Как проверить работает ли dns crypt
Обновлено: 04.07.2024
Инструкции даны с учётом того, что на компьютере установлена OC Windows 8 с русскоязычной локализацией. Для других операционных систем действия, возможно, будут несколько иными, но мало отличаться как по описанию, так и по приведённым снимкам экранов.
Конкретные IP-адреса, указанные в статье, актуальны на момент её написания и могут измениться в будущем. Не используйте их без проверки работоспособности.
Содержание
Небольшой FAQ
Важная для понимания вещь: DNSCrypt представляет собой пару программ — программа-клиент, шифрующая ваш запрос и расшифровывающая полученный ответ, и программа-сервер, принимающая зашифрованный запрос, превращающая имя сайта в IP-адрес и отправляющая зашифрованный ответ обратно. Мы с вами будем устанавливать именно программу-клиент, а парную ей программу-сервер выберем из уже существующих и работающих в интернете.
Настраивать мы будем именно компьютер как самое простое решение проблемы, хотя более правильно было бы внести соответствующие изменения в устройство, дающее доступ в интернет всем потребителям — компьютерам, планшетам, смартфонам и пр., например в установленный в квартире роутер. Если у вас есть возможность сделать именно так, выберите такой путь.
Установка DNSCrypt в Windows
Шаг 1. Скачайте последнюю версию DNSCrypt, на данный момент это 1.6.0.
Шаг 2. Зайдите в директорию, куда скачался файл, и распакуйте его содержимое в корневую директорию диска C:. Нажмите правой кнопкой мыши на скачанном файле, выберите пункт меню «Извлечь все…» («Extract all…»), а в появившемся окне введите путь C: и нажмите кнопку «Извлечь» («Extract»). В результате у вас должна создасться директория C:\dnscrypt-proxy-win32. Чтобы не забыть версию установленной программы, переименуйте директорию в C:\dnscrypt-proxy-1.6.0. Внутри этой директории должны находиться файлы dnscrypt-proxy.exe, dnscrypt-resolvers.csv, несколько файлов .dll и прочие, проверьте это.
Внимание. Если вы решите выбрать другой путь установки DNSCrypt, имейте это в виду, когда далее в тексте будет встречаться путь C:\dnscrypt-proxy-1.6.0, и заменяйте его на свой. Правила тут обычные: 1) чем ближе к корню диска, тем легче жить, и 2) не надо использовать пробелы и русские буквы в именах директорий и файлов. Эта инструкция подразумевает, что выбран путь C:\dnscrypt-proxy-1.6.0.
Шаг 3. Теперь надо открыть файл dnscrypt-resolvers.csv и решить для себя, какой из перечисленных там серверов DNSCrypt мы хотим использовать. Вспомните, что DNSCrypt — это две парные друг другу программы, и сейчас мы выбераем серверную часть.
Выбрать не так уж сложно: посмотрите на 4-ю колонку списка из файла dnscrypt-resolvers.csv, это страна или город, где располагается сервер. Для начала найдите ту, что находится ближе к вам географически — так работа с сервером будет побыстрее. Критериев выбора может быть много и у каждого они индивидуальны. Давайте выберем Румынию? Выделите эту строку в файле, чтобы не потерять её.
Внимание. Для удобного просмотра файла dnscrypt-resolvers.csv потребуется какой-нибудь офисный пакет работы с таблицами, например MS Excel, OpenOffice Calc или LibreOffice Calc, они умеют открывать файлы этого типа. Если таких программ нет, открывайте его простым Блокнотом, хотя это будет не так удобно.
Шаг 4. Далее вам понадобится открыть приложение командной строки с административными правами. Автор делает просто: в Windows 8 (и, наверное, выше) можно нажать сочетание клавиш Win-X и в появившемся списке выбрать пункт «Командная строка (администратор)» («Command Prompt (Admin)»). Для других версий Windows откройте Windows Explorer (Проводник), введите в адресную строку: %WINDIR%\System32, нажмите Enter, там найдите файл cmd.exe, нажмите на нём правой кнопкой мыши и выберите пункт «Запустить от имени администратора» («Run as administrator»). Если система запросит подтверждение запуска, соглашайтесь. Далее, в открывшейся консоли надо перейти в директорию, где находится DNSCrypt. Введите:
и нажмите Enter.
Шаг 5. Теперь мы протестируем тот сервер, который выбрали на шаге 3. В консоли введите команду:
Помните, что мы выбрали Румынию? Имя румынского сервера «ovpnto-ro» (1-я колонка списка из файла dnscrypt-resolvers.csv), его мы тут и использовали.
