Users\Unknown>ping 8.8.8.8
Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=23мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=21мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54
Статистика Ping для 8.8.8.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 20мсек, Максимальное = 23 мсек, Среднее = 21 мсек
----
C:\Users\Unknown>ping 1.1.1.1
Обмен пакетами с 1.1.1.1 по с 32 байтами данных:
Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=17мс TTL=57
Ответ от 1.1.1.1: число байт=32 время=20мс TTL=57
Статистика Ping для 1.1.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 17мсек, Максимальное = 20 мсек, Среднее = 18 мсек
Так ты и не плясал. Ты просто поставил 1.1.1.1 в стандартное место, как гуглоднс. Никакой пользы, кроме того шо не сливаешь гуглу, от этого не получаешь. В осях нет поддержки шифрования днс пока. Так что либо лису60+ настраиваешь (она для себя умеет), либо ставишь какую-нить хуйню в систему как локальный резолвер. Тогда будет шифрование.
Правда есть ещё палево домена в SNI, но это уже дополнительная морока для прова. Да и в любом случае, защита днс не лишняя. Так победим.
Странно. У меня раньше 1.1.1.1 был гораздо быстрее гугла. Сейчас просел.
>>286013 (OP)
>Yandex DNS
>Зарубежем не известен, и никому нахуй не нужен.
брешешь, кокхоул - https://www.trishtech.com/public-dns-server-tool/
Лол, странно. С моей Удмуртии пакеты тоже через ДС к серверам cloudflare сразу.
Я один сайт русский проверил. Там сначала пакеты пошли в Стокгольм, потом обратно в Россию и Санкт-Петербург.
Клоуды поставили сервера в рашке.
и ты подключаешься к ближнему доступному серверу от клоудов.
Так значит, майору они сливают трафик?
А сорм они себе то же поставили?
Лучше бы 1.0.0.1 пинговал. На 1.1.1.1 может каптив-портал локальный отзываться. Наверняка на скрине так и есть, слишком большая разница.
Посоны, пояните чому так? 2й хоп
Пингплоттером видится что на этом втором хопе начинается лютая потеря пакетов.
ТП ростелекома нихуя не смогла сделать (сменили модуляцию и скорость ебнулась в два раза)
По поводу этого хопа вообще нихуя не сказали.
Как это объясняется? Можно ли поправить? Как максимально исключить потерю пакетов?
Провайдера заменить никак. Тут пиздец мухосрань и адсл только от рт.
ДНСы вские пробовал
Получится ли изменить DNS меняя его на компьютере если я подключён через роутер?
Как проверить мой текущий DNS?
>Зайди на dnsleaktest.com и посмотри какие dns используешь. Потом поменяй на компе и снова проверь. вдруг получится Если на роутере не указан dns, то должно сработать
Но анон в прошлом треде писал, что твой isp всё равно может незаметно перенаправлять твои запросы dns через свои сервера а на них подменять ip
>заслуженно обозвал ламером , ибо не знает элементарных терминов
>в ответ получил безосновательный вскудах
>назвали дегенератом
Да уж блять, /s явно уже не тот
Уползи назад, быдло
>>заслуженно обозвал ламером
кукарекнул не по делу, назвал собеседника уебаном и чувствует себя небыдлом. О дивный манямир тебя. Съеби в /b дурачок
Педерасты блядь голубые ебучие??? Поганный мразь я твой отец обосцали жопа мокрая, почесал яйца, ты насрал полные штаны, большой волосатый батон!!!!!
Так и есть, где-то читал, что в московском метро адрес 1.1.1.1 используется для внутренних нужд.
Тред не читал, cryptdns уже советовали?
скажи спасибо роскомпозору. айпи которые в эникасте (часть) для днса добавили в блеклист.
ОП - хуй
Советует какие то левые сервисы, когда можно поставить свой днс и не палить свои запросы всяким лишним хуесосам
Но я из Беларуси.
Хотя у нас оператор какой-то стрёмный, на порнолабе заглушка от билайна висит о блокировке.
>но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэ
Да ну на хуй их пруфы. У них Бабченко то умирает, то воскресает.
Компания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде скрытого сервиса Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.
До сих пор для пользователей Tor было доступно два метода резолвинга IP-адресов - использование DNS-сервера провайдера и использование резолвера выходного узла Tor. В первом случае DNS-резолвер получает информацию о клиентском IP, а провайдер, если не применяется DNS-over-HTTPS или DNS-over-TLS, получает сведения об определяемом имени хоста. Во втором случае возникает опасность манипуляции с DNS нечистыми на руку владельцами выходных узлов.
Cloudflare предложил свой вариант решения - реализацию DNS-резолвера в виде скрытого сервиса, который перенаправляет все обращения к DNS на сервер 1.1.1.1, благодаря применению Tor сохраняя полную анонимность пользователя. Для быстрого проброса на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion запущен специальный домен tor.cloudflare-dns.com.
Источник: OpenNET
http://www.opennet.ru/opennews/art.shtml?num=48733
>а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.
Это же отличная новость!!!
>на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion
Многовато буковок. В свежем торе обновили протокол скрытых сервисов?
Вы что ебанутые? Что вы тут делаете? Какой вообще спрос с ДНС?
С подключением
[Resolve]
DNS=1.1.1.1, 9.9.9.9
FallbackDNS=
LLMNR=no
MulticastDNS=no
DNSSEC=yes
DNSOverTLS=opportunistic
Cache=yes
DNSStubListener=no
если заюзать 8.8.8.8 он будет юзать обычный днс
запятая конечно не нужна
[Resolve]
DNS=8.8.8.8
FallbackDNS=
LLMNR=no
MulticastDNS=no
DNSSEC=yes
DNSOverTLS=opportunistic
Cache=yes
DNSStubListener=no
если такой конфиг то резолв будет обычным днс запросом
> Note as the resolver is not capable of authenticating the server, it is vulnerable for "man-in-the-middle" attacks.
> Using degraded feature set (UDP+EDNS0+DO+LARGE) for DNS server 8.8.8.8.
как я понимаю этот behavior не поменять в systemd-resolved?
https://en.wikipedia.org/wiki/Server_Name_Indication
Чтобы пидеропровайдер не подменивал днс.
Попробуй головку включить. Вот есть у нас в фундаменте интернета ссаный днс, полностью открытый к прослушке и подмене. Вообще нихуя в нём нет защиты, голый текст бегает. И поверх него всё остальное навалено и работает, в том числе tls/https и SNI.
И теперь ты, такой умный, приходишь и говоришь: а зачем вы проблемы обоссаного днс пытаетесь исправить, ребята? Вон же часть проблемы (палево домена) есть и на уровнях выше? Давайте хуй забьём.
Ты правда не видишь проблемы в своей логике? Но даже без этого, раскрою секрет: при создании TLS 1.3 обсуждалось шифрование SNI и предлагались конкретные варианты. Не приняли в итоге в 1.3. Можно было бы сказать, что жаль, но на самом деле нет, потому что ссаный днс в фундаменте куда большая проблема, SNI не ебёт сейчас.
На IETF 101 в секции TLS обсуждался также вопрос Connection ID. И что с того? Тут вопрос в том, насколько мы вправе ломать все и сразу. Обратная совместимость - один из заветов IETF, и точка.
По поводу DNS: к прослушке да, к подмене не так сильно, благодаря DNSSec. Если у тебя локальный резольвер свой и DNSSEC-валидация, то для многих доменов уже есть KSK. Но вот возможность в целом затусовать DNS-трафик в TLS-туннель нужна, так как часто коммуникация клиентов до резольвер прослушивется и продрачивается всякими патриотичными провайдерами-пидоргами как в Китае. В тоже время - возможность иметь по дефолту скрытую коммуникацию с резольвером, дает возможность не париться конечному пользователю сильно с настройкой VPN и устранение утечек DNS-запросов.
Короче говоря - DNSSEC - для безопасности самих результатов у рекурсора, DNS-over-TLS для безопасности передачи данных от рекурсора до клиента конечного (и/или резольвера). DNSSEC можно и у себя на 127.0.0.1 делать локальным unbound, но работать оно будет только для доменов с вкл. DNSSEC где подписано все. А вот в случае если домен не подписан - провайдер (и не только) может пидорнуть подмену, плюс все ответы хоть и подписаны, но не защищены. DNS-over-TLS скорее решение последней мили в DNS, тогда как DNSSEC - решение для "бэкбона" (рекурсивных запросов).
Смею предположить, что неплохо было бы совместить рекурсивные запросы с DNSSEC, и DNS-over-TLS для приватности локальных рекурсоров.
По поводу проверки DNSCrypt vs DNS-over-TLS. Я за последний, так как последний описан в https://tools.ietf.org/html/rfc7858 , а документы IETF это вам не туалетная бумага. И точка.
>>344532
>>344522
Господи! Уберите это говна с глаз долой! Фу блядь! Этот поцтеринг уже всех заебал. Нахуя блядь systemd-resolved? Чем тебе сука libc resolve-conf не угодил с локальным форвадирующим DNS-over-TLS резольвером вроде unbound? https://blog.cloudflare.com/dns-over-tls-for-openwrt/ . Нет, блядь, мы будем использовать говно написанное сборищем макак!
Можно, но лучше DNS-over-TLS.
https://blog.cloudflare.com/dns-over-tls-for-openwrt/
https://wiki.openwrt.org/ru/inbox/dnscrypt
Спасибо, анон. Завтра буду разбираться. Из статьи на хабре вычитал, что они используют вот это https://ru.m.wikipedia.org/wiki/TCP_hijacking. Но ведь они должны только блокировать ip. Какого хуя? У Ростелекома такая же хуйня?
но большинство дистров уюе юзают сустемди, с этим ничего не поделать. Да и я уверен ты не смотрел код этой поделки.
Вот по чесноку, смотрел. Потому и доверяю больше unbound - я их в живую знаю разрабов.
я использую cloudflare через dns over https.
У них сервер в РФ есть и отвечает довольно быстро, даже по сравнению с dnscrypt v2 протоколом из РФ же от яндекса (замерял в namebench и dig). Пинг вообще охуенный - 18мс. ещё и dnssec умеет, есть и по ipv6 (по моему по в6 он отвечает медленнее, хотя у меня нативный ipv6 от провайдера).
В dnscrypt2 сделал
server_names = ['cloudflare']
lb_strategy = 'fastest'
закоментил раздел [sources] - чтоб не лазил обновлять список серверов.
[static]
[static.'cloudflare']
stamp = 'sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk'
самое главное в конфиге в этой строке задать ноль: netprobe_timeout = 0 (работает с версии 2.0.15)
иначе, если при загрузке ОС у вас не будет подключения к сети в течение указанного в счетчике времени, то служба передумает запускаться и останется выключенной - особо актуально для тех, у кого интернет через PPPoE.
dnscrypt версии первой юзать по udp ни в коем случае нельзя, он там гребучий. Да и вообще лучше на второй пересесть, он есть не на всех серверах.
Я нашел ещё пару шустрых серверов уже не по DOH, а по dnscryptv2 - пинг выше, чем до CF, но отвечает быстрее. Добавлю мб какой-то из них.
Самое то в пару к shadowsocks.
блять, чуть не забыл.
У кого включен ipv6, прописывайте в свойствах адаптера ::1 в качестве адреса DNS. Иначе резолв будет ходить через ipv6 мимо dnscrypt.
>В dnscrypt2 сделал
Он же и так выбирает наиболее быстрый сервер - так к чему весь этот пердолинг?
Норм инфа, спасибо.
двачую нахуй вам пердолинг с разными мокрописьками ставьте вот это гавно и будет вам dns долбоёбы
анон главное прочитай что да как
https://github.com/jedisct1/dnscrypt-proxy
Прошло около года, как я установил undound в режиме resolver (не forwarder!), и теперь сам себе dns сервер, с dnssec и поддержкой в кеше наиболее часто используемых доменов. Это одназначно самая надежная (и безопасная, так как мои dns запросы не светятся на чужих серверах) реализация dns, за этот год dns не отваливался и не преподносил сюрпризов ни разу. Раньше пользовался dnscrypt с серверами opennic и с ним бывало всякое, то отвалится, положив интернет дома, то конкретный домен резолвить перестанет.
Во всяких dns leak тетерах ip адрес моего dns сервера равен моему ip адресу.
ты документацию то прочел хоть?
он подефолту как балансировщик работает сразу больше чем с одним сервером.
да и вообще лень мне пояснять.
кому надо понять, сам попердолиться, кому день не будут меня доёбывать распросами и просто примут к сведению.
