Тред обсуждения \ выбора DNS.Довольно интересная тема для попиздеть, узнать кто чем пользуется, просто обосрать какого-то провайдера.Предыдущий тред: https://arhivach.org/thread/328428Cloudflare DNS> DNS: 1.1.1.1 / 1.0.0.1 / 2606:4700:4700::1111 / 2606:4700:4700::1001https://1.1.1.1/Компания Cloudflare предоставляет услуги DNS, CDN-прокси и защиты от DDoS-атак. Позиционирование: Совместно с APNIC, они основали DNS-сервер с упором на скорость и приватность. Имеется поддержка DNS-over-TLS и DNS-over-HTTPS. Занимает первое место в рейтинге по версии DNSPerf.На самом деле: медленнее серверов Google. В тесте на защиту от спуфинга от GRC получает статус "Moderate", что настораживает. Есть статья на Хабре "с разбором полётов" https://habrahabr.ru/post/352654/Google Public DNS> DNS: 8.8.8.8 / 8.8.4.4https://developers.google.com/speed/public-dns/Позиционирование: быстрый резолвинг адрессов по всему миру.Монетизация: очередной проект (коих сотни) на бюджете у самой дорогой и успешной рекламной конторы. Могут себе позволить.На самом деле: анаизируют траффик, применяют различные эксперименты, смотрят кто и как и что делает в интернетах. Довольно быстро резовлят адреса, и новые, только появившиеся домены, или изменения в записях DNS.OpenDNS > DNS: 208.67.222.123https://www.opendns.com/home-internet-security/Позиционирование: быстрый, надежный, безопасный DNS с вменяемой информацией откуда у них собственно бабло и мотивация заниматься этим бизнесом. Но с 2015 года после покупки за 675 миллионов долларов CISCO, которая славится своим открытым сотрудничеством с американскими ГэБэ отношение немного подпорчено этим осадочком.На самом деле: сервера практически по всему миру. В бывший совок их не пустили, но они стоят практически на пороге. На западе очень популярно практически везде, но мало о них говориться. Модель бизнеса с 2005 по 2015 была простой: если домен не резолвится, пользователю открывается страница с рекламой + премиум днс без рекламы и с большим количеством серверов. Т.е. до 2015 года модель полностью логично раскладывала "откуда бабло на сервера, и нахуй вы этим занимаетесь". С 2015 года после покупки ВНЕЗАПНО CISCO - стало все предельно не понятно. Появились "регистрации" где просят вставить зонд поглубже в жопу имя \ фамилию, телефон и так далее. Монетизация изменилась, но так же присутствует. Что как бэ намекает. На выбор анона...Yandex DNS (2013 - 20...)> DNS: 77.88.8.8 / 77.88.8.1https://dns.yandex.com/Позиционирование: "ответ пиндосам Google, но лучше". Смесь OpenDNS + Google но с задержками близкими к нулю из-за физического расположения в странах бывшего совка. Зарубежем не известен, и никому нахуй не нужен. Предоставляют безопастность, скорость, надежность массаж простаты зондами.На самом деле: появилось именно в момент политического кризиса на Украине, что уже как бэ намекает. Тут 10 лет ничего не делали, и на - вот вам DNS. Сотрудничает с провайдерами по всей РФ, Украине, Беларуси, Казахстану в плане шары и так далее (палите инфу у своего провайдера) но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэ. Но если даже отнять фактор сотрудничества с гэбухой для развязывания войн - довольно шустрый, хороший, и на удивление качественный DNS сервис (лол, да?). Полностью бесплатный. Хоститься так же как и сервис гугла на своих серверах в точках физического присутствия. Финансируется из общака Яндекса, использует продвинутые технологии фильтрации благодаря приобретенным антивирусным компаниям, и собственным наработкам. Если бы не сотрудничали с ГэБэ был бы довольно годный DNS. Но скорее всего он у тебя анон прямо сейчас предустановлен, если у тебя есть контракт (у провайдера) обмена пиров и так далее для максимальной доступности VK / Одноклассники / Mail.ru / Yandex (аля чебурнет social media).Quad9 > DNS: 9.9.9.9https://www.quad9.net/Позиционирование: смесь Google Public DNS + Yandex DNS но от британцев + IBM. Очень быстрые DNS + безопасность с помощью самых передовых технологий обнаружения и блокирования гадостей в интернет.На самом деле: очень разрекламированный сервис в ноябре 2017. Содержится на донаты от гос. структур, и прочего скама + хостится на инфраструктуре IBM. Цели - понятны, оно же Yandex но британской (IBM) разлива. Работает быстро, фильтрует грамотно, все четко, если бы не одно но - финансируется государством, и прочим скамом. Они заявляют что никому ничего не продают, ничего не собирают и так далее - но мы то знаем... Физическое размещение серверов ЛУЧШЕ (однако) чем у Google для стран бывшего Совка, Европки, и США. Пользоваться на риск анона. Проблем пока не замечено.Verisign DNS> DNS: 64.6.64.6 / 64.6.65.6https://www.verisign.com/ru_RU/security-services/public-dns/index.xhtmlVeriSign, Inc. (стилизованное название: VERISIGN) – американская компания из города Рестон, Вирджиния, поддерживающая разнообразные сетевые инфраструктуры, включая два из тринадцати существующих корневых серверов DNS, авторитетный реестр доменов верхнего уровня .com, .net, общие домены верхнего уровня .name и домены верхнего уровня с кодом страны .cc и .tv, а также серверные системы для доменов .jobs и .edu. Verisign также предлагает услуги по обеспечению безопасности, включая управляемую службу DNS, противодействие распределённым атакам типа «отказ в обслуживании» (DDoS) и уведомление о кибер-угрозах. Позиционирование: публичные DNS-сервера представляются как стабильные, безопасные и приватные. Утверждают, что не продают данные пользователей и не перенаправляют на рекламу.На самом деле: собирают служебные данные, такие как IP-адреса и т.д, поэтому может слить добрым людям из пиндоской гэбни. Высокий пинг, но в тоже время хорошие результаты по тестам GRC.Твой локальный провайдерский DNS> DNS: 192.168.0.1 / 10.0.0.1 / ты сам знаешь какойПозиционирование: минимальные из всех возможных задержек (до 10мс, обычно не превышает 2мс). Максимально быстрое открытие сайтов в виду отсутствия пре-дилея с DNS. Синхронизация DNS обычно раз в час, т.е. через 1 час после покупки домена ты сможешь его отрезолвить и посетить, не раньше... Связано с распиздяйничеством администраторов, экономией ресурсов и так далее. Но это лучше - чем ничего. Никаких защит - нет. Онли - максимальная скорость резолвинга домена.На самом деле: если важна скорость - то это всегда лучше чем любая из альтернатив выше (кроме яндекса наверное). Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой.==================================Анон, чем пользуешься ты? И почему?