Мы видим, что сервер ответил. Из ответа видно, какие функции он поддерживает, а какие нет. Сертификат валиден, т.е. это именно тот сервер, за который себя выдаёт. Можно пользоваться.
Шаг 6. Выбранный сервер нас устраивает и мы желаем пользоваться им для преобразования имён сайтов в IP-адреса. Вводим следующую команду для настройки DNSCrypt на работу с этим сервером:
Видим, что сервер установился как служба в Windows, видим путь в Реестре, где теперь расположены его текущие настройки, и видим совет настроить наше сетевое соединение на осуществление DNS-запросов на адрес 127.0.0.1:53.
Вы должны задать для DNS-сервера тот адрес, который был выведен в консоли после установки DNSCrypt, т.е. 127.0.0.1. Номер порта 53 указывать не надо, т.к. по умолчанию для DNS-запросов используется именно он.
Теперь клиентская программа DNSCrypt будет запускаться на вашем компьютере при его включении и обслуживать все запросы DNS.
Отключение DNSCrypt
Если вы когда-либо захотите отключить службу DNSCrypt целиком, вам надо будет выполнить следующую команду в административной консоли:
после чего вернуть настройки сетевого соединения в прежнее состояние, то есть сделать действия, обратные тем, что ранее были выполнены в шаге 7 основной инструкции.
Перенастройка DNSCrypt
Если вы захотите поменять сервер на другой, самым простым способом будет сначала отключить весь DNSCrypt, а затем повторить шаги начиная с 3-го основной инструкции. Возвращать настройки сетевого соединения в прежнее состояние при этом не нужно, вы просто меняете сервер DNSCrypt и будете по-прежнему пользоваться клиентом DNSCrypt на своей машине, просто связываться вы будете с другим сервером.
Обновление списка серверов DNSCrypt
Довольно часто сервера DNSCrypt, многие из которых поддерживаются энтузиастами или небольшими сетевыми организациями на свои деньги, временно останавливаются или вовсе выводятся из эксплуатации, или могут работать нестабильно. В этом случае разработчики DNSCrypt обновляют список серверов, удаляя из него проблемные. Или наоборот, добавляют в него вновь появившиеся сервера. Это случается довольно часто: если посмотреть историю изменений файла dnscrypt-resolvers.csv, вы увидите, что различные изменения вносятся несколько раз в месяц. В результате может оказаться, что выбранного вами сервера уже нет в списке и он в любой момент может отказаться работать. Время от времени полезно обновлять этот файл. Просто загрузите его себе во временную директорию и посмотрите, что выбранный вами сервер не пропал оттуда и его параметры не изменились, или что его изменения вас устраивают (сравните с вашим текущем файлом). Затем положите новый файл поверх текущего, после этого отключите DNSCrypt, а затем заново включите его, используя старый либо вновь выбранный сервер.
Если разрешение имён перестало работать
Первым делом проверьте несколько привычных вам доменных имён, возможно, нужный вам сайт просто перестал функционировать или в настоящее время меняет свои настройки.
В интернете есть онлайн-сервисы, позволяющие определить IP-адрес сайта по его имени, то есть выполнить вручную работу, которую обычно за вас делает служба DNS. Воспользуйтесь несколькими такими сервисами, например Google, и убедитесь, что нужный вам сайт действительно известен в интернете и имеет один или несколько IP-адресов.
Графические оболочки
Сама по себе программа DNSCrypt имеет только консольный интерфейс, что подходит не всем. Есть как минимум три вспомогательные программы, управляющие ею через графическую оболочку, и сейчас мы расскажем обо всех.
DNSCrypt WinClient
Одной из графических оболочек является DNSCrypt WinClient. Она позволяет сделать почти все те же действия, что и оригинальная DNSCrypt, кроме шага проверки работоспособности выбранного сервера (шаг 5 основного раздела). Выполните его, если хотите, а остальное вы можете сделать с помощью этой программы.
Итак, идите на сайт WinClient и загрузите её последнюю на данный момент версию. Для вашего удобства сохраните файл dnscrypt-winclient.exe в той же директории, где вы установили DNSCrypt, а затем запустите его от имени администратора (как это сделать, рассказано в описании шага 4). Согласившись с предупреждением системы о запуске программы с администраторскими правами, вы увидите основное окно WinClient. Перейдите во вкладку «Config».
