Como verificar se o DNS está criptografado?

14

Eu instalei o DNSCrypt , seu patch DNS criptografado OpenDNS para Ubuntu e outros usuários do Linux e está funcionando bem.

Como sei se meu DNS está criptografado? Pesquisei no Google, mas não encontrei nada.

Status 

one@onezero:~$ status dnscrypt 
dnscrypt start/running, process 1013
one@onezero:~$ sudo netstat -atnlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1013/dnscrypt-proxy

Atualizada

Wireshark

@Alvar

insira a descrição da imagem aqui

insira a descrição da imagem aqui

insira a descrição da imagem aqui

insira a descrição da imagem aqui

sem DNSCrypt

insira a descrição da imagem aqui

encryption dns dnscrypt-proxy One Zero
fonte

Respostas:

6

Você pode verificar isso Wiresharkouvindo sua placa de rede, basta seguir estas etapas:

  1. sudo apt-get install wireshark (cole-o em um terminal)
  2. inicie-o a partir de um terminal com sudo wireshark(você precisa do sudo para poder ouvir sua placa de rede.)
  3. em seguida, começar a ouvir e filtrar tudo, mas o seu próprio ip.

Agora basta verificar se os protocolos de DNS estão criptografados.

  1. use o filtro para mostrar apenas dns
  2. Pare a verificação.
  3. clique em um item da lista que diz dns e vem do seu ip.
  4. Agora clique no protocolo de transmissão para ver se está criptografado.
Alvar
fonte
@OneZero clique na área destacada em vermelho que diz dns , procure lá, você deve descobrir se está criptografado lá.
Alvar
3

Se você estiver usando o OpenDNS como servidor DNS de suporte ao dnscrypt, uma maneira de verificar se está funcionando é usar um destes comandos:

drill txt debug.opendns.com

dig txt debug.opendns.com

O texto da resposta deve conter uma linha em que diz "dnscrypt enabled":

;; ANSWER SECTION:
debug.opendns.com.  0   IN  TXT "server 11"
debug.opendns.com.  0   IN  TXT "flags 22 2 222 2"
debug.opendns.com.  0   IN  TXT "id 6666666"
debug.opendns.com.  0   IN  TXT "source 209.6.69.160:44444"
debug.opendns.com.  0   IN  TXT "dnscrypt enabled (...)"
sanilunlu
fonte
drillrequer pacote ldnsutils, embora digfuncione, e nslookup -type=txt debug.opendns.comtambém funciona.
Acumenus
1

Eu instalei o dnscrypt 1.1 no Ubuntu 12.10.

Eu editei /etc/NetworkManager/NetworkManager.confpara comentar

dns=dnsmasq

Em seguida, adicione /etc/init/dnscrypt.confe inclua nele o seguinte:

 description "dnscrypt startup script"

 start on (local-filesystems and started dbus and stopped udevtrigger)
 stop on runlevel [016]

 script
         exec /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d
 end script

Em seguida, alterei minhas configurações de rede para usar 127.0.0.1 para DNS:

Então eu reiniciei e verifiquei se dnscryptestava em execução e que dnsmasqnão:

 ps aux | grep dns
 root      6581  0.0  0.0  16116   720 ?        Ss   04:47   0:00 /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d

Então eu abri wiresharkpara verificar se o DNS estava criptografado:

Parece que não é.

Visitar http://www.opendns.com/welcome/ verifica se estou usando opendns.

]

echosyp
fonte
0

OK, entendi!

Execute dnscrypt-proxy --deamonize (ele já deve estar em execução)

  1. Vá para o ícone Rede na parte superior e desça até Configurações de rede.
  2. Vá para sua conexão atual e clique em Configurar ...
  3. Vá para a guia Configurações IPv4.
  4. Em servidores DNS e domínios de pesquisa, insira: 127.0.0.1
  5. Vá para http://opendns.com/welcome

Se você for redirecionado para http://opendns.com/welcome/oops , ele não será configurado corretamente.

Me desculpe por isso. Eu não queria ir ao trabalho de configurar tudo, mas foi notavelmente fácil! Bem, espero que você tenha aprendido alguma coisa. Eu com certeza fiz!

Chuck R
fonte
posso verificar se as solicitações foram enviadas para qual servidor DNS criptografado?
One Zero
1
Eu realmente não entendo o que você quer dizer, ele só será enviado para um máximo de duas possibilidades na maioria das circunstâncias de redes domésticas. Provavelmente, você os configurou no seu roteador ou no seu arquivo /etc/resolv.conf. Portanto, toda vez que seu computador solicitar algo, seu roteador solicitará esses dois servidores DNS. Não há outros porque não conhece outros. Se você realmente quer saber, pode colocar uma máquina com duas placas de rede e o Wireshark entre o computador e o roteador. Então você pode ler os pacotes que atravessam o computador. Mas é claro que você precisa saber o que está procurando.
mandril R
ty, bom, você deve incluir esse detalhe em sua resposta
One Zero
Cutucar! Você viu minha resposta atualizada?
mandril R
sim eu fiz, sua 127.0.0.2 se ur usando o script arrivista como im, consulte a ajuda W8, já verificada dns abertos boas-vindas mesmo no criptografado e em criptografada-un
Um Zero
0

O dnscrypt-proxy aceita solicitações de DNS, criptografa e assina-as usando *  dnscrypt  * e as encaminha para um resolvedor remoto habilitado para dnscrypt

As respostas do resolvedor também devem ser criptografadas e assinadas.

O proxy verifica a assinatura das respostas, descriptografa-as e as encaminha de forma transparente para o resolvedor de stub local.

O proxy-dnscrypt ouve 127.0.0.1 / porta 53 por padrão.

One Zero
fonte
-1

Você acessa a página de boas-vindas do OpenDNS e verá algo como "Bem-vindo ao OpenDNS! Sua Internet é mais segura, mais rápida e mais inteligente porque você está usando o OpenDNS". Isso significa que você está usando o OpenDNS como seu provedor de DNS e se você não configurou o OpenDNS sem dnscrypt, suas solicitações de DNS devem ser criptografadas.

Outra maneira seria espionar o tráfego DNS usando o wireshark, o tcpdump, etc. e ver se ele realmente é criptografado, mas é mais complicado e requer um conhecimento aprofundado.

Li Lo
fonte
opendns.com/welcome > ya i esteve lá antes as suas cerca de dns-dns aberta, deixe-me verificado no meu laptop a um sem criptografia
Um Zero
o mesmo que mostra aqui
One Zero
O OpenDNS não é o único provedor habilitado para DNScrypt. sudo dnscrypt-proxy --daemon -a 127.0.0.2 --resolver-address=23.226.227.93:443 --provider-name=2.dnscrypt-cert.okturtles.com --provider-key=1D85:3953:E34F:AFD0:05F9:4C6F:D1CC:E635:D411:9904:0D48:D19A:5D35:0B6A:7C81:73CBé um dos muitos que não usam o OpenDNS.
Mchid