Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
33

Ответ на пост «DNS over HTTPs у полосатого провайдера упала»1

Всё ниже написанное касается только мобильного интернета (домашнего от этих ребят у меня нет), есть LTE через роутер.

Проблема была не только в DoH, а в том что оператор видимо по dns имени www.google.com накрыли все сервисы google (а там за ним их очень много, целые подсети). Соответственно отхлебнули и DoH и всеми любимые DNS 8.8.8.8/8.8.4.4


Так же те кто наблюдал на андроид устройствах - нет подключения к интернету, а интернет работал - то магии тут нет, Android устройства, доступность интернета проверяют просто резолвом своих сервисов (они там в Google как дети малые, ей богу, думают что их сервисы доступны 24х7 всегда и везде по миру, по этому решили это использовать как единственный источник правды :-)))) - но тот же хром (и не только) резолвить умеют другими способами, телеге же совсем обычно DNS не так критичен для подключения (в этом сложность кстати я думаю блокировки телеги, когда РКН проиграл).

Чуть позже, всё восстановилось.

Вывод: если бы это были дела от РКН - упало бы на всех мобильных провайдерах, это был внутренний косяк ОпСоСа - скорее всего чет не то катнули, или фальстарт...

[моё] Doh DNS Google DNS Роутер Интернет Блокировка Информационная безопасность Текст Ответ на пост
5
291

DNS over HTTPs у полосатого провайдера упала1

Сейчас обнаружил что не могу открыть ни один из сайтов. Начал разбираться. Побывал на роутере, посмотрел получаю ли адрес от провайдера. - Получаю. Переполучил на всякий случай.

Решил проверить идет ли пинг с роутера. С роутера нормально, с ПК нет ни пинга ни адреса сайта типа ya.ru.

Выясняю, получается ли через nslookup узнать IP адрес сайта. Вот тут оказывается DNS не работает. Странное дело. Лезу на роутер проверять работает ли там. Там тоже не работает.

Лезу в настройки роутера. Ставлю получать DNS сервера от провайдера. Получаю доступ к сайтам.

Меняю на роутере обратно на DOH - https://dns.google/dns-query. Не работает.

Ставлю https://security.cloudflare-dns.com/dns-query. Заработало.

Получается что полосатый провайдер заблокировал публичный DNS Гугла.

[моё] Doh DNS Google DNS Роутер Интернет Блокировка Информационная безопасность Текст
110
10

DNS over TLS или DNS over HTTPS?

Давно задаюсь вопросом, что же лучше? Использую пока DoT от Google (DNS от провайдера не устраивают, обычные адреса DNS они перенаправляют на свои, поэтому использую с шифрованием).

Интересует не столько в плане конфиденциальности, сколько в скорости работы.

В интернете точной информации нет, что быстрее.

На одних сайтах читаю, что DoT быстрее работает, так как там применяется один уровень шифрования (только TLS), в DoH же TLS+HTTPS. В то же время, если верить Google Online Security Blog: DNS-over-HTTP/3 in Android (googleblog.com), то DoH с использованием HTTP/3 (который непонятно, заблокирован в России или нет) все же быстрее.

Пока использую DoT через dns.google на роутере и iPhone (через профиль конфигурации).

Помогите определиться, что быстрее будет работать DoH или DoT (в том числе на мобильном устройстве)? И что вы используете в повседневной жизни (провайдер DNS и технология).

DNS Google DNS Doh Текст
9
1

DNS Google не бро?

Привет всем.

С файлопомойки пришло уведомление, что кто-то пытается авторизоваться. Бывает, для этого и настроена защита. Решил поменять настройки сети и безопасности (сменил dns гугла на CleanBrowsing) - и вот, все отлично, Отаке нет. Но не открываются некоторые сайты.

Поменял dns обратно. Вроде все хорошо, пару часов помониторил - больше никто не ломится. На следующий день опять уведомление - ситуация повторилась, собсна.

Опять поменял dns(уже на третий) - никто не лезет, все хорошо. Сайты открываются все (ну, которые мне нужны).

Решил провести экксперимент и снова изменил настройки на dns гугла. И снова через пару часов начали ломиться.

Специалисты, подскажите, теперь dns гугла все, на стороне зла? Или это норм и до меня только добрались случайно?

Да, посмотрел по логам, Отаке началось аккурат 1 сентября (что-то около 01:05). Ранее все было ок. Пару скринов (пруфов) прикрепил.

DNS Google не бро? DNS, Google, Google DNS, Атака, Хакеры
DNS Google не бро? DNS, Google, Google DNS, Атака, Хакеры
Показать полностью 2
[моё] DNS Google Google DNS Атака Хакеры
14
753

Сайт Pikabu не открывается если прописаны google dns (15 апреля 2022)

Обнаружил что не открывается сайт 15 апреля. С телефона нормально работает. Проверил пинг - пингуется. Поотключал все дополнения - все равно не работал. Поменял dns сервера на яндексовские - работает.

Советую поменять на Cloudflare основной 1.1.1.1 дополнительный 1.0.0.1

Или Яндекс.DNS основной 77.88.8.8 дополнительный 77.88.8.1

Google DNS Пикабу Блокировка Текст
212
12

Немного о DNS и о полезной возможности layer 7 фильтра на роутерах Mikrotik

Начну с вопроса к любителям Google/Cloudflare и подобных публичных DNS серверов:  Какую цель вы преследуете меняя ДНС сервер провайдера на вышеуказанные в настройках компьютера/роутера? Независимо от дальнейшего содержания поста, прошу, по возможности, ответить на этот вопрос в комментариях.