В зависимости от того, запущен ли у вас уже клиент DNSCrypt, некоторые надписи будут отличаться от того, что показано на приведённой картинке: левая кнопка будет иметь надпись «Install» (DNSCrypt не установлен или не запущен) или «Uninstall» (DNSCrypt в данный момент запущен), а правая кнопка, соответственно, «Start» или «Stop». В этом окне вы можете сделать те же самые шаги, что делали в основном разделе: выбрать подходящий вам сервер DNSCrypt (выпадающий список «Select Provider») и запустить ваш клиент с соответствующей настройкой. Нажимая на «Install», вы устанавливаете клиент как службу Windows, а нажимая на кнопку снова, удаляете эту службу. Нажимая «Start» / «Stop», вы запускаете и останавливаете клиент в обычном режиме, например, если вы не уверены в работоспособности выбранного сервера DNSCrypt и хотите временно запустить клиент, чтобы проверить его работу.
Когда вы настроили службу и запустили её, вы можете закрыть окно программы.
Единственным недостатком программы на данный момент является то, что, запускаясь, она не определяет выбранный вами сервер DNSCrypt и всегда выделяет первый элемент из списка доступных серверов (он берётся из того же файла dnscrypt-resolvers.csv). Имея это в виду, можно управлять вашим клиентом DNSCrypt удобней, чем в консоли.
DNSCrypt Windows Service Manager
Другой графической оболочкой является DNSCrypt Windows Service Manager. Функционально она почти не отличается от DNSCrypt WinClient, но имеет небольшое преимущество: она правильно показывает выбранный вами сервер DNSCrypt.
Расскажу о программе, которой пользуюсь уже много лет. Она немного улучшает сетевую безопасность, защищая от подмены сайтов при работе через небезопасные Wi-Fi сети.
Углубляться в технические подробности я не буду. Сжато расскажу суть проблемы, которую начали решать только в последние лет 5, но с помощью DNSCrypt можно защититься уже сегодня.
Небезопасные DNS запросы
Для общения устройств используется способ передачи данных TCP/IP. Это не протокол или набор программ, а концепция (модель) того, как это общение должно происходить.
К сожалению, уязвимостей в TCP/IP пока предостаточно. Одно из больных мест – система доменных имён (Domain Name System, DNS).
Когда вы открываете в адресной строке сайт, компьютеру нужно узнать, на какой сервер послать запрос. Для этого он обращается к серверам DNS, хранящих записи о том, на какой цифровой IP-адрес сервера обратиться, чтобы получить нужную страничку.
Проблема в том, что компьютеры безоговорочно доверяют серверам DNS. Если вы подключитесь к публичной Wi-Fi сети в кафе, владелец которой поднял собственный сервер с ложными адресами, есть шанс, что вместо Вконтакте вы откроете обманку, собирающую пароли.
Способов защитить запросы к серверам имён несколько, но операционные системы их не используют. Нужно дорабатывать ОС самостоятельно с помощью отдельных программ.Simple DNSCrypt
Simple DNSCrypt позволяет легко и просто изменить настройки сетевой карты так, чтобы все запросы шли к DNS серверам с поддержкой DNSSEC. Эта технология позволяет избежать подмены IP-адресов. Как бонус, будут использоваться только уважающие приватность серверы имён, т.е. не сохраняющие обращения пользователей.
Программа ставится просто. Главное правильно выбрать 32- или 64-битную версию, смотря какой разрядности у вас Windows. Разрядность можно посмотреть в Панели управления – Система (в Windows 10 – Параметры – Система – О программе).
x64 – 64-битная, x86 – 32-битная
После установки и запуска с ярлыка на Рабочем столе настройки менять не нужно. Просто нажмите кнопку “Применить”.
Вы увидите, что переключатель пункта “Служба DNSCrypt” установится в зелёное положение “Вкл”. Значит, в Windows запустилась новая служба, суть которой – выступать прокси-сервером всех DNS-запросов, перенаправляя их на безопасные сервера (их список есть на вкладке “Резольверы”, там ничего трогать не надо).
После нужно лишь щёлкнуть мышью по всем сетевым картам, видимым в нижней части окна, чтобы на них появилась галочка справа вверху.
На этом всё! Защита запросов заработает сразу. Программа будет работать сама по себе.
Если вы продвинутый пользователь и хотите проверить, работает ли DNSCrypt на вашем компьютере, откройте свойства протокола TCP/IPv4 сетевого соединения. DNS-сервер должен быть локальный – 127.0.0.1.
Если при использовании сервера имён 127.0.0.1 сайты открываются – утилита dnscrypt-proxy работает, никто ваши запросы не пишет и провайдер запросы не отслеживает.