Так на хабре же написали, что слаудфлаувский днс самый быстрый не? Через dnscrypt поддерживается dns-over-tls/https?
Если заменить провайдерский днс на любой друг факт соединения с IP адресом сервера никуда не девается. Так какой смысл?
>>2286013 (OP)>Cloudflare DNS>На самом делеМожно смело предполагать, что тоже монетизируют юзеров, как гугл.
>>2286042> Через dnscrypt поддерживается dns-over-tls/https? В https://dnscrypt.info/faq/ они есть.>>2286044Можно те же. Возможно днскрипт2 будет тем самым костылём для старых осей, которые не получат поддержку DNS over HTTPS.>>2286084Айпишник далеко не всегда палит, куда ты идёшь. Тем более в наше время. Идёшь на клаудфлярный айпишник и кто по нему поймёт? Там даже не обязательно стучаться на тот, который указан в днс. Можно тупо стучаться на любой из их облака, и тебя направит к искомому сайту. Блокировки так легко обходятся, в хостс пишешь другой клаудфларный айпишник и хуй ложишь.Вот если бы ты говорил про SNI, то уже более весомый аргумент. Но при подготовке TLS 1.3 было обсуждение скрытия SNI и варианты, так что это не невозможный вариант в будущем. А DNS было полной жопой, которая любые старания по приватности обсирала в 0. И вот наконец эта проблема решается, это прекрасно.Алсо из комментов хабра с моими []:> Пережевывать весь https-трафик [а точнее ClientHello] vs отвести на анализ только 53 порт [по которому тупо открытым текстом бегает днс] — для некоторых провайдеров задачи разного масштаба, на это, видимо, и расчет.
Скачал у васяна jedisct1 архив dns-proxy, убрал у конфига префикс example-, запустил "service-install.bat"и все?
Тупой вопрос, при PPPoE подключении днс прописывать нужно у адаптера или у подключения ? Или у обоих ?
>>2286801в зависимости от типа подключения и что нахимичил провайдер. Обычно PPPoE подразумевает полный похуизм на настройки, другими словами - все само должно тебе прописаться от провайдера.Если вопрос: "я хочу изменить дефолтный провайдерский который выдает мне PPPoE DNS на любой другой", то нужно зайти в дополнительно в роутере в подключениях и ввести нужный тебе днс, либо в настройках своего подключения вбить нужный днс.
>>2286459>>2287039Какой роутер ? Я сказал что у меня адаптер и pppoe подключение что подразумевает прямое подключение без роутера. И наличие двух подключений - самой сетевой карты и pppoe соединение в котором прописаны параметры авторизации и у них обоих можно прописать параметры ip4 и ip6.
>>2286801У пппое, насколько я помню. Но для верности можешь у обоих поставить, по идее ничего сломаться не должно.
Поехали.https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.htmlhttps://www.opennet.ru/opennews/art.shtml?num=48443DNSCrypt2 уже умеет в over-tls?
>>2289928А хостс или всякая blokada, о которой пишут в соседнем треде, не катит? Днс отлавливать для блокировки это какой-то ужасный костыль.
>>2289835> DNSCrypt2 уже умеет в over-tls? Оказалось, что васян не собирается. Но есть dns-over-https во всех вторых версиях.Про симплднскрипт виндовый не понятно. Плюс у него сейчас похоже массовые проблемы с запуском службы.
>>2290096Хостс никто и не спросит тогда.Алсо. Многие уже выпускают софт с внутренним dns, например Windows 10, Nvidia, Kaspersky и т.д. Они слушают адрес localhost с определённым портом и юзают его для обхода блокировок.
>>2290142> Хостс никто и не спросит тогда.Уверен? В чём отличие-то? Никто не долбится в хостс по легаси-днс-протоколу ведь. Просто ось проверяет перед резолвом, есть ли в файле этот домен. Ничего не мешает это и с новыми протоколами делать.Вот с программами будет проблема, как например лиса в ночнушках dns over https тестирует. Тут ось не знает о резолве, а сама лиса хостс не чекает и возможно даже не имеет доступа.Но если шифрованием днс занимается сама ось, то работа хостс технически всё так же возможна.
