kraeved
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Собрал DNSCrypt 2.1.15 с поддержкой Windows 7 x64.
Цитата: RetroRocket, 2025-0529-1227
Всё таки поймал ситуацию, описанную kraeved, когда сабж без всякого таймаута ошибочно определяет наличие сети. |
Увы, и таймауты так и сыплются при отсутствии сети, коя якобы detected.
Цитата: HelioSS, 2025-1029-1225
Резолверы, хотя бы идущие в "комплекте" с dnscrypt, проходят какую-то проверку на безопасность? |
Разговор о безопасности уместнее начинать с моделирования угрозы,
т.е. с описания беспокойств, которые мы затем ранжируем по вероятности
наступления неблагоприятных последствий и ищем решение. А если человеку
страшно жить в целом, то сперва следует проверить свой биохимический баланс,
который могло перекосить от нехватки сна, питательных веществ и физактивности,
ведь протирание ямочки на смартфоне при чтении 100500 телеграм-каналов под
бокальчик зелья — едва ли та самая активность, что производит успокаивающие
«гормоны счастья» и укрепляет иммунитет.
— Можно ли подслушать разговор между нами и DNSCrypt-резолвером?
— Вряд ли, ибо разговор зашифрован, поэтому необходим доступ к резолверу.
При желании можно настроить шифрование каждого запроса новым ключом.
— Может ли резолвер вернуть левый айпишник?
— Бывает.
Например, английский резолвер A-and-A с маркировкой non-filtering возвращает
айпишник 0.0.0.0 при запросе домена rt.com, чем мешает пользователям
добраться до известного новостного сайта. Англичанка гадит даже в малом!
И дело не в конкретном сайте, который может нравится или не нравится,
а в нарушении взятого на себя обязательства не фильтровать DNS-трафик.
А вот будет ли его тайно фильтровать, скажем, резолвер Mullvad? Этот давний
поборник сетевого нейтралитета из 14-глазой Швеции, готовый принимать плату
за свой VPN хоть в конверте, спрятанном в лесном дупле, отречётся от принципов
вероятнее лишь под давлением — евроурсулы в очередном запале драг-нах-остен
вполне могут сочинить запрет обслуживать DNS-запросы из России по аналогии
с закрытием границ и остановкой авиасообщения.
Цитата: HelioSS, 2025-1029-2205
Насколько в условиях суверенизации и на перспективу действенно использование DoH-сереверов? |
Суверенизация — это стремление к опоре на свои силы и меньшей зависимости
от внешних факторов, а DoH (DNS по HTTPS) — одна из возможностей защитить
от третьих лиц свой разговор с «телефонным справочником» Интернета, в котором
содержатся соответствия доменов и айпи-адресов. Таким образом, DoH (или иная
шифрованная обёртка для DNS-запросов) может быть полезен даже в Северной Корее,
защищая часть сетевой активности пользователя от вмешательства соседа, мошенника
и провайдера. Да, сам DoH будет один и под надзором государства, чтобы блокировать
получение айпишников абы каких ресурсов, зато, скажем, снизится уровень разброда
и шатания, что возвращает нас к моделированию угрозы — кого и почему мы боимся.
Например, я перестал использовать резолвер провайдера ещё до знакомства с DNSCrypt
из-за того, что тот оставлял желать лучшего и блокировал иные соединения на 53-м порту
(скажем, с резолверами OpenNIC, дающими выход на домены с суффиксом .lib). Выручали
резолверы, у которых есть альтернативый порт — 5353 и подобные. А потом я перешёл
на шифрованный резолвер, чтобы избежать поглядываний и манипуляций с DNS-трафиком
где-то по пути, что не исключает вероятность всего этого в конечной точке, но снижает её.
Цитата: HelioSS, 2025-1031-1100
Вообще реально ли проверить корректность использования DNSSEC и DoH для соединения? |
Работу и возможности резолвера можно проверить на диагностических сайтах:
- https://dnscheck.tools/
- https://cmdns.dev.dns-oarc.net/ |
Всего записей: 1076 | Зарегистр. 01-03-2003 | Отправлено: 14:06 13-12-2025 | Исправлено: kraeved, 12:50 15-12-2025 |
|
