Wie überprüfe ich, ob DNS verschlüsselt ist?

14

Ich habe DNSCrypt , seinen OpenDNS- verschlüsselten DNS-Patch für Ubuntu und andere Linux-Benutzer, installiert und es funktioniert einwandfrei.

Woher weiß ich, ob mein DNS verschlüsselt ist? Ich habe gegoogelt, aber nichts gefunden.

Status 

one@onezero:~$ status dnscrypt 
dnscrypt start/running, process 1013
one@onezero:~$ sudo netstat -atnlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1013/dnscrypt-proxy

Aktualisiert

Wireshark

@Alvar

Bildbeschreibung hier eingeben

Bildbeschreibung hier eingeben

Bildbeschreibung hier eingeben

Bildbeschreibung hier eingeben

ohne DNSCrypt

Bildbeschreibung hier eingeben

encryption dns dnscrypt-proxy Eine Null
quelle

Antworten:

6

Sie können dies überprüfen, Wiresharkindem Sie auf Ihre Netzwerkkarte hören. Führen Sie einfach die folgenden Schritte aus:

  1. sudo apt-get install wireshark (Einfügen in ein Terminal)
  2. starte es von einem terminal mit sudo wireshark(du musst sudo sein, um deine netzwerkkarte abhören zu können.)
  3. dann fang an zuzuhören und alles außer deiner eigenen ip herauszufiltern.

Überprüfen Sie nun, ob die DNS- Protokolle verschlüsselt sind.

  1. Verwenden Sie den Filter nur zum Anzeigen dns
  2. Stoppen Sie den Scan.
  3. Klicken Sie auf einen Listeneintrag mit der Aufschrift DNS, der von Ihrer IP- Adresse stammt.
  4. Klicken Sie nun auf das Übertragungsprotokoll, um zu prüfen, ob es verschlüsselt ist.
Alvar
quelle
@OneZero Klicken Sie auf den rot hervorgehobenen Bereich mit der Aufschrift dns . Schauen Sie dort hinein. Sie sollten herausfinden, ob er dort verschlüsselt ist.
Alvar
3

Wenn Sie OpenDNS als DNS-Server verwenden, der DNS-Verschlüsselung unterstützt, können Sie mit einem der folgenden Befehle überprüfen, ob dies funktioniert:

drill txt debug.opendns.com

dig txt debug.opendns.com

Der Antworttext sollte eine Zeile enthalten, in der "dnscrypt enabled" steht:

;; ANSWER SECTION:
debug.opendns.com.  0   IN  TXT "server 11"
debug.opendns.com.  0   IN  TXT "flags 22 2 222 2"
debug.opendns.com.  0   IN  TXT "id 6666666"
debug.opendns.com.  0   IN  TXT "source 209.6.69.160:44444"
debug.opendns.com.  0   IN  TXT "dnscrypt enabled (...)"
sanilunlu
quelle
drillerfordert Paket ldnsutils, obwohl digfunktioniert und nslookup -type=txt debug.opendns.comfunktioniert auch.
Acumenus
1

Ich habe dnscrypt 1.1 unter Ubuntu 12.10 installiert.

Ich habe bearbeitet, um /etc/NetworkManager/NetworkManager.confzu kommentieren

dns=dnsmasq

Fügen /etc/init/dnscrypt.confSie dann Folgendes hinzu und fügen Sie Folgendes hinzu:

 description "dnscrypt startup script"

 start on (local-filesystems and started dbus and stopped udevtrigger)
 stop on runlevel [016]

 script
         exec /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d
 end script

Als nächstes habe ich meine Netzwerkeinstellungen geändert, um 127.0.0.1 für DNS zu verwenden:

Dann habe ich neu gestartet und sichergestellt dnscrypt, dass lief und das dnsmasqwar nicht:

 ps aux | grep dns
 root      6581  0.0  0.0  16116   720 ?        Ss   04:47   0:00 /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d

Dann öffnete ich wireshark, um zu überprüfen, ob DNS verschlüsselt war:

Es scheint, dass es nicht ist.

Beim Besuch von http://www.opendns.com/welcome/ wird überprüft, ob ich opendns verwende.

]

echosyp
quelle
0

OK, ich habe es verstanden!