>>2291049ты реально тупой или притворяешься? зачем что-то перечислять, если нужна просто ссылки на проект
>>2286013 (OP)>DNS: 1.1.1.1 Почему при настройке stubby на 1,1,1,1 https://dnsleaktest.com/ показывает российский флажок? И значит ли это что они сливат данные тварищмайору?
>>2292633Что они так дрочатся со своими днс, и так их мониторят через cookies, айпишник, и еще масса вариантов.
>>2291049Что несешь, там anycast адреса есть. OpenNic однозначно стоило в шапку добавить.Алсо, был же уже такой тред? Зачем второй?Про DNSCrypt, DNS over TLS и DNS over HTTPS очень рекомендую почитать вот это, поможет разложить в голове мешанину информации по полочкам.https://habrahabr.ru/post/353878/
Внезапно гугл показывает минимальный пинг, в начале месяца ушел от него к Cloudflare, но сегодня решил потестить снова. А вообще думал у яши будет минимальный пинг, но нет
>>2293379>^Z>Остановлен pingТы вообще в курсе, что программы завершаются по Ctrl+C? Так, на всякий случай спрашиваю.
>>2296976тут и думать нечего, адгуард это говно под колпаком ГэБэ пидаршкинского. Их софт клал хуй на пользователя.Их товар - жестко пиарят и продвигают куда только можно.Де-факто это все то же, что у западных аналогов, только на сервера пидарахии с нужным кому нужно доступом.Не ведись.
>>2296976Использую вместе с днскрипт уже давно, они берут днс от гугла и опенднс и вырезают рекламные домены, брат жив.
Просто хочу разобраться. Включил DNSCrypt, да, прикольно, на dnsleaktest каждый раз страны меняются. Но что это дает обычному юзверю типа меня? Нужно ли оно?
>>2297368Х.з. чего ты вообще хочешь от днсов. У меня, например, с год назад в один прекрасный день отвалились все сервисы гугла. Просто телефоны перестили заходить в гугл плей и на ютуб через домашний wifi. При этом с компа и даже через браузер телефона все открывалось, грузилось и логинилось. Они же постоянно что-то блокируют и весь чебурнет пидорасит непредсказуемым образом. Хорошо еще, что телефона 2 и ни с одним из них последние несколько дней я не производил никаких критических манипуляций, иначе вместо того, чтобы копать в сторону провайдера, меня ждали бы увлекательные танцы со сбросами и перепрошивками. А так я как-то нагуглил про смену днс, поменял на 8.8.8.8 волшебным образом все заработало, а за одно пропали тормоза при просмотре ютуба через комп, когда воспроизведение не начиналось по пол минуты, причем само воспроизведение без тормозов, а в начале, или при перемотке постоянные тормоза. Оказалось тоже было из-за днс. Так и жил с пол года, потом заметил, что опять стали появляться тормоза при загрузках сайтов, пару раз кидало на провайдерскую заглушку, причем на самых обычных ресурсах, типа какого-то местного форума. Нагуглил про спуфинги и прочую хуйню, которую стало модно творить. Поставил днскрипт, пока полет нормальный. Вот что я получил как обычный пользователь.
>>2306872Чё bump?Настраиваешь до впски шифрованый днс, а впску к корневым днс.А ещё лучше сразу впн или сс там поднять./thread
>>2307181Это такая залупа которая говорит твоему браузеру как пройти нахуй по айпи зная только домен хуя, ведь маршрутизация работает только по айпи и проследовать куда либо по домену невозможно.Если у тебя не шифрован днс его можно подменить и послать тебя на айпи пизды.
Обновился до Firefox 60, включил dns over https принудительно с отключением обычного, няшно.trr prefs https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec
>>2307691https://github.com/jedisct1/dnscrypt-proxy/wiki/How-to-setup-your-own-DNSCrypt-server-in-less-than-10-minutes
>>2307849DNSCrypt нинужон! Если уж настраивать, то Dns over Tls или Dns over Https. Такие гайды есть? Прост у меня уже настроен DoT резолвер на 1.1.1.1 сервер, а хотелось бы на свой
>>2307916>DNSCrypt нинужон! Если уж настраивать, то Dns over Tls или Dns over Https.А чем они лучше днскрипта?
>>2307916>DNSCrypt нинужон!Да они вообще все не нужны. Т.к. днс без свободного доступа в интернет (читай впн) не нужен. А раз есть впн то и шифровать днс смысла нет.
>>2308147В прошлом треде анон говорил, что dnscrypt терпеть honeypot в плохом смысле что бы это нетзначило
>>2307779В 60 обнаружил проблему с network.trr.mode равному 3. Он должен принудительно использовать DoH и выключить легаси-днс, и это так, но только до первого перезапуска браузера. Потом он то ли сломан напрочь, то ли игнорится и браузер тупо юзает легаси-днс, хотя должен показывать ошибку Server not found, как при первом включении в случае неработающего TRR. Пришлось поставить мод на 2, хотя бы часть шифрует.В 61 уже починено, поэтому репортить смысла нет. Но на багзиле конкретно про это не нашёл.
>>2308265В cmd:nslookup 2ch.hk 1.1.1.1nslookup 2ch.hk 1.0.0.1Если первый не работает, тогда его надо убрать из настроек.
>>2308781Server: 1dot1dot1dot1.cloudflare-dns.comAddress: 1.1.1.1Non-authoritative answer:Name: 2ch.hkAddress: 5.61.239.35И что с того?
