Feb. 25th, 2017

1488.0

Feb. 25th, 2017 01:44 pm
crower: (Default)
Начался очередной спейсианский месяц, а у нас в земном феврале северного полушария [в Иркутске] всё тает и течёт. Посмотрел историю - в феврале 11 года было тоже тепло. Но только один день, хотя и 18-го. А у нас тут уже несколько дней так. До +6—+8°C. Офигеть.
crower: (Default)
Как средство борьбы с MITM-атакой (перехват DNS-запроса и выдача подложного ответа).
sudo apt-get install dnscrypt-proxy
Поставил на порт 8053.
/etc/bind/named.conf.options

<options>
    forwarders {
        127.0.0.1 port 8053;


Можно ещё в /etc/tor/torrc прописать "DNSPort <port>" и к нему привязаться.
Вот только после перезагрузки оказалось что dnscrypt-proxy автоматом не поднялся, и луковая часть со своей задачей не справилась. Первый до перезагрузки работал потому что поднимал вручную. В общем, надо было сделать systemctl enable dnscrypt-proxy. А вот с луковым разрешением адресов не понятно. Нужный адрес определился не правильно и браузер попал куда не надо. Если бинд обращался к тору за определением адреса и получил неправильный, то каков был механизм получения им неправильного адреса? Удивительно что если есть правильный адрес, то луковая маршрутизация работает правильно. То есть https до нужного хоста доходит, а запрос на определение его адреса — нет. Если же бинд после неудачной попытки определить адрес через dnscrypt не стал обращаться ко второму форвардеру, то тут мысль останавливается: через кого тогда вообще адреса были получены, если больше форвардеров не прописано?

В общем, работает — и ладно.

PS. dnssec включен, но увы — далеко не у всех зоны подписаны.

Profile

crower: (Default)
crower

September 2017

S M T W T F S
     12
3456789
10111213141516
17 181920212223
24252627282930

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 20th, 2017 02:33 pm
Powered by Dreamwidth Studios