алсо, если ему попадется udp попротоколу dnscrypt, то от DPI такое не спрячешь в отличие от DOH.
Лично я выбрал CF по DOH, потому что задержки маленькие и при этом резолв не достаётся провайдеру и не отличается от https.
Но в идеале надо свой dnscrypt2 сервер настроить, чтоб логи точно не достались яровой уже от CF.
Но тут есть дилемма. dns over https сложнее и медленне, а днскрипт палевный для dpi.
ну наверное все таки придется свой настроить, пока что днскрипт не режут всё равно.
только есть ещё одно.
443ий порт занят. днскрипт придется вешать куда-то ещё и тогда он совсем для DPI станет легкой добычей.
У dns over https и подобных средств есть фатальный недостаток - медленный резолвинг, хотя вариант рабочий и надежный, а новые dns от cloudflare изначально это поддерживают.
Лично я уже давно обмазался vpn, через него у меня работает в том числе и undound, поэтому не заморачиваюсь допольнительным шифрованием.
>Твой локальный провайдерский DNS
>Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой.
Блять. Но если я изменю днс на любой другой из предложенных в шапке, то хуи их техподдержки провайдера не увидят что я посещаю ?
Спокойной увидят, так как это в plaintext'е в твоём трафике будет. Только over https или dnscrypt
А если еще через тор заходить с cf dns, то все равно как на ладони будет видно провайдеру как часто я капчую?
>нусов: все посещенные домены (которые отрезолвились) хранятся
https://www.dnsleaktest.com/what-is-transparent-dns-proxy.html
> медленный резолвинг
Я гонял dig и namebench. Нормально там всё со скоростью. Потенциально dnscrypt v2 быстрее, но он не стал стандартом, крупные компании не держут серверы с ним в рф. Пинг до днскрипт2 серваков публичных сильно больше, чем до CF (до CF 18мс).
По моему днскрипт2 лучше на собственном сервере, так проще настроить и жрёт меньше и работает шустрее и логи не оставишь яровой.
Но есть риск DPI фильтрации, даже если работать по TCP - просто заодно как неопознанный трафик. А ещё у меня только один 443 порт на ВПС...
Ну а DOH лучше именно для чужого сервера крупной компании.
И ему не страшен dpi.
Короче оба в ходу могут быть.
у меня впн нету, у меня SS, поэтому нужно резолв шифровать.
Тогда лучше вместо server_names = ['cloudflare'] выставить dnscrypt_servers = false, а то останешься с хуём, если клаудфлер наебнётся.
Наебнётся, пропишу второй по скорости сервак. делов на 15 секунд.
А балансировщик-то мне нахуя? И как он спасет, если CF наебнется? -все равно будет на неё попадать перодически запрос.
>И как он спасет, если CF наебнется?
Выберет другой сервер.
>все равно будет на неё попадать перодически запрос
Херню пишешь, лучше почитал бы про стратегии выбора.
>По моему днскрипт2 лучше на собственном сервере
Если уж у тебя есть сервер, логичнее поднять на нем простой openvpn, а дома завернуть в него либо вообще все, либо только dns. Это будет работать быстрее.
А на cf есть днскрипт?
>openvpn
режется DPI
на ведре жрёт батарейку
заворачивает весь трафик подряд.
уж лучше shadowsocks.
>на ведре жрёт батарейку
Пруфы? Пользуюсь на смартфоне/планшете уже несколько лет. Висит в фоне и ничего не жрёт. За ночь пару процентов съело и всё.
>заворачивает весь трафик подряд
То, что и нужно.
>То, что и нужно.
что нужно? гонять торенты через ВПС?
Ну тогд и ВПС нужен дороже и ещё такой ,чтоб не ебал за пиратство. И скорость будет резаться, всё равно 100 мегабит не будет у тебя.
Нахуй надо?
Если мне просто нужно браузер, телегу и жебер проксировать, а всё остальное напрямую.
Да, намного, плюс нет привязки к какому-то конкретному dns серверу.
Cloudflare поддерживает только dns over https и dns over tls, а они тратят время на установление нового защищенного соединения каждый раз при резолвинге. Как впрочем и dnscrypt, хотя последний должен делать это быстрее, но он cloudflare не поддерживается. Openvpn же поддерживает защищенное соединение постоянно и при резолвинге не тратится дополнительное время на установку защищенного соединения.
>>348115
Ну мы, слава богу, еще не дожили до того, что провайдерами режется все, кроме http. Мне все подряд и надо заворачивать, у меня так и сделано, прямо на роутере весь трафик заворачивается в vpn.
На мобильном батарейку жрет, да, все хотел на vps параленьно к openvpn что-то для мобильного поставить, да все никак руки не дойдут.
>что нужно? гонять торенты через ВПС?
Да, это тоже. Гоняю торренты исключительно через vpn, а чтоб собственно, не так? В россии блокируются анонсеры популярных трекеров, в таких условиях страдает эффективность раздачи. А я за эффективную раздачу. Раздаю по 10Тб торрентов в месяц через vps.
А дополнительный расход на оплату vps, ну а куда деваться, мне нужен доступ в интернет, а не в чебурашку.
> dns over https и dns over tls, а они тратят время на установление нового защищенного соединения каждый раз при резолвинге.
Это не так, лол. Один раз устанавливается соединение и часами по нему гоняются резолвы.
Например, включил DoH CF в лисе, открыл на 10 часов браузер, и у тебя 10 часов держится одно соединение с CF.
> В россии блокируются анонсеры популярных трекеров, в таких условиях страдает эффективность раздачи
Алё! Анонсеры можно через прокси, а сам трафик раздач/закачек напрямую.
Может и так, спорить не буду. https тоже может кешировать ключи, чтобы не устанавливать новую сессию каждый раз. Все равно openvpn быстрее будет Аеще проще и универсальнее, но, это лично для меня.
>>348861
Ты вообще в курсе, как работает механизм анонсирования раздачь? Клиент отправляет запрос на анонсер, а анонсер извлекает ip адрес клиента из заголовков, чтобы передать его другим клиентам. Если ты пускаешь анонсеры через прокси, твой реальный ip и ip, полученный трекером будут разными, соответственно остальные клиенты получат ip адрес прокси сервера, а не твой ip адрес, а значит не смогут к тебе подключиться, чтобы скачать блок. Механизм скачивания при этом не ломается.
Эту проблему решили на рутрекере, сделав свой прокси, который транслирует так же и ip клиента. Но это работает только с рутрекером.
Ты тупой? Проблема блокировок не в том, что лично ты теряешь доступ к анонсеру/трекеру (это легко исправляется), а в том, что его теряют миллионы хомяков, не все из которых заморочатся обходом.
Я вообще не в РФ, похуй на РКН, но разница на лицо: раньше я любую хуйню в музыкальных разделах рутрекера мог скачать, а теперь приходится ждать появление в онлайне отдельных сидеров-спасателей. Просто людей стало меньше.
Даже DHT не спасает (а это реальный первичный ответ на блокировку анонсера, а не ссаные прокси, ибо в клиентах по дефолту включён и по сути ничего не потеряно), видимо многие выключили/удалили покрасневшие раздачи.
>Ты вообще в курсе, как работает механизм анонсирования раздачь
Я в курсе, что просто сокс можт передавать реальный ip клиента, есть же X-Forwarded-For
Прокси то может передавать X-Forwarded-For, на рутрекере с их прокси это примерно так и работает. Проблема в том, что 1. мало кто из прокси передает этот заголовок. 2. Никто из трекеров не читает этот заголовок.
Поэтому вариант с прокси это вариант для эгоистичных потреблядей, которые хотят только скачивать, но не раздавать. Жаль, что мало кто это понимает.
Он очевидно http прокси имел ввиду.
Анон, учи матчасть, задача анонсера определить ip клиента, чтобы передать его другим клиентам. Для ipv6 нужен отдельный адрес анонсера, совместить и ipv4 и ipv6 в одном не получится. Смотри пикрил, один анонсер определяет ipv4, второй - ipv6. На nnm-club так сделано.
А на рутрекере так ipv6 анонсеры и не добавляют, хотя давно бы уже пора.
Все верно, с ipv6 анонсера ты будешь получать ipv6 ip адреса, а c ipv4 анонсера, соответственно, ipv4.