3. DNS.WATCHDNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.Что скажете?
>>2309279Значит работает. Если лиса 60 версии, то настраивай как тут >>2307779, только network.trr.mode пока 2 поставь. С 61 версии можно будет 3 уже.Будет шифрованный днс в лисе, ляпота. А для остальной системы пусть стоит в свойствах подключения 1.1.1.1, если пердолиться не хочешь. Я забил пока, самое критичное это браузер.
>>2311060Вот этим сайтом проверил, он-то вроде правду пишет.Когда в настройках вписан 1.1.1.1, то показывает Россию и Клаудфляру.Теперь мой проф. не знает, что я фапаю на хентай? Только добрые дяди из Клаудфляры?
>>2311130>Теперь мой проф. не знает, что я фапаю на хентай? Только добрые дяди из Клаудфляры?Бака, учи интернеты.
> На самом деле: медленнее серверов GoogleC:\Users\Unknown>ping 8.8.8.8Обмен пакетами с 8.8.8.8 по с 32 байтами данных:Ответ от 8.8.8.8: число байт=32 время=23мс TTL=54Ответ от 8.8.8.8: число байт=32 время=21мс TTL=54Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54Ответ от 8.8.8.8: число байт=32 время=20мс TTL=54Статистика Ping для 8.8.8.8: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь)Приблизительное время приема-передачи в мс: Минимальное = 20мсек, Максимальное = 23 мсек, Среднее = 21 мсек----C:\Users\Unknown>ping 1.1.1.1Обмен пакетами с 1.1.1.1 по с 32 байтами данных:Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57Ответ от 1.1.1.1: число байт=32 время=18мс TTL=57Ответ от 1.1.1.1: число байт=32 время=17мс TTL=57Ответ от 1.1.1.1: число байт=32 время=20мс TTL=57Статистика Ping для 1.1.1.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь)Приблизительное время приема-передачи в мс: Минимальное = 17мсек, Максимальное = 20 мсек, Среднее = 18 мсек
>>2311158Так ты и не плясал. Ты просто поставил 1.1.1.1 в стандартное место, как гуглоднс. Никакой пользы, кроме того шо не сливаешь гуглу, от этого не получаешь. В осях нет поддержки шифрования днс пока. Так что либо лису60+ настраиваешь (она для себя умеет), либо ставишь какую-нить хуйню в систему как локальный резолвер. Тогда будет шифрование.Правда есть ещё палево домена в SNI, но это уже дополнительная морока для прова. Да и в любом случае, защита днс не лишняя. Так победим.
а че это вы вручную каждый но одному пингуете? совсем ебанулись? есть же писька специальная - https://www.grc.com/dns/benchmark.htm>>2286013 (OP)>Yandex DNS>Зарубежем не известен, и никому нахуй не нужен.брешешь, кокхоул - https://www.trishtech.com/public-dns-server-tool/
>>2311395Я один сайт русский проверил. Там сначала пакеты пошли в Стокгольм, потом обратно в Россию и Санкт-Петербург.
>>2291999Клоуды поставили сервера в рашке.и ты подключаешься к ближнему доступному серверу от клоудов.
>>2313764Лучше бы 1.0.0.1 пинговал. На 1.1.1.1 может каптив-портал локальный отзываться. Наверняка на скрине так и есть, слишком большая разница.
Может и не в тему, но новый создавать точно не вариант.Посоны, пояните чому так? 2й хопПингплоттером видится что на этом втором хопе начинается лютая потеря пакетов.ТП ростелекома нихуя не смогла сделать (сменили модуляцию и скорость ебнулась в два раза)По поводу этого хопа вообще нихуя не сказали.Как это объясняется? Можно ли поправить? Как максимально исключить потерю пакетов?Провайдера заменить никак. Тут пиздец мухосрань и адсл только от рт.ДНСы вские пробовал
Ньюфаг в теме, хочу вкатиться, у меня пара вопросов.Получится ли изменить DNS меняя его на компьютере если я подключён через роутер?Как проверить мой текущий DNS?
>>2314914>Зайди на dnsleaktest.com и посмотри какие dns используешь. Потом поменяй на компе и снова проверь. вдруг получится Если на роутере не указан dns, то должно сработатьНо анон в прошлом треде писал, что твой isp всё равно может незаметно перенаправлять твои запросы dns через свои сервера а на них подменять ip
>>2315921>заслуженно обозвал ламером , ибо не знает элементарных терминов>в ответ получил безосновательный вскудах>назвали дегенератомДа уж блять, /s явно уже не тотУползи назад, быдло
>>2315932>>заслуженно обозвал ламеромкукарекнул не по делу, назвал собеседника уебаном и чувствует себя небыдлом. О дивный манямир тебя. Съеби в /b дурачок
>>2315932Педерасты блядь голубые ебучие??? Поганный мразь я твой отец обосцали жопа мокрая, почесал яйца, ты насрал полные штаны, большой волосатый батон!!!!!
>>2314232Так и есть, где-то читал, что в московском метро адрес 1.1.1.1 используется для внутренних нужд.
Лол, такая то анананимность, запрос идёт через Франкфурт-На Майне, где расположен крупнейший в Европе аналитический центр, он уже давно не шпионский. А потом Вы все такие либеральные кукаретики грите, а што же мы делаем ни так...
>>2286013 (OP)ОП - хуйСоветует какие то левые сервисы, когда можно поставить свой днс и не палить свои запросы всяким лишним хуесосам
>>2323540Но я из Беларуси.Хотя у нас оператор какой-то стрёмный, на порнолабе заглушка от билайна висит о блокировке.
>>2286013 (OP)>но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэДа ну на хуй их пруфы. У них Бабченко то умирает, то воскресает.
Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса TorКомпания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде скрытого сервиса Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.До сих пор для пользователей Tor было доступно два метода резолвинга IP-адресов - использование DNS-сервера провайдера и использование резолвера выходного узла Tor. В первом случае DNS-резолвер получает информацию о клиентском IP, а провайдер, если не применяется DNS-over-HTTPS или DNS-over-TLS, получает сведения об определяемом имени хоста. Во втором случае возникает опасность манипуляции с DNS нечистыми на руку владельцами выходных узлов.Cloudflare предложил свой вариант решения - реализацию DNS-резолвера в виде скрытого сервиса, который перенаправляет все обращения к DNS на сервер 1.1.1.1, благодаря применению Tor сохраняя полную анонимность пользователя. Для быстрого проброса на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion запущен специальный домен tor.cloudflare-dns.com.Источник: OpenNET http://www.opennet.ru/opennews/art.shtml?num=48733
>>2328257>а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.Это же отличная новость!!!
>>2328257>на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onionМноговато буковок. В свежем торе обновили протокол скрытых сервисов?
аноний как запретить этому говну пытатся в обычный днс запрос?[Resolve]DNS=1.1.1.1, 9.9.9.9FallbackDNS=LLMNR=noMulticastDNS=noDNSSEC=yesDNSOverTLS=opportunisticCache=yesDNSStubListener=noесли заюзать 8.8.8.8 он будет юзать обычный днс
>>2344522запятая конечно не нужна[Resolve]DNS=8.8.8.8FallbackDNS=LLMNR=noMulticastDNS=noDNSSEC=yesDNSOverTLS=opportunisticCache=yesDNSStubListener=noесли такой конфиг то резолв будет обычным днс запросом
> Note as the resolver is not capable of authenticating the server, it is vulnerable for "man-in-the-middle" attacks.> Using degraded feature set (UDP+EDNS0+DO+LARGE) for DNS server 8.8.8.8.как я понимаю этот behavior не поменять в systemd-resolved?
>>2344624Попробуй головку включить. Вот есть у нас в фундаменте интернета ссаный днс, полностью открытый к прослушке и подмене. Вообще нихуя в нём нет защиты, голый текст бегает. И поверх него всё остальное навалено и работает, в том числе tls/https и SNI.И теперь ты, такой умный, приходишь и говоришь: а зачем вы проблемы обоссаного днс пытаетесь исправить, ребята? Вон же часть проблемы (палево домена) есть и на уровнях выше? Давайте хуй забьём.Ты правда не видишь проблемы в своей логике? Но даже без этого, раскрою секрет: при создании TLS 1.3 обсуждалось шифрование SNI и предлагались конкретные варианты. Не приняли в итоге в 1.3. Можно было бы сказать, что жаль, но на самом деле нет, потому что ссаный днс в фундаменте куда большая проблема, SNI не ебёт сейчас.
>>2344965На IETF 101 в секции TLS обсуждался также вопрос Connection ID. И что с того? Тут вопрос в том, насколько мы вправе ломать все и сразу. Обратная совместимость - один из заветов IETF, и точка.По поводу DNS: к прослушке да, к подмене не так сильно, благодаря DNSSec. Если у тебя локальный резольвер свой и DNSSEC-валидация, то для многих доменов уже есть KSK. Но вот возможность в целом затусовать DNS-трафик в TLS-туннель нужна, так как часто коммуникация клиентов до резольвер прослушивется и продрачивается всякими патриотичными провайдерами-пидоргами как в Китае. В тоже время - возможность иметь по дефолту скрытую коммуникацию с резольвером, дает возможность не париться конечному пользователю сильно с настройкой VPN и устранение утечек DNS-запросов.Короче говоря - DNSSEC - для безопасности самих результатов у рекурсора, DNS-over-TLS для безопасности передачи данных от рекурсора до клиента конечного (и/или резольвера). DNSSEC можно и у себя на 127.0.0.1 делать локальным unbound, но работать оно будет только для доменов с вкл. DNSSEC где подписано все. А вот в случае если домен не подписан - провайдер (и не только) может пидорнуть подмену, плюс все ответы хоть и подписаны, но не защищены. DNS-over-TLS скорее решение последней мили в DNS, тогда как DNSSEC - решение для "бэкбона" (рекурсивных запросов). Смею предположить, что неплохо было бы совместить рекурсивные запросы с DNSSEC, и DNS-over-TLS для приватности локальных рекурсоров.
>>2345810По поводу проверки DNSCrypt vs DNS-over-TLS. Я за последний, так как последний описан в https://tools.ietf.org/html/rfc7858 , а документы IETF это вам не туалетная бумага. И точка.
>>2344536>>2344532>>2344522Господи! Уберите это говна с глаз долой! Фу блядь! Этот поцтеринг уже всех заебал. Нахуя блядь systemd-resolved? Чем тебе сука libc resolve-conf не угодил с локальным форвадирующим DNS-over-TLS резольвером вроде unbound? https://blog.cloudflare.com/dns-over-tls-for-openwrt/ . Нет, блядь, мы будем использовать говно написанное сборищем макак!
Ёлки-палки, только что сделал dnsleak тест. Так ттк пидоры подменяют гугловскую днс. Они совсем охуели. Отсюда вопрос. Если прошить роутер openwrt, то на нём можно будет поднять dnscrypt?
