crower: (Default)
Как средство борьбы с MITM-атакой (перехват DNS-запроса и выдача подложного ответа).
sudo apt-get install dnscrypt-proxy
Поставил на порт 8053.
/etc/bind/named.conf.options

<options>
    forwarders {
        127.0.0.1 port 8053;


Можно ещё в /etc/tor/torrc прописать "DNSPort <port>" и к нему привязаться.
Вот только после перезагрузки оказалось что dnscrypt-proxy автоматом не поднялся, и луковая часть со своей задачей не справилась. Первый до перезагрузки работал потому что поднимал вручную. В общем, надо было сделать systemctl enable dnscrypt-proxy. А вот с луковым разрешением адресов не понятно. Нужный адрес определился не правильно и браузер попал куда не надо. Если бинд обращался к тору за определением адреса и получил неправильный, то каков был механизм получения им неправильного адреса? Удивительно что если есть правильный адрес, то луковая маршрутизация работает правильно. То есть https до нужного хоста доходит, а запрос на определение его адреса — нет. Если же бинд после неудачной попытки определить адрес через dnscrypt не стал обращаться ко второму форвардеру, то тут мысль останавливается: через кого тогда вообще адреса были получены, если больше форвардеров не прописано?

В общем, работает — и ладно.

PS. dnssec включен, но увы — далеко не у всех зоны подписаны.

Profile

crower: (Default)
crower

July 2017

S M T W T F S
      1
23 45678
910111213 1415
161718 19202122
23242526272829
3031     

Syndicate

RSS Atom

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 23rd, 2017 04:50 pm
Powered by Dreamwidth Studios