>>310800
Пишу из будущего с 61 версии. Теперь баг работает иначе: после перезапуска браузера со значением три, сайты перестают открываться в принципе. Переключаюсь на 2: dnsleak.com показывает провайдерский, dnsleaktest.com — клаудфлара. Хуйня какая-то. Алсо, при использовании dnscrypt2 первый сайт, несмотря на адреса фларовских серверов, всё пишет типа «лукс лайк йор днс ликс» — это просто сайт кривой?
У меня всё нормально в 61 со значением 3. Ты походу бутстрап-адрес забыл выставить. Без него мод 3 не будет работать, ибо легаси-днс не работает, а значит неизвестно куда DoH запросы слать, там же домен. Ставь 1.1.1.1 или 1.0.0.1 (первый может не работать). Или даже 104.x.x.x какой-нибудь, как у меня выше на скрине, но там есть вероятность что перестанет работать, лучше 1.0.0.1.
Не хватает только фикса https://bugzilla.mozilla.org/show_bug.cgi?id=1450893 в идеале.
тот анон с проблемами в 60
Почему в списке нет наигоднейшего OpenNIC?
>dns over https сложнее и медленне, а днскрипт палевный для dpi.
Ничего не понял. Разве днскрипт не суть есть спецификация, полагающаяся на doh?
Ага, чтоб твои данные сливать каким-то васянам?
Прокси не шифруется, кроме shadow socks.
BUMP
А в чём смысл, замены ДНС, держать сервера? Что бы жопу, твою прекрыть? Нет конечно, как минимум, знать к каким серверам обращаешься и все ДНС, которым обращается, это дата центры во Франкфурте на Майне это самый большой аналетический цент НАТО в Европе, вы и есть мыши над которыми проводят эксперементы!
Ну товарищ майор!
Вы ебанутые? Что вы тут делаете? Выбирать днс-сервера, лол. В 2018 году. Днс подменяется провайдерским в большинстве случаев.
Два чаю
Не понял вопроса
днс гугла быстрее родных и яндекса
пользуюсь opendns.com . сервера по всему миру, логов могут не вести.
Прописывал в dnscrypt-proxy.toml в [static] по очереди сервера opennic. Из всех серверов, поддерживающих dnscrypt заработало только с этими 2-мя. Хотя по скрину видно, что другие тоже онлайн. Че за нах?
> Анон, чем пользуешься ты? И почему?
А я ни чего не понял, я бака. У меня просто подключен к точке доступа от модема, к которому подключен провод от телефона. Больше я ничего не знаю. ДНС какие-то, охуеть вообще. Даешь децентрализацию!
Хуйня Полная.
Как у себя (или на vps, чероз который сидишь) днс сервер поднять, чтоб с корней всё брать, а не через параши?
Ну вот пишешь ты в адресной строке свой любимый сайт vk.com, а что это значит? Да само по себе по большому счету ничего, чтобы что-то открыть надо найти конкретный сервер в интернете. У серверов для своего обозначения в сети есть ip адреса, вот днс и нужен для того чтобы тебе не писать в адресной строке 87.240.129.133, а писать vk.com Своего рода каталог соответствия доменных имён и айпи адресов.
unbound
Домайн нэйм систем
Как брать днс с корневых серверов? Чтоб не подменили ищо. Заранее благодарен
thanks
Нет
network.security.esni.enabled успел пролезть в Firefox 64, можно включить и работает с сайтами под Cloudflare. Например nhentai.
> В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике https://www.opennet.ru/opennews/art.shtml?num=49325
При условии работающего DNS over HTTPS https://daniel.haxx.se/blog/2018/06/03/inside-firefoxs-doh-engine/ (достаточно поменять только network.trr.mode на 2 или нижнюю галку включить в настройках прокси, либо ещё адрес, если хотите не cloudflare dns)
Проверка тут https://www.cloudflare.com/ssl/encrypted-sni/
Это DNS over HTTPS?
bump
Обмен пакетами с 77.88.8.8 по с 32 байтами данных:
Ответ от 77.88.8.8: число байт=32 время=99мс TTL=54
Ответ от 77.88.8.8: число байт=32 время=122мс TTL=54
Ответ от 77.88.8.8: число байт=32 время=95мс TTL=54
Ответ от 77.88.8.8: число байт=32 время=118мс TTL=54
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 95мсек, Максимальное = 122 мсек, Среднее = 108 мсек
Это копия, сохраненная 7 февраля 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.