>>2345826Можно, но лучше DNS-over-TLS. https://blog.cloudflare.com/dns-over-tls-for-openwrt/ https://wiki.openwrt.org/ru/inbox/dnscrypt
>>2345828Спасибо, анон. Завтра буду разбираться. Из статьи на хабре вычитал, что они используют вот это https://ru.m.wikipedia.org/wiki/TCP_hijacking. Но ведь они должны только блокировать ip. Какого хуя? У Ростелекома такая же хуйня?
>>2345817но большинство дистров уюе юзают сустемди, с этим ничего не поделать. Да и я уверен ты не смотрел код этой поделки.
>>2286013 (OP)я использую cloudflare через dns over https.У них сервер в РФ есть и отвечает довольно быстро, даже по сравнению с dnscrypt v2 протоколом из РФ же от яндекса (замерял в namebench и dig). Пинг вообще охуенный - 18мс. ещё и dnssec умеет, есть и по ipv6 (по моему по в6 он отвечает медленнее, хотя у меня нативный ipv6 от провайдера).В dnscrypt2 сделалserver_names = ['cloudflare']lb_strategy = 'fastest'закоментил раздел [sources] - чтоб не лазил обновлять список серверов.[static][static.'cloudflare']stamp = 'sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk'самое главное в конфиге в этой строке задать ноль: netprobe_timeout = 0 (работает с версии 2.0.15)иначе, если при загрузке ОС у вас не будет подключения к сети в течение указанного в счетчике времени, то служба передумает запускаться и останется выключенной - особо актуально для тех, у кого интернет через PPPoE.dnscrypt версии первой юзать по udp ни в коем случае нельзя, он там гребучий. Да и вообще лучше на второй пересесть, он есть не на всех серверах.Я нашел ещё пару шустрых серверов уже не по DOH, а по dnscryptv2 - пинг выше, чем до CF, но отвечает быстрее. Добавлю мб какой-то из них.Самое то в пару к shadowsocks.
>>2346019блять, чуть не забыл.У кого включен ipv6, прописывайте в свойствах адаптера ::1 в качестве адреса DNS. Иначе резолв будет ходить через ipv6 мимо dnscrypt.
>>2346019>В dnscrypt2 сделалОн же и так выбирает наиболее быстрый сервер - так к чему весь этот пердолинг?
>>2286039двачую нахуй вам пердолинг с разными мокрописьками ставьте вот это гавно и будет вам dns долбоёбы анон главное прочитай что да какhttps://github.com/jedisct1/dnscrypt-proxy
Вы тут только стороние dns серверы рассматриваете, а почему не рассматривается вариант поднять свой, отказавшись от еще одной зависимости в виде чужого dns сервера?Прошло около года, как я установил undound в режиме resolver (не forwarder!), и теперь сам себе dns сервер, с dnssec и поддержкой в кеше наиболее часто используемых доменов. Это одназначно самая надежная (и безопасная, так как мои dns запросы не светятся на чужих серверах) реализация dns, за этот год dns не отваливался и не преподносил сюрпризов ни разу. Раньше пользовался dnscrypt с серверами opennic и с ним бывало всякое, то отвалится, положив интернет дома, то конкретный домен резолвить перестанет.Во всяких dns leak тетерах ip адрес моего dns сервера равен моему ip адресу.
>>2346131ты документацию то прочел хоть?он подефолту как балансировщик работает сразу больше чем с одним сервером.да и вообще лень мне пояснять.кому надо понять, сам попердолиться, кому день не будут меня доёбывать распросами и просто примут к сведению.
>>2347037алсо, если ему попадется udp попротоколу dnscrypt, то от DPI такое не спрячешь в отличие от DOH.
>>2346784Лично я выбрал CF по DOH, потому что задержки маленькие и при этом резолв не достаётся провайдеру и не отличается от https.Но в идеале надо свой dnscrypt2 сервер настроить, чтоб логи точно не достались яровой уже от CF.Но тут есть дилемма. dns over https сложнее и медленне, а днскрипт палевный для dpi.ну наверное все таки придется свой настроить, пока что днскрипт не режут всё равно.
>>2347054только есть ещё одно.443ий порт занят. днскрипт придется вешать куда-то ещё и тогда он совсем для DPI станет легкой добычей.
>>2347054У dns over https и подобных средств есть фатальный недостаток - медленный резолвинг, хотя вариант рабочий и надежный, а новые dns от cloudflare изначально это поддерживают.Лично я уже давно обмазался vpn, через него у меня работает в том числе и undound, поэтому не заморачиваюсь допольнительным шифрованием.
>Твой локальный провайдерский DNS>Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой.Блять. Но если я изменю днс на любой другой из предложенных в шапке, то хуи их техподдержки провайдера не увидят что я посещаю ?
>>2347366Спокойной увидят, так как это в plaintext'е в твоём трафике будет. Только over https или dnscrypt
>>2347390А если еще через тор заходить с cf dns, то все равно как на ладони будет видно провайдеру как часто я капчую?
>>2347366>нусов: все посещенные домены (которые отрезолвились) хранятсяhttps://www.dnsleaktest.com/what-is-transparent-dns-proxy.html
>>2347119> медленный резолвингЯ гонял dig и namebench. Нормально там всё со скоростью. Потенциально dnscrypt v2 быстрее, но он не стал стандартом, крупные компании не держут серверы с ним в рф. Пинг до днскрипт2 серваков публичных сильно больше, чем до CF (до CF 18мс).По моему днскрипт2 лучше на собственном сервере, так проще настроить и жрёт меньше и работает шустрее и логи не оставишь яровой.Но есть риск DPI фильтрации, даже если работать по TCP - просто заодно как неопознанный трафик. А ещё у меня только один 443 порт на ВПС...Ну а DOH лучше именно для чужого сервера крупной компании.И ему не страшен dpi.Короче оба в ходу могут быть.у меня впн нету, у меня SS, поэтому нужно резолв шифровать.
>>2347040Тогда лучше вместо server_names = ['cloudflare'] выставить dnscrypt_servers = false, а то останешься с хуём, если клаудфлер наебнётся.
>>2347844Наебнётся, пропишу второй по скорости сервак. делов на 15 секунд.А балансировщик-то мне нахуя? И как он спасет, если CF наебнется? -все равно будет на неё попадать перодически запрос.
>>2347954>И как он спасет, если CF наебнется?Выберет другой сервер.>все равно будет на неё попадать перодически запросХерню пишешь, лучше почитал бы про стратегии выбора.
>>2347799>По моему днскрипт2 лучше на собственном сервереЕсли уж у тебя есть сервер, логичнее поднять на нем простой openvpn, а дома завернуть в него либо вообще все, либо только dns. Это будет работать быстрее.
>>2348008>openvpnрежется DPIна ведре жрёт батарейкузаворачивает весь трафик подряд.уж лучше shadowsocks.
>>2348115>на ведре жрёт батарейкуПруфы? Пользуюсь на смартфоне/планшете уже несколько лет. Висит в фоне и ничего не жрёт. За ночь пару процентов съело и всё.>заворачивает весь трафик подрядТо, что и нужно.
>>2348116>То, что и нужно.что нужно? гонять торенты через ВПС?Ну тогд и ВПС нужен дороже и ещё такой ,чтоб не ебал за пиратство. И скорость будет резаться, всё равно 100 мегабит не будет у тебя.Нахуй надо?Если мне просто нужно браузер, телегу и жебер проксировать, а всё остальное напрямую.
>>2348013Да, намного, плюс нет привязки к какому-то конкретному dns серверу.Cloudflare поддерживает только dns over https и dns over tls, а они тратят время на установление нового защищенного соединения каждый раз при резолвинге. Как впрочем и dnscrypt, хотя последний должен делать это быстрее, но он cloudflare не поддерживается. Openvpn же поддерживает защищенное соединение постоянно и при резолвинге не тратится дополнительное время на установку защищенного соединения.>>2348115Ну мы, слава богу, еще не дожили до того, что провайдерами режется все, кроме http. Мне все подряд и надо заворачивать, у меня так и сделано, прямо на роутере весь трафик заворачивается в vpn.На мобильном батарейку жрет, да, все хотел на vps параленьно к openvpn что-то для мобильного поставить, да все никак руки не дойдут.
>>2348123>что нужно? гонять торенты через ВПС?Да, это тоже. Гоняю торренты исключительно через vpn, а чтоб собственно, не так? В россии блокируются анонсеры популярных трекеров, в таких условиях страдает эффективность раздачи. А я за эффективную раздачу. Раздаю по 10Тб торрентов в месяц через vps.А дополнительный расход на оплату vps, ну а куда деваться, мне нужен доступ в интернет, а не в чебурашку.
>>2348588> dns over https и dns over tls, а они тратят время на установление нового защищенного соединения каждый раз при резолвинге. Это не так, лол. Один раз устанавливается соединение и часами по нему гоняются резолвы.Например, включил DoH CF в лисе, открыл на 10 часов браузер, и у тебя 10 часов держится одно соединение с CF.
>>2348594> В россии блокируются анонсеры популярных трекеров, в таких условиях страдает эффективность раздачиАлё! Анонсеры можно через прокси, а сам трафик раздач/закачек напрямую.
>>2348731Может и так, спорить не буду. https тоже может кешировать ключи, чтобы не устанавливать новую сессию каждый раз. Все равно openvpn быстрее будет Аеще проще и универсальнее, но, это лично для меня.>>2348861Ты вообще в курсе, как работает механизм анонсирования раздачь? Клиент отправляет запрос на анонсер, а анонсер извлекает ip адрес клиента из заголовков, чтобы передать его другим клиентам. Если ты пускаешь анонсеры через прокси, твой реальный ip и ip, полученный трекером будут разными, соответственно остальные клиенты получат ip адрес прокси сервера, а не твой ip адрес, а значит не смогут к тебе подключиться, чтобы скачать блок. Механизм скачивания при этом не ломается.Эту проблему решили на рутрекере, сделав свой прокси, который транслирует так же и ip клиента. Но это работает только с рутрекером.
>>2348861Ты тупой? Проблема блокировок не в том, что лично ты теряешь доступ к анонсеру/трекеру (это легко исправляется), а в том, что его теряют миллионы хомяков, не все из которых заморочатся обходом.Я вообще не в РФ, похуй на РКН, но разница на лицо: раньше я любую хуйню в музыкальных разделах рутрекера мог скачать, а теперь приходится ждать появление в онлайне отдельных сидеров-спасателей. Просто людей стало меньше.Даже DHT не спасает (а это реальный первичный ответ на блокировку анонсера, а не ссаные прокси, ибо в клиентах по дефолту включён и по сути ничего не потеряно), видимо многие выключили/удалили покрасневшие раздачи.