Führe dnscrypt-proxy --deamonize aus (es sollte bereits laufen)

  1. Gehen Sie zum Netzwerksymbol oben und gehen Sie zu Netzwerkeinstellungen.
  2. Gehen Sie zu Ihrer aktuellen Verbindung und klicken Sie auf Konfigurieren ...
  3. Wechseln Sie zur Registerkarte IPv4-Einstellungen.
  4. Geben Sie unter DNS-Server und Suchdomänen Folgendes ein: 127.0.0.1
  5. Gehen Sie zu http://opendns.com/welcome

Wenn Sie zu http://opendns.com/welcome/oops weitergeleitet werden, ist die Einrichtung nicht ordnungsgemäß.

Das tut mir leid. Ich wollte mich nicht anstrengen, um alles in Ordnung zu bringen, aber es war bemerkenswert einfach! Ich hoffe, Sie haben etwas gelernt. Ich habe es wirklich getan!

Chuck R
quelle
Kann ich überprüfen, ob Quries an welchen verschlüsselten DNS-Server gesendet wurden?
One Zero
1
Ich verstehe nicht wirklich, was Sie meinen, es wird in den meisten Fällen von Heimnetzwerken nur an maximal zwei Möglichkeiten gesendet. Höchstwahrscheinlich haben Sie diese in Ihrem Router oder in Ihrer Datei /etc/resolv.conf festgelegt. Jedes Mal, wenn Ihr Computer nach etwas fragt, fragt Ihr Router diese beiden DNS-Server. Keine anderen, weil es keine anderen kennt. Wenn Sie wirklich wissen möchten, können Sie einen Computer mit zwei Netzwerkkarten und Wireshark zwischen Computer und Router stellen. Dann können Sie die Pakete lesen, die über den Computer gehen. Aber natürlich muss man wissen, wonach man sucht.
Chuck R
ty, good one, sollten Sie dieses Detail in Ihre Antwort einschließen
One Zero
Sack! Hast du meine aktualisierte Antwort gesehen?
Chuck R
ja , ich hat, seine 127.0.0.2 , wenn ur mit Emporkömmling Skript wie im, W8 - Hilfe, bereits geprüft offen dns willkommen gleiche auf verschlüsselte und auf unverschlüsselt
One Zero
0

dnscrypt-proxy akzeptiert DNS-Anfragen, verschlüsselt und signiert sie mit *  dnscrypt  * und leitet sie an einen Remote-Resolver weiter, der für dnscrypt aktiviert ist

Es wird erwartet, dass Antworten vom Resolver auch verschlüsselt und signiert werden.

Der Proxy überprüft die Signatur von Antworten, entschlüsselt sie und leitet sie transparent an den lokalen Stub-Resolver weiter.

dnscrypt-proxy überwacht standardmäßig 127.0.0.1 / port 53.

Eine Null
quelle
-1

Gehen Sie zur OpenDNS-Begrüßungsseite und sehen Sie etwas wie "Willkommen bei OpenDNS! Ihr Internet ist sicherer, schneller und intelligenter, weil Sie OpenDNS verwenden." Das heißt , Sie verwenden OpenDNS als DNS - Provider und wenn Sie nicht OpenDNS ohne konfiguriert haben dnscrypt Ihre DNS - Anfragen sollten verschlüsselt werden.

Eine andere Möglichkeit wäre, den DNS-Datenverkehr mithilfe von Wireshark, tcpdump usw. zu überwachen und zu prüfen, ob er tatsächlich verschlüsselt ist, dies jedoch komplizierter ist und gründliche Kenntnisse erfordert.

Li Lo
quelle
opendns.com/welcome > ya ich dort gewesen bin, bevor es um Open-DNS-DNS ging, lassen Sie mich auf meinem Laptop das ohne Verschlüsselung überprüfen
One Zero
das gleiche wie hier
One Zero
OpenDNS ist nicht der einzige DNScrypt-fähige Anbieter. sudo dnscrypt-proxy --daemon -a 127.0.0.2 --resolver-address=23.226.227.93:443 --provider-name=2.dnscrypt-cert.okturtles.com --provider-key=1D85:3953:E34F:AFD0:05F9:4C6F:D1CC:E635:D411:9904:0D48:D19A:5D35:0B6A:7C81:73CBist einer von vielen, die OpenDNS nicht verwenden.
Mchid