شما هنوز به سیستم وارد نشده اید.

#26 2017-01-06 14:20:16

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

در پست اولم امکان افزودن مکانیزم EDNS0 رو به تنظیمات DNS سیستم اضافه کردم. در این پست می خواهم در مورد این مکانیزم و اینکه چی هست توضیح بدم. بسته های DNS به صورت پیش فرض دارای محدودیتهای در سایز بسته هستند که این باعث میشه بعضی قابلیتها و اطلاعات اضافه رو نشه به این بسته ها اضافه کرد. مکانیزم EDNS0 باعث میشه که امکان تنظیم اندازه بسته DNS فراهم بشه و به این صورت بشه اطلاعات و امکانات بیشتری رو به بسته های DNS اضافه کرد. به عنوان نمونه خروجی یک query رو بدون امکان EDNS0 در زیر ببینید:

morealaz@archlinux ~ % dig facebook.com          

; <<>> DiG 9.11.0-P1 <<>> facebook.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18485
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;facebook.com.			IN	A

;; ANSWER SECTION:
facebook.com.		94	IN	A	31.13.65.36

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jan 06 13:06:37 IRST 2017
;; MSG SIZE  rcvd: 57

حالا همین query رو بعد از فعال کردن قابلیت edns0 ببینید:

morealaz@archlinux ~ % dig facebook.com

; <<>> DiG 9.11.0-P1 <<>> facebook.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10154
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;facebook.com.			IN	A

;; ANSWER SECTION:
facebook.com.		138	IN	A	31.13.65.36

;; AUTHORITY SECTION:
facebook.com.		44319	IN	NS	a.ns.facebook.com.
facebook.com.		44319	IN	NS	b.ns.facebook.com.

;; ADDITIONAL SECTION:
a.ns.facebook.com.	172503	IN	A	69.171.239.12
a.ns.facebook.com.	160869	IN	AAAA	2a03:2880:fffe:c:face:b00c:0:35
b.ns.facebook.com.	91617	IN	A	69.171.255.12
b.ns.facebook.com.	44319	IN	AAAA	2a03:2880:ffff:c:face:b00c:0:35

;; Query time: 179 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jan 06 13:05:53 IRST 2017
;; MSG SIZE  rcvd: 180

همونجور که مشاهده می کنید، بعد از فعال کردن قابلیت edns0 اطلاعات بیشتری به پاسخ درخواست DNS اضافه شده.

آفلاین

#27 2017-02-08 10:51:23

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

سلام. آقا مشکلی پیش نیومده برای شما؟ چند روزیه که سایتهای httpsای که ... بودند باز نمیشن. چند تا سرور هم عوض کردم ولی مشکل پابرجاست. در حالی که با سایت https://dnsleaktest.com که تست میکنم اون سروری که انتخاب کردم رو نشون میده.


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#28 2017-02-08 20:29:22

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

شاید مشکل از DNS نباشه! تست کن ببین DNS کار میکنه یا نه. با دستور dig یه وب سایت مثل facebook رو یه بار با DNSCrypt و یه بار بدون DNSCrypt مثلا با استفاده از سرور گوگل امتحان کن. البته ممکنه سرور DNS هم جواب نده اون موقع سرورت رو میتونی تغییر بدی. ولی خوب برای منم اتفاق افتاه بعضی وقتا https از کار بیوفته فکر کنم کلا پورت https رو فیلتر میکنند!!!

آفلاین

#29 2017-02-09 11:00:58

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

فکر کنم فهمیدن! smile) یوتیوب میاد، ولی فیسبوک و بلاگر و مابقی هر چی که لازم بود بیاد (و میومد) دیگه نمیاد. توی مرورگر مینویسه connected اما بعد از چند ثانیه connection failed میده. خروجی dig هم مشابه همین خروجی اولی هست که در دو تا مطلب قبلی نوشته بودید.


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#30 2017-02-09 11:09:00

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

AmiNimA نوشته است که:

فکر کنم فهمیدن! smile) یوتیوب میاد، ولی فیسبوک و بلاگر و مابقی هر چی که لازم بود بیاد (و میومد) دیگه نمیاد. توی مرورگر مینویسه connected اما بعد از چند ثانیه connection failed میده. خروجی dig هم مشابه همین خروجی اولی هست که در دو تا مطلب قبلی نوشته بودید.

