В пену

Ростелеком запретил использование публичных DNS

habr.com — Ростелеком потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию сервисы DNS от Google - 8.8.8.8, Cloudflare 1.1.1.1. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен).

Новости, Компьютеры | d.verhovcev 10:40 13.09.2021

10 комментариев | 67 за, 0 против |

amb »

#1 | 06:41 14.09.2021 | Кому: dse

> заблокировал своим клиентам доступ к любым DNS-серверам, кроме своих.

DNSCrypt пробовал?

amb »

#2 | 14:16 14.09.2021 | Кому: dse

> Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

Цитата с хабра, например:
Во-первых, DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM.
Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.

То есть, трафик DNS провайдеру не виден. У себя можешь ещё поставить кеширующий сервер, для скорости.

amb »

#3 | 19:20 14.09.2021 | Кому: dse

> Я этим "общедоступным" серверам не доверяю в той же степени, что и серверам своего провайдера.

Только от корня, только хардкор? Ну, тады ой!

А чем провайдер обосновывает блокировку портов?

amb »

#4 | 19:34 14.09.2021 | Кому: dse

> это не мой непосредственный провайдер, он промежуточный

А непосредственно твой почему такой убогий - есть объяснение?

amb »

#5 | 06:46 15.09.2021 | Кому: dse

> Скупила их Цифра1.

Вотт придумалось: надо где-нибудь за пределами Цифры1 арендовать виртуальную машину, развернуть на ней свой DNS и пробросить туда канал DNSCrypt (серверная часть тоже доступна).

amb »

#6 | 18:06 15.09.2021 | Кому: dse

> придушивает те из них, через которые хотя бы в одну сторону передаётся информация, энтропия которой выше определённого порога, что может свидетельствовать о передаче шифрованного трафика.

Серьёзно? Охуеть!
А как же будут работать всякие федеральные сервисы, которые только через випнет?

> DNSCrypt при этом, естественно, тоже накроется медным тазом.

А вот это не факт - энтропию пакетов понизить несложно. DNSCrypt при этом выигрышнее, чем просто VPN.
Но да, всё будет стоить денег.

amb »

#7 | 19:53 15.09.2021 | Кому: dse

> > А вот это не факт - энтропию пакетов понизить несложно.
> Отвечаешь? Любой хороший шифртекст обладает наивысшей возможной энтропией. А если не обладает — это херовый шифртекст, легко поддающийся криптоанализу и взлому.

Дык понизить надо не качество шифрования, а плотность информации - завернуть пакет во что-нибудь с нулями/регулярками.

> > DNSCrypt при этом выигрышнее, чем просто VPN.
> Чем?

Ну это при условии, что шифровать и разбавлять только DNS пакеты, конечно же.

amb »

#8 | 06:46 16.09.2021 | Кому: dse

> Ты разбавлять планируешь каким-то алгоритмом? Но ведь DNSCrypt — это общедоступное ПО, и этот алгоритм немедленно станет известен проектировщикам средств автоматической блокировки шифрованного трафика.

И что это им даст в плане вычисления энтропии "на лету"? Каждый пакет будут пытаться декомпилировать обратным алгоритмом и тогда уж вычислять энтропию, так? Сомнительно выглядит - из обычного https пакета может что угодно получиться. Зависит от алгоритма, конечно. Но уж его умные люди придумают, с разными вариантами.

amb »

#9 | 07:38 16.09.2021 | Кому: dse

> Что угодно получиться не может, может получиться только строго предопределённый результат работы алгоритма.

Я имею в виду, что обрабатывая любой случайный пакет по алгоритму, обратному "разбавлению", можно получить непредсказуемый результат и принять ошибочное решение.
Например, я "разбавляю" так: в шифрованном блоке удваиваю биты, потом дублирую всю последовательность 10 раз. Обратный алгоритм: взять одну десятую пакета, потом удалить каждый второй бит. Если такое проделать с пакетом, в котором просто картинка с котиком - вполне вероятно, что результат будет иметь весьма высокий уровень энтропии.

amb »

#10 | 11:14 17.09.2021 | Кому: dse

> Нет, не будет. Прореживание не увеличивает энтропию.

1. Не увеличивает, если сравнивать с энтропией исходного пакета. А тут не сравниваем, просто берём случайный пакет и обрабатываем - можно ненароком получить теоретический максимум.
1. Непонятно, считать будут всё же чистую энтропию или её плотность? А то получится показатель 12, например - это много для килобайта, но мало для мегабайта.
2. Как будет различаться шифрованный пакет и упакованный зипом, например? Подозреваю, что никак.

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить