Установка и настройка DNSCrypt на Ubuntu

Решил поделиться таким важным опытом, как установка и настройка DNSCrypt. Это утилита шифрует DNS-трафик и защищает от перенаправления на фиктивные серверы в общественных сетях (что бывает полезно, если заражён роутер или вас пытаются направить на фишинговую страницу), но в отличие от VPN или SSH, она не шифрует основной трафик. Использование альтернативного DNS также иногда помогает обходить заблокированные сайты, а выбор правильного DNS-провайдера, не хранящего логи, добавляет ещё один плюс в пользу безопасности и снижает уровень паранойи. В любом случае, тот, кто пользуется Ubuntu, вполне может установить данный пакет и обезопасить свои интернет-соединения — это будет полезно.

Ссылки на проект: http://dnscrypt.org/ и http://www.opendns.com/technology/dnscrypt/

1. Установка

Сегодня самый простой путь, это использование следующего скрипта: https://github.com/simonclausen/dnscrypt-autoinstall. Одной командой ниже вы можете настроить и запустить DNSCrypt. В процессе установки будет запрошено выбрать DNS-провайдера. Для новичков будет проще и удобнее большой и проверенный OpenDNS, тем более что там есть простая фича, проверяющая работоспособность программы, но он ведёт двухнедельные логи.

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

В случае сложностей можно запустить скрипт со следующим аргументом:

./dnscrypt-autoinstall.sh forcedel

2. Настройка соединений (не обязательно?)

DNSCrypt-autoinstall прописывает два DNS 127.0.0.1 и 127.0.0.2 в файл /etc/resolv.conf. У меня это создало проблему коннекта к сайтам при подключённом OpenVPN. Нижеследующий пункт следует считать устаревшим, но он может оказаться полезным в отдельных ситуациях, если возникнут сложности, как у меня.
В менеджере сетевых соединений выбираем нужное нам соединение, чей DNS-трафик будет шифроваться, и жмём «Изменить». Во вкладке «Параметры IPv4», переставляем Способ настройки на «Автоматически (DHCP, только адрес)», а в поле Серверы DNS вписываем 127.0.0.2 и жмём «Сохранить».

Изменение

3. Проверка

Как узнать, что ваш трафик зашифрован? Если вы выбрали OpenDNS, узнать очень просто. Нужно ввести в терминал следующее:

dig txt debug.opendns.com

Если мы получим ответ ниже и увидим dnscrypt enabled — всё работает.

; <<>> DiG 9.8.3-P1 <<>> txt debug.opendns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27336
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com.  IN TXT

;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 3.fra"
debug.opendns.com. 0 IN TXT "flags 20 0 2f4 4000800000000000000"
debug.opendns.com. 0 IN TXT "id 0"
debug.opendns.com. 0 IN TXT "source [ВАШ IP]"
debug.opendns.com. 0 IN TXT "dnscrypt enabled ([много цифр])"

;; Query time: 499 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: [время запроса]
;; MSG SIZE  rcvd: 222
Также, если у вас никогда не прописывались адреса OpenDNS, то посещение этой страницы http://www.opendns.com/welcome/ даст вам ответ, используете ли вы DNS этого сервиса. Это будет косвенно означать работу DNSCrypt. Так же здесь поможет команда
ps aux | grep dns
которая должна выдать упоминание на работающий /usr/sbin/dnscrypt-proxy. Но если вы не выбрали OpenDNS или есть стойкое желание проверить, действительно ли DNS-трафик зашифрован, то это можно сделать по инструкции с помощью анализатора пакетов Wireshark: http://askubuntu.com/questions/105366/how-to-check-if-dns-is-encrypted
На этом всё. Надеюсь, я помог вам с установкой этой полезной утилиты.
Реклама

4 thoughts on “Установка и настройка DNSCrypt на Ubuntu

    • спасибо за инфо, по-видимому он вписывает ДНСы в /etc/resolv.conf, ибо мне приходилось оттуда их вычищать (не работал OpenVPN)
      в сетевых конфигах я, правда, разбираюсь слабо и не проверял, как это затронуло работу DNSCrypt

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s