А теперь перейдем к одной из полезных возможностей layer 7 фильтра.


Предположим у нас есть некоторые домены, которые прописаны в ДНС сервере микротика,

IP -> DNS -> Static. Там по умолчанию, например, у всех должна быть запись router.lan со значением 192.168.88.1 по ней можно попасть на страницу роутера. До тех пор пока на клиентах стоит автоматически полученный DNS сервер от DHCP, в данном случае это адрес роутера - всё отлично, но если на клиенте поменять днс сервер, то те домены перестанут работать. Для решения этой проблемы можно воспользоваться layer 7 фильтром.


Работать это будет так: Все днс запросы перед маршрутизацией будут проверяться на определённое регулярное выражение и если будет найдено соответствие они будут помечаться и далее на этапе маршрутизации эти помеченные запросы будут перенаправляться на нужный нам днс сервер.


Итак, набор команд:


1. Для начала создаём шаблон для поиска

/ip firewall layer7-protocol add name="test" regexp="google.com"

2. Маркируем пакеты

/ip firewall mangle add chain=prerouting layer7-protocol=test action=mark-connection new-connection-mark=test-mark protocol=udp dst-port=53

Тут протокол udp и порт 53, так как DNS по-умолчанию работает на 53 порту и по протоколу udp.

В этом же правиле можно добавить src-adress=<локальный ip>, чтобы только для определенных устройств в сети работало это правило.


3. Теперь напишем правило для перенаправление этого подключения

/ip firewall nat add chain=dstnat action=dst-nat connection-mark=test-mark to-addresses=<адрес роутера>

Ну и для проверки добавим статическую запись google.com

/ip dns static add name=google.com address=127.0.0.1

Теперь на любом устройстве в сети, независимо от того какой указан днс сервер домен google.com будет отправлять на ip адрес 127.0.0.1, проверим это через nslookup.

Немного о DNS и о полезной возможности layer 7 фильтра на роутерах Mikrotik DNS, IT, Mikrotik, Google DNS, Длиннопост

Как видите, неважно на какой сервер мы отправляем запрос, ответ всегда одинаковый - это 127.0.0.1.


Многим может показаться что в этом нет практической пользы, поэтому опишу свои сценарии использования:


1. У меня микротик в сети не является роутером, он выступает лишь в качестве моста, и соответсвенно не является днс-сервером для подключенных клиентов, но у меня есть несколько устройств в сети, к которым мне так или иначе бывает нужен доступ, включая сам роутер, запоминать их ip адреса - не самый удобный вариант.

Для этих устройств я в микротике добавил статические днс записи заканчивающиеся на .lan, и

при помощи вышеописанной процедуры перенаправляю запросы.


2. Как многие, наверное, знают, некоторые пиратские ресурсы или сервисы IPTV для Smart TV, Apple TV и т.п. платформ, по очевидным причинам, не имеют своих официальных приложений  в магазинах, и  часто предлагают вариант просмотра их контента из какого-то существующего в маркете приложения,  но с подменой ДНС.

Я думаю никто особо не горит желание доверять непонятному ДНС серверу свои данные, который еще по скорости ответа может оставлять желать лучшего, в редких случаях может также затруднить использование других приложений на устройстве. И тут может прийти на помощь layer 7 фильтр, только запросы мы уже не на роутер пересылать будем, а на указанный в инструкции ДНС сервер.  Единственный нюанс,  для  layer 7 фильтра нужно знать домен или хотя бы какую-то его часть, чтобы написать регулярное выражение, но найти его не проблема на форумах и в чатах по конкретному сервису он обычно фигурирует.



А теперь вернёмся к началу поста, вопрос я задал не просто так, и, думаю, любой человек хоть краем глаза прочитавший инструкцию понял что модификация, анализ, подмена днс запросов - абсолютно элементарная вещь, и никакие якобы "защищенные" днс сервера ни от чего вас не защищают.

Меняя днс сервер вы не обманываете провайдера, вы скорее себя обманываете:

во-первых, по скорости отклика, в 99% случаях провайдерские сервера будут отвечать быстрее; во-вторых, провайдер в любом случае может анализировать ваши днс запросы, записывать, подменять их и т.д. и помимо провайдера это может сделать кто угодно на пути до указанного вами днс сервера, а оставляя провайдерские сервера вы хотя бы только с провайдером делитесь своими "конфиденциальными" днс запросами.  


P.S. Я не говорю что все провайдеры этим занимаются, я лишь хочу сказать что это очень просто и для любого провайдера не составляет никакого труда, есть даже такие провайдера которые абсолютно все днс запросы подменяют и у таких провайдеров от ваших "циферок" в настройках днс сервера абсолютно ничего не зависит.


Защититься, кстати, от всего вышеописанного можно при помощи VPN, но чтобы не гонять через него весь трафик, можно через него только ДНС запросы пустить; либо при помощи DNS over TLS. В общем, каким-то образом зашифровать днс запросы.

Показать полностью 1
DNS IT Mikrotik Google DNS Длиннопост
35
Посты не найдены