Удаляется программа, как и все остальные – через Панель управления.
DNSCypt ≠ полная приватность
Не путайте шифрование DNS с шифрованием всего трафика между вами и сайтами.
DNSCrypt поможет
- защититься от подмены серверов DNS злоумышленниками,
- зашифровать DNS запросы.
Утилита не поможет
- сохранить приватность в интернете,
- получить доступ к заблокированным в вашей стране сайтам,
- защитить от подмены, если отредактирован файл hosts на компьютере.
Если вы обеспокоены вопросами конфиденциальности, DNSCrypt выступит лишь вспомогательным инструментом. Для анонимного сёрфинга в интернете используются технологии VPN и/или Tor, тогда шифрование DNS станет дополнительной защитой на случай, если какая-то программа на вашем компьютере запросит IP-адрес домена в обход VPN.
Другие операционные системы
Шифрование DNS должно работать по умолчанию в любой операционной системе. Но этой функции там нет! Ни в Windows, ни в Linux, ни в Android, нигде нет поддержки DNSCrypt или аналогичной технологии “из коробки”.
Для iOS есть программа DNSCloak, аналог Simple DNSCrypt.
В Android включить шифрование DNS не получится. Единственная подвижка, которую я нашёл – 17 апреля 2018 г. Google объявил, что будет использовать шифрование запросов DNS через TLS в будущей операционной системе Android 9.0.
Резюме
Simple DNSCrypt – не сетевой антивирус. Если на вашем компьютере уже есть вирусы, подменяющие сайты, утилита вам не поможет. Проверьте систему бесплатными антивирусами, работающими без установки.
В будущем, где-то после 2019 года, защита от подделки DNS-запросов будет встроена по умолчанию в новые версии всех операционных систем. Но пока приходится ставить программы, разработанные энтузиастами для энтузиастов. Это необходимая защита для повышения безопасности работы в мировой сети.
DNSCrypt - это спецификация, реализованная в программном обеспечении unbound, dnsdist, dnscrypt-wrapper и dnscrypt-proxy.
Содержание
Настройка dnscrypt-proxy
1. Скачайте и установите dnscrypt-proxy для выбранной системы (Windows, Linux, MacOS):
2. Сохраните копию исходного файла конфигурации example-dnscrypt-proxy.toml и настройте согласно вашим требованиям как dnscrypt-proxy.toml.
Наш пример настройки файла dnscrypt-proxy.toml. Список общедоступных DNS-резольверов доступен по этой ссылке.
3. Убедитесь, что другие приложения и сервисы не прослушивают 53 порт в вашей системе и запустите приложение dnscrypt-proxy в командной строке Windows в режиме администратора устройства. Измените ваши настройки DNS для настроенного IP-адреса.
В нашем случае необходимо настроить DNS на 127.0.0.1 (указанное значение для параметра listen_addresses в конфигурационном файле) в параметрах протокола TCP/IP. Как это сделать для Windows рассказывается в статье настройка DNS на компьютере с ОС Windows. Приведем скриншот настройки для нашего случая:
4. Установите системную службу.
Установка системной службы dnscrypt-proxy (Windows, Linux, MacOS)
В командной строке, запущенной с правами администратора, введите следующую команду dnscrypt-proxy -service install для регистрации dnscrypt-proxy в качестве системной службы, а затем введите команду dnscrypt-proxy -service start для запуска службы.
В Windows данный шаг не требуется. Просто дважды щелкните по файлу server-install.bat для установки службы.
Служба будет автоматически запускаться при каждой перезагрузке.
Процедура установки совместима с операционными системами Windows, Linux (systemd, Upstart, SysV) и macOS (launchd).
Другие полезные команды: stop , restart (полезна при изменении конфигурации) и uninstall .
Установка dnscrypt-proxy в Ubuntu 18.04, 20.04
В настройках сети - IPV4 - DNS - отключаем Автоматический и ставим 127.0.2.1 . Перезапускаем NetworkManager:
Установка системной службы dnscrypt-proxy (Arch Linux, Manjaro)
1. Выполните установку:
2. Активируйте и запустите службу:
В настройках сети - IPV4 - DNS - отключаем Автоматический и ставим 127.0.0.1 . Перезапускаем NetworkManager:
3. Проверьте, был ли успешен запуск службы:
Проверка работы
Проверьте, что все работает корректно. DNS-запрос для resolver.dnscrypt.info должен возвращать один из выбранных DNS-серверов вместо серверов вашего провайдера
Так же проверить шифрование DNS трафика можно с помощью утилиты Wireshark - анализатор трафика компьютерных сетей. Программа доступна для операционных систем Windows и GNU/Linux.