>>2348914>Ты вообще в курсе, как работает механизм анонсирования раздачьЯ в курсе, что просто сокс можт передавать реальный ip клиента, есть же X-Forwarded-For
>>2348974Прокси то может передавать X-Forwarded-For, на рутрекере с их прокси это примерно так и работает. Проблема в том, что 1. мало кто из прокси передает этот заголовок. 2. Никто из трекеров не читает этот заголовок.Поэтому вариант с прокси это вариант для эгоистичных потреблядей, которые хотят только скачивать, но не раздавать. Жаль, что мало кто это понимает.
>>2349593Анон, учи матчасть, задача анонсера определить ip клиента, чтобы передать его другим клиентам. Для ipv6 нужен отдельный адрес анонсера, совместить и ipv4 и ipv6 в одном не получится. Смотри пикрил, один анонсер определяет ipv4, второй - ipv6. На nnm-club так сделано.А на рутрекере так ipv6 анонсеры и не добавляют, хотя давно бы уже пора.
>>2349596Все верно, с ipv6 анонсера ты будешь получать ipv6 ip адреса, а c ipv4 анонсера, соответственно, ipv4.
>>2308763>>2310800Пишу из будущего с 61 версии. Теперь баг работает иначе: после перезапуска браузера со значением три, сайты перестают открываться в принципе. Переключаюсь на 2: dnsleak.com показывает провайдерский, dnsleaktest.com — клаудфлара. Хуйня какая-то. Алсо, при использовании dnscrypt2 первый сайт, несмотря на адреса фларовских серверов, всё пишет типа «лукс лайк йор днс ликс» — это просто сайт кривой?
>>2356149У меня всё нормально в 61 со значением 3. Ты походу бутстрап-адрес забыл выставить. Без него мод 3 не будет работать, ибо легаси-днс не работает, а значит неизвестно куда DoH запросы слать, там же домен. Ставь 1.1.1.1 или 1.0.0.1 (первый может не работать). Или даже 104.x.x.x какой-нибудь, как у меня выше на скрине, но там есть вероятность что перестанет работать, лучше 1.0.0.1.Не хватает только фикса https://bugzilla.mozilla.org/show_bug.cgi?id=1450893 в идеале.тот анон с проблемами в 60
>>2347054>dns over https сложнее и медленне, а днскрипт палевный для dpi.Ничего не понял. Разве днскрипт не суть есть спецификация, полагающаяся на doh?
Какие прокси юзать для анонсеров, socks4 чи http? Поставил socks4, русракер вроде заработал малех, но мне кажется, что не весь объем учитывает и могут появляться ошибки у раздач с других трекеров и они не отображаются на сайте в сидируемых, до того как не нажмешь f5, потом все нормально.
>>2286039А в чём смысл, замены ДНС, держать сервера? Что бы жопу, твою прекрыть? Нет конечно, как минимум, знать к каким серверам обращаешься и все ДНС, которым обращается, это дата центры во Франкфурте на Майне это самый большой аналетический цент НАТО в Европе, вы и есть мыши над которыми проводят эксперементы!
>>2286013 (OP)Вы ебанутые? Что вы тут делаете? Выбирать днс-сервера, лол. В 2018 году. Днс подменяется провайдерским в большинстве случаев.
Скочал dnscrypt-proxy 2.0.17Прописывал в dnscrypt-proxy.toml в [static] по очереди сервера opennic. Из всех серверов, поддерживающих dnscrypt заработало только с этими 2-мя. Хотя по скрину видно, что другие тоже онлайн. Че за нах?
>>2286013 (OP)> Анон, чем пользуешься ты? И почему?А я ни чего не понял, я бака. У меня просто подключен к точке доступа от модема, к которому подключен провод от телефона. Больше я ничего не знаю. ДНС какие-то, охуеть вообще. Даешь децентрализацию!
Что за говноедов тред.Как у себя (или на vps, чероз который сидишь) днс сервер поднять, чтоб с корней всё брать, а не через параши?
>>2429229Ну вот пишешь ты в адресной строке свой любимый сайт vk.com, а что это значит? Да само по себе по большому счету ничего, чтобы что-то открыть надо найти конкретный сервер в интернете. У серверов для своего обозначения в сети есть ip адреса, вот днс и нужен для того чтобы тебе не писать в адресной строке 87.240.129.133, а писать vk.com Своего рода каталог соответствия доменных имён и айпи адресов.
>>2344624network.security.esni.enabled успел пролезть в Firefox 64, можно включить и работает с сайтами под Cloudflare. Например nhentai.> В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике https://www.opennet.ru/opennews/art.shtml?num=49325При условии работающего DNS over HTTPS https://daniel.haxx.se/blog/2018/06/03/inside-firefoxs-doh-engine/ (достаточно поменять только network.trr.mode на 2 или нижнюю галку включить в настройках прокси, либо ещё адрес, если хотите не cloudflare dns)Проверка тут https://www.cloudflare.com/ssl/encrypted-sni/
>>2293379Обмен пакетами с 77.88.8.8 по с 32 байтами данных:Ответ от 77.88.8.8: число байт=32 время=99мс TTL=54Ответ от 77.88.8.8: число байт=32 время=122мс TTL=54Ответ от 77.88.8.8: число байт=32 время=95мс TTL=54Ответ от 77.88.8.8: число байт=32 время=118мс TTL=54 Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь)Приблизительное время приема-передачи в мс: Минимальное = 95мсек, Максимальное = 122 мсек, Среднее = 108 мсек