برای من مشکلی نداره و فیس بوک و بلاگر هم باز میشه!! شاید ISP شما مشکلی داره (بهتر بگم مشکلی ایجاد می کنه)!! پیشنهاد میکنم اگر از افزونه https-everywhere استفاده نمیکردید، استفاده کنید. بعضی وقتها بعضی وب سایتها پیش فرض از http به جای https استفاده میکنند. برای موتور جستجو هم شدیدا duckduckgo رو پیشنهاد می کنم استفاده کنید.

آفلاین

#31 2017-02-09 14:40:48

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

استفاده میکنم از اون افزونه. ممنون بهرحال...
هعی...


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#32 2017-02-21 08:46:12

بهروز رمضانی
عضو
از : اصفهان
ثبت شده: 2015-09-16
ارسال ها: 179
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

سلام
آیا امکان داره این روش را روی سیستمعامل اندروید اجرا کرد؟


در یادگیری و استفاده از خط فرمان کوشا باشید چرا که رستگاری شما در آن است.

آفلاین

#33 2017-02-21 09:44:03

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

بهروز رمضانی نوشته است که:

آیا امکان داره این روش را روی سیستمعامل اندروید اجرا کرد؟

سلام بله امکانش هست. ولی گوشی شما باید روت شده باشه. در وب سایت DNSCrypt در این مورد توضیح داده شده.

آفلاین

#34 2017-03-03 11:21:33

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

سلام.
یه مشکلی که اخیرا پیش اومده و من نمیدونم که چرا این طوری شده، اکثر اوقاتی که سیستم از حالت suspend بالا میاد (نه همیشه) من مجبورم یک بار این دستور رو در ترمینال اجرا کنم تا دسترسی به صفحات وب رو داشته باشم:

 sudo systemctl restart dnscrypt-proxy.socket dnsmasq.service
 

در حالی که تلگرام دسکتاپ به اینترنت دسترسی داره، اما فایرفاکس صفحه ای رو باز نمیکنه و مدام در استاتوس مینویسه looking for... به محض اینکه دستور بالا زده میشه سایت لود میشه. چه با https چه بدون https


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#35 2017-03-03 11:39:12

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

برای من هم همین مشکل پیش اومده البته من نمیدونم به suspend شدن سیستمم ربط داره یا به سرویس دهنده اینترنتم!! چون تو خونه این چند وقت یه مشکلی که پیش اومده اینه که بعضی وب سایتها مثل duckduckgo و reddit رو بعضی مواقع باز نمیکنه. ولی با یه سرویس دهنده دیگه در محل کارم این مشکلات رو ندارم.

آفلاین

#36 2017-03-08 11:13:51

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

چند توصیه و نکته جدید برای استفاده از DNSCrypt در آرچ:
به جای ویرایش سرویس dnscrypt-proxy.service برای تنظیم برنامه قبلا به عنوان اولین مرحله تنظیمات برنامه توضیح داده شده بود، از فایل تنظیمات برنامه etc/dnscrypt-proxy.conf/ استفاده کنید. در حالت پیش فرض سرویس dnscrypt-proxy.service از این فایل استفاده می کند که لازم است تنظیماتی در این فایل انجام شود. به هنگام نصب DNSCrypt یک فایل نمونه با نام etc/dnscrypt-proxy.conf.example/ در سیستم نصب می شود که لازم است با دستور زیر یک کپی از آن ایجاد کرده و تغییرات لازم را قبل از شروع برنامه در آن انجام دهید:

$ sudo cp /etc/dnscrypt-proxy.conf.example /etc/dnscrypt-proxy.conf

پس از ایجاد فایل dnscrypt-proxy.conf با دستور بالا فایل مذکور را باز کرده و تغییرات زیر را انجام دهید:
۱-  ابتدا در مقابل عبارت ResolverName نام سرور مورد استفاده به عنوان resolver پیش فرض خود را قرار دهید. به عنوان نمونه:

ResolverName dnscrypt.eu-nl

۲- در حالت پیش فرض برنامه dnscrypt با کاربر root اجرا می شود. برای امنیت بیشتر سیستم بهتر است این برنامه با یک نام کاربری پیگر که مجوزهای کمتری دارد اجرا شود. برای اینکار به صورت زیر عمل کنید:
ابتدا با دستور زیر یک کاربر جدید برای اجرای dnscrypt بسازید:

# useradd -r -d /var/dnscrypt -m -s /sbin/nologin dnscrypt

سپس در فایل dnscrypt-proxy.conf گزینه User را برای تغییر کاربر مورد استفاده برای اجرای برنامه به صورت زیر قرار دهید:

User dnscrypt

آفلاین

#37 2017-03-08 14:00:58

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

متاسفانه من هر سروری رو امتحان میکنم دیگه کار نمیکنه. یعنی سایت ها باز نمیشن. :-( حتی یوتیوب که هنوز میومد هم دیگه نمیاد :-(((


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#38 2017-03-08 20:33:44

بهروز رمضانی
عضو
از : اصفهان
ثبت شده: 2015-09-16
ارسال ها: 179
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

از دیشب تا حالا این یوتیوب باز نمیشه؟ یعنی روش فیلترینگ را عوض کردند؟


در یادگیری و استفاده از خط فرمان کوشا باشید چرا که رستگاری شما در آن است.

آفلاین

#39 2017-03-08 21:09:21

atilaa
عضو
ثبت شده: 2016-09-10
ارسال ها: 10

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

این خراب شد آیا ؟؟؟؟!!! sad

آفلاین

#40 2017-03-08 21:14:42

بهروز رمضانی
عضو
از : اصفهان
ثبت شده: 2015-09-16
ارسال ها: 179
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

خوب من با 3G ایرانسل چک کردم یوتیوب راحت باز شد ولی با ADSL شاتل این روش جواب نمیده


در یادگیری و استفاده از خط فرمان کوشا باشید چرا که رستگاری شما در آن است.

آفلاین

#41 2017-03-08 23:53:51

AmiNimA
عضو
ثبت شده: 2015-11-27
ارسال ها: 197
وب سایت

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

در مورد راه اندازی سرور مخصوص این کار اطلاعی دارید؟ یعنی مثلا با دوستانمون یه هاست شخصی بگیریم و یه همچین سروری برای خودمون راه اندازی کنیم. بدون اینکه پابلیکش کنیم. یا اصلا داستان کار نکردن این روش چیز دیگری است...؟


لینوکس یک فرهنگ است. یک فرهنگ خوب

آفلاین

#42 2017-03-09 08:27:06

ehsan_faal
عضو
از : تهران
ثبت شده: 2015-10-02
ارسال ها: 267

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

من هنوزم نمیفهمم که چرا این روش جواب میده، یعنی اگه چند سال پیش بود میگفتم آره query های DNS شنود میشه،ولی الان دیگه فیلترینگ هوشمند شده، لیست IP های سایتی که باید ببندند رو دارن و هی هم update میشه، واسه همینه که مثلا اگه توی یه سایت مجاز لینک ویدیویی از youtube  باشه فقط همون قسمتش به مشکل میخوره، یه سری access control list مینویسن ISP ها که پکت ها رو بر اساس هدر لایه ی ۳ و ۴ شون drop کنن.
ایرانسل هنوز اینکارو نکرده که دمش گرم واقعا، ولی خب این ایده ارزش هزینه کردن نداره به نظر من.


Mahatma Gandhi - The weak can never forgive. Forgiveness is the attribute of the strong

آفلاین

#43 2017-03-09 13:16:45

morealaz
عضو
از : کرمان
ثبت شده: 2016-03-19
ارسال ها: 273

پاسخ: جلوگیری از DNS Spoofing با استفاده از DNSCrypt

AmiNimA نوشته است که:

در مورد راه اندازی سرور مخصوص این کار اطلاعی دارید؟ یعنی مثلا با دوستانمون یه هاست شخصی بگیریم و یه همچین سروری برای خودمون راه اندازی کنیم. بدون اینکه پابلیکش کنیم. یا اصلا داستان کار نکردن این روش چیز دیگری است...؟

برای سرور یه برنامه تو خود سایت dnscrypt وجود داره به نام dnscrypt-wrapper که امکان استفاده از dnscrypt رو برای سرورهای dns فراهم میکنه. منتها مشکلی که اینجا وجود داره بعید میدونم مربوط به فیلترکردن سرورهای dns  باشه. باید این موضوع رو بیشتر بررسی کنم.
این روش همونجور که قبلا گفتم یه فیلتر شکن نیست. بلکه روشی هست برای مقابله با نوعی فیلتر کردن که از طریق دست کاری درخواست های dns انجام میشه. یعنی اینجوری حداقل IP وب سایتی که میخواهیم به اون وصل بشیم رو درست دریافت میکنیم ولی ممکنه اون سایت به روشهای دیگری مثل فیلتر کردن آدرس IP یا مسدود گردن استفاده از https فیلتر بشه.

آخرین ویرایش توسط morealaz (2017-03-09 13:22:34)

آفلاین

پانوشت انجمن

پشتیبانی توسط تیم آرچ لینوکس ایران و نیرو گرفته با FluxBB