Установка Wireshark в Ubuntu и подобные дистрибутивы:
В окне программы выбираем нужный сетевой интерфейс и нажимаем Enter. В следующей окне, в графе Filter вводим слово DNS и снова нажимаем Enter.
Пример отсутствия шифрования DNS запросов:
DNS запросы видны.
Пример шифрования DNS запросов с помощью dnscrypt-proxy:
Тот же сетевой интерфейс, тот же фильтр - DNS, но запросы не отображены, т.к зашифрованы.
Simple DNSCrypt для Windows
Для Windows также можно использовать Simple DNSCrypt - инструмент для настройки шифрования DNSCrypt на компьютерах Windows с помощью простого в использовании интерфейса.
Используя VPN, TOR, и даже Tails Linux вы думаете что ваша анонимность надежно защищена. Но к сожалению это не так. Существует один очень важный канал утечки вашей приватной информации — служба DNS. Но к счастью на это тоже придумано решения. Сегодня я раскажу как зашифровать свой DNS трафик с помощью утилиты DNSCrypt.
Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными тебе создателями OpenDNS, — программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер твои соединения также будут защищены и ты сможешь более безопасно бороздить просторы интернета. Конечно, DNSCrypt — это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если тебя такое краткое объяснение устроило, можешь сразу переходить к разделу, где я буду описывать установку и использование программы.
Попробуем разобраться глубже. Этот раздел предназначен для настоящих параноиков. Если ты ценишь свое время, тогда можешь сразу перей ти к установке программы.
Итак, как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотри на рисунок.
Принцип работы DNSCrypt
Описанная ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда твоя система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен. Каждый раз, когда ты посещаешь новый сайт, соединяешься с новым сервером или запускаешь какое-то сетевое приложение, твоя система обращается к DNS провайдера, чтобы разрешить имя в IP. В итоге твой провайдер или любой желающий, находящийся на «последней миле», то есть между тобой и провайдером, может получить все имена узлов, к которым ты обращаешься. Приведенный выше вариант с подменой IP-адреса совсем жестокий, но в любом случае есть возможность отслеживать посещенные тобой узлы и использовать эту информацию в собственных целях.
При этом тебе не нужно никакое другое дополнительное программное обеспечение. Просто настрой свою систему на использование этих DNS-серверов.
Но все равно остается проблема перехвата DNS-соединений. Да, ты уже обращаешься не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам ты обращался.
Вот мы и подошли к DNSCrypt. Эта программулина позволяет зашифровать твое DNS соединение. Теперь твой провайдер (и все, кто между тобой и им) точно не узнает, какие сайты ты посещаешь! Еще раз повторюсь. Эта программа не замена Tor или VPN. По-прежнему остальные передаваемые тобой данные передаются без шифрования, если ты не используешь ни VPN, ни Tor. Программа шифрует только DNS трафик.
DNS LEAK
УСТАНОВКА И ИСПОЛЬЗОВАНИЕ DNSCRYPT
Самый простой способ защитить свое DNS соединение — это использовать DNSCrypt.
Осталось только запустить dnscrypt-proxy. exe. В появившемся окне выбери сетевые адаптеры, которые нужно защитить, и нажми кнопку Start. Если все нормально, тогда возле кнопки Stop (в нее превратится кнопка Start) появится надпись DNSCrypt is running. Кстати, обрати внимание, что интерфейс для OS X выглядит несколько иначе (клиент для OS X можно взять здесь: bit.ly/rCNp01).
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Статья получилась не очень большая, поскольку сама программа очень проста в использовании. Но она была бы неполной, если бы я не упомянул и о VPN. Если ты прочитал эту статью, тебя она заинтересовала, но ты еще не пользуешься услугами VPN-провайдера для шифрования своих данных, то самое время это сделать.
VPN-провайдер предоставит тебе безопасный туннель для передачи твоих данных, а DNSCrypt обеспечит защиту DNS-соединений. Конечно, услуги VPN провайдеров платны, но ведь за безопасность нужно платить?
Можно использовать, конечно, и Tor, но Tor работает относительно медленно, и это, как ни крути, не VPN — весь трафик «торифицировать» не получится. В любом случае (какой бы вариант ты ни выбрал) теперь твои DNS-соединения защищены. Осталось только определиться со средством шифрования трафика (если ты это еще не сделал).
Читайте также: