Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Wycieki zapytań DNS (Tor, proxy, VPN...)
03.04.2012, 14:05 (Ten post był ostatnio modyfikowany: 19.05.2013 23:40 przez kr2y510.)
Post: #1
Exclamation Wycieki zapytań DNS (Tor, proxy, VPN...)
Użytkownicy sieci TOR, anonimowych proxy jak i VPN narażeni są na wycieki zapytań DNS zwane potocznie wyciekami DNS (en.DNS leaks). Często słyszymy, że jakiś program (jakiś czas temu Pidgin) lub oprogramowanie do routera (nie tak dawno Gargoyle) mają wycieki DNS.
Za Wikipedią:

Wikipedia napisał(a):Wycieki zapytań DNS

Podobnie jak w przypadku wielu innych systemów do anonimowego surfowania po internecie, część aplikacji nadal wykonuje bezpośrednie zapytania do serwerów domenowych (DNS), pomijając serwer pośredniczący Tor. Wykorzystanie Privoxy bądź polecenia "torify", dystrybuowanego wraz z Torem, to jedne z możliwych rozwiązań tego problemu. Ponadto aplikacje używające protokołu SOCKS5 – który obsługuje żądania proxy oparte na nazwach – mogą przesyłać przez Tora zapytania DNS, które zrealizuje węzeł wyjściowy, zapewniając w ten sposób anonimowość analogiczną jak dla innych danych przesyłanych przez sieć Tor.

Od wersji 0.2.0.1-alpha, Tor ma wbudowany własny resolver DNS, który przekierowuje zapytania przez sieć Tor, co powinno rozwiązać problem wycieków DNS, jak też umożliwić aplikacjom nieposługującym się protokołem SOCKS korzystanie z ukrytych usług.

Ten rysunek pokazuje wycieki DNS ➩ http://www.dnsleaktest.com/img/what-is-a-dns-leak.png

Poprawność konfiguracji przeglądarki do współpracy z proxy lub siecią Tor lub konfiguracji VPN pod kątem wycieków DNS można sprawdzić np. tu:
http://www.dnsleaktest.com/
A ta strona nam powie wiele o naszych serwerach DNS (wprawdzie nie jest przeznaczona do testu wycieków ale pokaże których serwerów DNS aktualnie używamy):
https://www.dns-oarc.net/oarc/services/dnsentropy


Wycieki DNS powodują trzy podstawowe problemy:
  1. Operator serwera DNS (najczęściej dostawca internetu) wie z jakimi stronami się łączymy mimo tego, że uważamy iż nasze połączenie jest anonimowe. Jeśli ruch do serwerów DNS nie jest szyfrowany (a mało kto używa DNS over SSL) to każda strona na drodze pomiędzy nami a serwerem DNS może podsłuchać nasze zapytania.
  2. Jeśli używamy nietypowej kombinacji serwerów DNS, to zarówno dostawca internetu jak i odwiedzana strona www (odpowiednio spreparowana) może nas namierzyć gdy łączymy się z innej lokalizacji korzystając z przenośnego urządzenia jak tablet czy laptop.
  3. Jeśli korzystamy z sieci anonimowej jak Tor lub I2P i zapomnieliśmy uruchomić jej klienta (routera) to operator DNS będzie widział nasze zapytanie. Podobna sytuacja może mieć miejsce gdy wchodzimy na link z normalnej strony prowadzący do domeny .onion lub .i2p.


By uniknąć pierwszego problemu należy przetestować naszą konfigurację. Czy to na stronach przeznaczonych do testu anonimowości (najprościej) czy lokalnie, śledząc/debugując procesy lub uruchomiając je w sandbox-ie czy na wirtualnej maszynie (dla zaawansowanych). Do testów anonimowości pod kątem wycieków DNS najlepiej wykorzystać wyżej wklejone linki oraz standardowe testy anonimowości.

By nie dopuścić do ujawnienia naszego przenośnego urządzenia, należy dla każdego rodzaju połączenia wybrać inny zestaw serwerów DNS preferując "typowe ustawienia" (np. OpenDNS) gdy jesteśmy poza domem. Te ustawienia można zmieniać.

Jeśli zaś chodzi o zablokowanie zapytań DNS w domenach .onion i .i2p to najlepiej to zrobić edytując plik hosts wpisując dla tych domen przekierowanie np. na adres 127.0.0.1 (czyli naszego komputera).
Kod:
127.0.0.1    onion
127.0.0.1    i2p
Dobrze jest też zablokować te domeny na routerze. Gdy w sieci domowej/firmowej mamy systemy Windows gdzie wirusy, trojany i inne szkodniki często podmieniają plik hosts, dodatkowa blokada nie jest przejawem paranoi.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
04.04.2012, 0:27
Post: #2
RE: Wycieki zapytań DNS (Tor, proxy...)
Mam dwa pytania. Czy zamiast zmieniać plik hosts w Windowsie lepiej zablokować sztywno na ruterze domeny .onion i .i2p? Robiłem sobie test DNSleak i na dwóch różnych przeglądarkach dostaję dwa różne wyniki. Dziwne? Zresztą nie wiem czy dobrze interpretuję wyniki. Na Dooble nie wykrywa żadnego wycieku. Wszystkie DNSy są niemoje. Na Firefoks za to wykrywa mi OpenDNS których używam. Czy to znaczy, że mam wyciek?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
04.04.2012, 0:39 (Ten post był ostatnio modyfikowany: 04.04.2012 1:03 przez kr2y510.)
Post: #3
RE: Wycieki zapytań DNS (Tor, proxy...)
(04.04.2012 0:27)Nowakowski napisał(a):  Mam dwa pytania. Czy zamiast zmieniać plik hosts w Windowsie lepiej zablokować sztywno na ruterze domeny .onion i .i2p?

Można.
Ale ja pisałem ogólnie dla wszystkich a dziś większość "komputerów" to laptopy, tablety, notebooki i smartfony. Poza tym warto choć raz zobaczyć plik hosts, może się tam coś zalęgło? Wink

(04.04.2012 0:27)Nowakowski napisał(a):  Robiłem sobie test DNSleak i na dwóch różnych przeglądarkach dostaję dwa różne wyniki. Dziwne?

Nie. To normalne.
Wycieki DNS dotyczą głównie poszczególnych programów i konfiguracji a rzadko całego systemu (z tym mamy do czynienia w przypadku błędów w konfiguracji VPN lub SSH).

(04.04.2012 0:27)Nowakowski napisał(a):  Zresztą nie wiem czy dobrze interpretuję wyniki. Na Dooble nie wykrywa żadnego wycieku. Wszystkie DNSy są niemoje. Na Firefoks za to wykrywa mi OpenDNS których używam. Czy to znaczy, że mam wyciek?

A co na to ➩ http://www.dnsleaktest.com/?

I pytanie. Domyślam się, że chodzi o sieć Tor. Jeśli tak, to czy w ustawieniach proxy Firefoksa jest wybrany protokół SOCKS v5 oraz port:9050?

Może być tak, że zarówno komputer jak i wyjściowy węzeł proxy, Tor, shell lub VPN używa tych samych DNS-ów.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
04.04.2012, 13:24 (Ten post był ostatnio modyfikowany: 04.04.2012 13:26 przez kr2y510.)
Post: #4
Wycieki zapytań DNS (Tor, proxy, VPN...) - Update
Na stronie DNS leak test.com jest opis jak samemu usunąć wycieki DNS w przypadku VPN i Windows.
DNS leak test.com ➩ How can I fix a DNS leak?
Jest tam też gotowy program do pobrania DNS Leak Fix for OpenVPN.

W przypadku wycieków DNS przy proxy i sieci Tor nasunęły mi się spostrzeżenia. Wycieki mogą być powodowane poprzez pamięć podręczną i sposób w jaki przeglądarka korzysta z pamięci podręcznej DNS.
W niektórych przypadkach by uniknąć wycieków DNS wystarczy wyczyścić pamięć podręczną DNS wpisując w wierszu poleceń. (Windows)
Kod:
ipconfig /flushdns
Można też użyć rozszerzeń do przeglądarek (przeznaczonych głównie dla webmajstrów) czyszczących tę pamięć. Na przykład DNS Flusher do Firefoksa.
W niektórych przypadkach (przeglądarka + konfiguracja systemu) obawiam się, że bez zrestartowania przeglądarki się nie obejdzie.
Dlatego należy przetestować, które środki w konkretnym przypadku są wystarczające.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.05.2013, 18:46
Post: #5
Wireshark - wyciek DNS
W związku z powyższym mam dwa pytania do Was drodzy uzytkownicy Smile Bawilem się trochę wiresharkiem na pocie DNS i tu moje pytanie:
1. Czy jezeli dana aplikacja ma tzw. wyciek DNS, to czy umieszczenie adresu DNS w pliku hosts np. http://www.facebook.com coś da? Dodałem ten adres do hosts'a resetując zarówno wire , jak i aplikację powodującą wyciek oraz odpalając obie moim oczom nie ukazał się "wyciek" w wiresharku.. Jest się czym martwić, czy wręcz przeciwnie? Oczywiście aplikacja leci przez TORa.
2. Co sądzicie o AdvOR? Jest to dobra alternatywa TORa? Co z różnorodnymi wyciekami DNS? Można się czuć bezpiecznie, jezeli tym programem przekieruje cały ruch danej aplikacji przez sieć TOR? Proszę o Wasze opinie w tej kwestii. Pozdrawiam.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.05.2013, 22:32
Post: #6
RE: Wireshark - wyciek DNS
1. Umieszczenie adresu w pliku hosts (i przekierowanie go na komputer lokalny) powoduje, że nie można się z tym hostem połączyć.
2. Advanced OR, oprócz innych zalet, blokuje wycieki DNS wtedy gdy przechwytuje program do sandbox'a. Miedzy innymi dla tego ja promuje ten program i polecam go wszystkim użytkownikom Windowsa.

Co do wycieków.
Można blokować w Windowsie wycieki DNS danej aplikacji na firewallu. Można blokować adresy (domeny) w pliku hosts. Można blokować domeny na routerze, o ile korzystamy z DNS przez router.
Jednak jest wiele przypadków, gdy wycieków DNS można nie zobaczyć. Choćby w przypadku gdy węzeł wyjściowy Tor lub VPN korzysta z tych samych serwerów DNS co my. Lub w przypadku zerwania połączenia VPN (od czasu Windows XP SP3 obsługa VPN jest gorsza niż była).
Generalnie, jeśli korzystamy z anonimowych sieci, to należy w każdym pliku hosts zablokować domeny: .onion, .i2p i opcjonalnie .tor (prawdopodobnie będzie używana przez nakładki w sieci Tor oprócz dotychczasowych adresów Base 32) i b32.i2p (opcjonalnie - zależy od tego co przetwarza plik hosts).

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
20.05.2013, 18:32
Post: #7
RE: Wireshark - wyciek DNS
(19.05.2013 22:32)kr2y510 napisał(a):  1. Umieszczenie adresu w pliku hosts (i przekierowanie go na komputer lokalny) powoduje, że nie można się z tym hostem połączyć.
2. Advanced OR, oprócz innych zalet, blokuje wycieki DNS wtedy gdy przechwytuje program do sandbox'a. Miedzy innymi dla tego ja promuje ten program i polecam go wszystkim użytkownikom Windowsa.

Co do wycieków.
Można blokować w Windowsie wycieki DNS danej aplikacji na firewallu. Można blokować adresy (domeny) w pliku hosts. Można blokować domeny na routerze, o ile korzystamy z DNS przez router.
Jednak jest wiele przypadków, gdy wycieków DNS można nie zobaczyć. Choćby w przypadku gdy węzeł wyjściowy Tor lub VPN korzysta z tych samych serwerów DNS co my. Lub w przypadku zerwania połączenia VPN (od czasu Windows XP SP3 obsługa VPN jest gorsza niż była).
Generalnie, jeśli korzystamy z anonimowych sieci, to należy w każdym pliku hosts zablokować domeny: .onion, .i2p i opcjonalnie .tor (prawdopodobnie będzie używana przez nakładki w sieci Tor oprócz dotychczasowych adresów Base 32) i b32.i2p (opcjonalnie - zależy od tego co przetwarza plik hosts).
Do pidgina polecasz AdvOR'a, żeby zapobiec wyciekom DNS? Poza tym znalazłem pewną opcję w proxifierze:
*Proxifier DNS settings
-Detect DNS settings automatically
-Resolve hostnames through proxy
-Try to resolve via local DNS service first(this option may cause significant delays if local DNS is unavailable!)
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
20.05.2013, 22:37 (Ten post był ostatnio modyfikowany: 20.05.2013 22:40 przez kr2y510.)
Post: #8
RE: Wireshark - wyciek DNS
(20.05.2013 18:32)TR011 napisał(a):  Do pidgina polecasz AdvOR'a, żeby zapobiec wyciekom DNS?

Wycieki DNS w Pidginie miały ostatnio miejsce jedynie na Linuksie.
Samo użycie Advanced OR wprawdzie może uchronić przed wyciekiem DNS, ale dla poprawnej pracy programu i tak niezbędna jest jego poprawna konfiguracja. Czyli konfigurujesz program (tu: Pidgin) tak, by ten był torowany bez funkcji przechwytywania nowego programu (Intercept), po czym przy następnym uruchomieniu go przechwytujesz przez uruchomienie go w sandboksie Advanced OR.

(20.05.2013 18:32)TR011 napisał(a):  Poza tym znalazłem pewną opcję w proxifierze:

Jak zależy na anonimowości, to nie należy stosować proxy tam gdzie nie jest ono absolutnie niezbędne. W przypadku Adv OR gdy używasz proxy, musisz przechwycić program proxy jak i program korzystający z tego proxy. Problem się pojawi, bo program proxy i Pidgin są niezależne. Więc program Pidgin zostanie storowany niezależnie ze złą konfiguracją, a proxy i tak będzie pominięte. Można tak robić w Windowsie tylko w przypadku łańcucha programów (program A uruchamia program B itd...), bo wtedy wszystkie będą w tym samym sandboksie a nie w osobnych.
Jedyne uzasadnienie stosowania proxy w przypadku komunikatorów, to stunelowanie protokołu własnego, w protokole typu Socks. Jeśli program tego sam nie potrafi to wtedy pozostaje proxy.

Jeszcze raz, jak użyjesz proxifiera do Pidgina, to w żadnym przypadku nie uchroni Cię to przed wyciekiem DNS.

(20.05.2013 18:32)TR011 napisał(a):  znalazłem pewną opcję w proxifierze:
*Proxifier DNS settings
-Detect DNS settings automatically
-Resolve hostnames through proxy
-Try to resolve via local DNS service first(this option may cause significant delays if local DNS is unavailable!)
-Resolve hostnames through proxy - jak chcesz anonimowości to tylko to ma sens.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
30.06.2013, 9:39
Post: #9
RE: Wycieki zapytań DNS (Tor, proxy, VPN...)
Windows & Comodo - Prevent leaks

Tutorial może być przydatny dla mniej zaawansowanych comodowiczów
https://airvpn.org/index.php?option=com_...Itemid=142
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
20.10.2013, 14:33
Post: #10
[split] TAILS - a javascript
czy jeśli łącze się za pomocą VPN-a i wykonuje DNS leak test (http://www.dnsleaktest.com/) w wynikach pojawia mi się mój dostawca internetu to jest ok?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości