¿Cómo verificar si el DNS está encriptado?

14

He instalado DNSCrypt , su parche DNS encriptado OpenDNS para Ubuntu y otros usuarios de Linux y está funcionando bien.

¿Cómo sé si mi DNS está encriptado? Busqué en Google pero no encontré nada.

Estado

one@onezero:~$ status dnscrypt 
dnscrypt start/running, process 1013
one@onezero:~$ sudo netstat -atnlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1013/dnscrypt-proxy

Actualizado

Wireshark

@Alvar

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

sin DNSCrypt

ingrese la descripción de la imagen aquí

Un cero
fuente

Respuestas:

6

Puede verificarlo Wiresharkescuchando su tarjeta de red, solo siga estos pasos:

  1. sudo apt-get install wireshark (pegarlo en una terminal)
  2. iniciarlo desde un terminal con sudo wireshark(debe ser sudo para poder escuchar su tarjeta de red).
  3. luego comience a escuchar y filtre todo menos su propia ip.

Ahora solo verifique si los protocolos dns están encriptados.

  1. usa el filtro para mostrar solo dns
  2. Detén el escaneo.
  3. haga clic en un elemento de la lista que dice dns y proviene de su ip.
  4. Ahora haga clic en el protocolo de transmisión para ver si está encriptado.
Alvar
fuente
@OneZero haz clic en el área resaltada en rojo que dice dns , mira allí, deberías averiguar si está encriptada allí.
Alvar
3

Si está utilizando OpenDNS como el servidor DNS compatible con dnscrypt, una forma de verificar si funciona es usar uno de estos comandos:

drill txt debug.opendns.com

dig txt debug.opendns.com

El texto de respuesta debe contener una línea donde diga "dnscrypt habilitado":

;; ANSWER SECTION:
debug.opendns.com.  0   IN  TXT "server 11"
debug.opendns.com.  0   IN  TXT "flags 22 2 222 2"
debug.opendns.com.  0   IN  TXT "id 6666666"
debug.opendns.com.  0   IN  TXT "source 209.6.69.160:44444"
debug.opendns.com.  0   IN  TXT "dnscrypt enabled (...)"
sanilunlu
fuente
drillrequiere paquete ldnsutils, aunque digfunciona, y nslookup -type=txt debug.opendns.comtambién funciona.
Acumenus
1

Instalé dnscrypt 1.1 en Ubuntu 12.10.

Edité /etc/NetworkManager/NetworkManager.confpara comentar

dns=dnsmasq

Luego agregue /etc/init/dnscrypt.confe incluya en él lo siguiente:

 description "dnscrypt startup script"

 start on (local-filesystems and started dbus and stopped udevtrigger)
 stop on runlevel [016]

 script
         exec /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d
 end script

A continuación, cambié mi configuración de red para usar 127.0.0.1 para DNS:

Luego reinicié y me aseguré de que se dnscryptestuviera ejecutando y eso dnsmasqno era:

 ps aux | grep dns
 root      6581  0.0  0.0  16116   720 ?        Ss   04:47   0:00 /usr/sbin/dnscrypt-proxy -a 127.0.0.1 -d

Luego abrí wiresharkpara verificar que DNS estaba encriptado:

Parece que no lo es.

Visitar http://www.opendns.com/welcome/ verifica que estoy usando opendns.

]

Echosyp
fuente
0

OK, lo tengo!

Ejecute dnscrypt-proxy --deamonize (ya debería estar ejecutándose)

  1. Vaya al icono de Red en la parte superior y baje a Configuración de red.
  2. Vaya a su conexión actual y haga clic en Configurar ...
  3. Vaya a la pestaña Configuración de IPv4.
  4. En Servidores DNS y Campos de búsqueda de dominios, ingrese: 127.0.0.1
  5. Dirígete a http://opendns.com/welcome

Si te redirigen a http://opendns.com/welcome/oops, entonces no está configurado correctamente.

Lo siento por eso. No quería ir al dolor para configurar todo, ¡pero fue notablemente fácil! Bueno, espero que hayas aprendido algo. ¡Ciertamento lo hice!

Chuck R
fuente
¿Puedo comprobar si se han enviado corridas en el servidor DNS cifrado?
One Zero
1
Realmente no entiendo lo que quieres decir, solo se enviará a un máximo de dos posibilidades en la mayoría de las circunstancias de redes domésticas. Lo más probable es que los configure en su enrutador o en su archivo /etc/resolv.conf. Entonces, cada vez que su computadora le pida algo, su enrutador le preguntará a esos dos servidores DNS. No hay otros porque no conoce a otros. Si realmente quiere saber, puede colocar una máquina con dos NIC y Wireshark entre su computadora y el enrutador. Luego puede leer los paquetes que atraviesan la computadora. Pero, por supuesto, debes saber lo que estás buscando.
Chuck R
bueno, bueno, deberías incluir este detalle en tu respuesta
One Zero
¡Dar un toque! ¿Viste mi respuesta actualizada?
Chuck R
Sí, lo hice, es 127.0.0.2 si usa un script de inicio como yo, consulte la ayuda de w8, ya está abierto, abierto, bienvenido en cifrado y no cifrado
One Zero
0

dnscrypt-proxy acepta solicitudes DNS, las cifra y las firma con *  dnscrypt  * y las reenvía a un solucionador remoto habilitado para dnscrypt

Se espera que las respuestas del solucionador también se cifren y firmen.

El proxy verifica la firma de las respuestas, las descifra y las reenvía de forma transparente al resolutor local.

dnscrypt-proxy escucha 127.0.0.1 / puerto 53 de forma predeterminada.

Un cero
fuente
-1

Vas a OpenDNS página de bienvenida y debería ver algo como "Bienvenido a OpenDNS! Tu Internet es más seguro, más rápido y más inteligente porque usted está utilizando OpenDNS." Esto significa que está utilizando OpenDNS como su proveedor de DNS y si no ha configurado OpenDNS sin dnscrypt, sus solicitudes de DNS deberían estar encriptadas.

Otra forma sería espiar el tráfico de DNS utilizando wireshark, tcpdump, etc. y ver si realmente está encriptado, pero eso es más complicado y requiere un conocimiento profundo.

Li Lo
fuente
opendns.com/welcome > ya he estado allí antes de que se trate de open-dns dns, déjenme verificar en mi computadora portátil la que no está encriptada
One Zero
igual que se muestra aquí
One Zero
OpenDNS no es el único proveedor habilitado para DNScrypt. sudo dnscrypt-proxy --daemon -a 127.0.0.2 --resolver-address=23.226.227.93:443 --provider-name=2.dnscrypt-cert.okturtles.com --provider-key=1D85:3953:E34F:AFD0:05F9:4C6F:D1CC:E635:D411:9904:0D48:D19A:5D35:0B6A:7C81:73CBes uno de los muchos que no usan OpenDNS.
mchid