В пену

Ростелеком запретил использование публичных DNS

habr.com — Ростелеком потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию сервисы DNS от Google - 8.8.8.8, Cloudflare 1.1.1.1. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен).

Новости, Компьютеры | d.verhovcev 10:40 13.09.2021

11 комментариев | 67 за, 0 против |

dse »

#1 | 20:09 13.09.2021 | Кому: Алик

> Разве что только если других не будет.

А других и не будет. Ну, разве что, Starlink от мошенника Маска.

dse »

#2 | 20:18 13.09.2021 | Кому: d.verhovcev

> 8 сентября с 21 часа до 22 часов по московскому времени Роскомнадзор с помощью оборудования ТСПУ (технических средств противодействия угрозам) на площадках некоторых крупных провайдеров РФ в тестовых целях заблокировал публичные DNS-сервисы Google и Cloudflare. Ведомство без предупреждения и в рабочих сетях под нагрузкой на час закрыло доступ к зарубежным общедоступным бесплатным публичным DNS серверам, включая 1.1.1.1 и 8.8.8.8. Сервисы Яндекс.DNS под тестовую блокировку не попали.

Некий провайдер Цифра1 уже лет 8 как заблокировал своим клиентам доступ к любым DNS-серверам, кроме своих. Поднимаешь у себя свой кэширующий DNS, а рекурсивные запросы через этого провайдера не работают.

dse »

#3 | 11:29 14.09.2021 | Кому: amb

> DNSCrypt пробовал?

Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

dse »

#4 | 17:50 14.09.2021 | Кому: amb

> > Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

> Цитата с хабра, например:
> Во-первых, DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM.

Повторяю: рации на бронетранспортёрах. (c)

> Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.

А мне надо, чтобы мой личный кэширующий сервер мог выполнять рекурсивные запросы, а не лазить на один и тот же сервер, пусть даже и защищённый DNSCrypt'ом. Что неясно-то? Я этим "общедоступным" серверам не доверяю в той же степени, что и серверам своего провайдера.

> То есть, трафик DNS провайдеру не виден. У себя можешь ещё поставить кеширующий сервер, для скорости.

Нафиг он нужен только для кэширования, если DNS-кэш встроен сейчас в любого клиента? Вся соль своего собственного DNS-сервера заключается в возможности выполнять с его помощью рекурсивные запросы, но и эту возможность провайдеры отрезали.

dse »

#5 | 19:28 14.09.2021 | Кому: amb

> А чем провайдер обосновывает блокировку портов?

Ничем. Тем более, что это не мой непосредственный провайдер, он промежуточный, у меня нет с ним договора на предоставление услуг связи и потому я даже не имею никакой возможности добиться от него каких-либо объяснений.

dse »

#6 | 19:38 14.09.2021 | Кому: amb

> > это не мой непосредственный провайдер, он промежуточный

> А непосредственно твой почему такой убогий - есть объяснение?

А непосредственно мой ничего не блокирует, но весь интернет покупает у Цифры1. И да, другие местные провайдеры тоже покупают интернет у Цифры1. Скупила их Цифра1.

dse »

#7 | 17:05 15.09.2021 | Кому: amb

> Вотт придумалось: надо где-нибудь за пределами Цифры1 арендовать виртуальную машину, развернуть на ней свой DNS и пробросить туда канал DNSCrypt (серверная часть тоже доступна).

На это мощное предложение следует не менее мощный ответ: денег дай — немедленно арендую. А ещё лучше денег дай на две виртуальные машины — основную и резервную, одну в Японии, другую — в США, подальше друг от друга. Это всё, как нетрудно догадаться, нужно для повышения отказоустойчивости. Однако, глядя на эту схему, нетрудно заметить, что DNSCrypt тут лишний и его можно легко сократить, вынеся на две эти виртуальные машины socks5- и http-прокси. А браузеру сказать, чтобы он разрешал имена не локально, а удалённо, через те самые выносные socks5-прокси. А чтобы провайдер не правил на лету трафик до наших проксей, завернуть его в TLS или SSH, отмапив порты. В случае с SSH даже не нужно поднимать на машинах socks5-прокси, достаточно просто подцепиться к виртуалкам командой ssh с ключиком -D (динамическое переназначение поротов, man ssh, / -D).

В результате мы получим классический VPN в том самом виде, в котором ушлые людишки пытаются впарить его технически безграмотному обывателю, только мы сделали его сами. И вот тут-то наступает следующий этап противостояния снаряда и брони: Роскомнадзор в очередной раз обязывает провайдеров поставить у себя ещё одно полезное и нужное оборудование, которое автоматически на лету вычисляет энтропию полезной нагрузки пакетов каждого соединения, и придушивает те из них, через которые хотя бы в одну сторону передаётся информация, энтропия которой выше определённого порога, что может свидетельствовать о передаче шифрованного трафика. После чего про VPN к своим виртуалкам можно будет навсегда забыть. DNSCrypt при этом, естественно, тоже накроется медным тазом.

dse »

#8 | 19:26 15.09.2021 | Кому: amb

> А как же будут работать всякие федеральные сервисы, которые только через випнет?

А они а) не трансграничные, б) для них можно сделать разрешение.

> А вот это не факт - энтропию пакетов понизить несложно.

Отвечаешь? Любой хороший шифртекст обладает наивысшей возможной энтропией. А если не обладает — это херовый шифртекст, легко поддающийся криптоанализу и взлому.

> DNSCrypt при этом выигрышнее, чем просто VPN.

Чем? В упор не вижу. И сторонний наблюдатель тоже не видит. Сторонний наблюдатель не в состоянии отличить трафик VPN от трафика DNSCrypt, они оба шифрованные одними и теми же алгоритмами.

dse »

#9 | 20:32 15.09.2021 | Кому: amb

> Дык понизить надо не качество шифрования, а плотность информации - завернуть пакет во что-нибудь с нулями/регулярками.

Ты разбавлять планируешь каким-то алгоритмом? Но ведь DNSCrypt — это общедоступное ПО, и этот алгоритм немедленно станет известен проектировщикам средств автоматической блокировки шифрованного трафика.

> Ну это при условии, что шифровать и разбавлять только DNS пакеты, конечно же.

DNSCrypt использует совершенно то же самое шифрование, что и VPN. И потому ты точно так же сможешь «разбавлять» и трафик VPN.

dse »

#10 | 06:55 16.09.2021 | Кому: amb

> И что это им даст в плане вычисления энтропии "на лету"? Каждый пакет будут пытаться декомпилировать обратным алгоритмом и тогда уж вычислять энтропию, так?

Да.

> Сомнительно выглядит - из обычного https пакета может что угодно получиться. Зависит от алгоритма, конечно.

Машина железная и машин много. Что угодно получиться не может, может получиться только строго предопределённый результат работы алгоритма. Достаточно всего лишь перебрать известные алгоритмы, чтобы получить результат.

> Но уж его умные люди придумают, с разными вариантами.

После того, как умные люди придумали, описали и изложили на машинном языке некий алгоритм, его смогут исполнять любые тупые машины.

dse »

#11 | 09:08 16.09.2021 | Кому: amb

> > Я имею в виду, что обрабатывая любой случайный пакет по алгоритму, обратному "разбавлению", можно получить непредсказуемый результат и принять ошибочное решение.

Задача — получить пакет с высокой энтропией хотя бы один раз.

> Если такое проделать с пакетом, в котором просто картинка с котиком - вполне вероятно, что результат будет иметь весьма высокий уровень энтропии.

Нет, не будет. Прореживание не увеличивает энтропию.

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить