8.8.8.8/8.8.8.4 и чем они опасны

Посколько эти адреса в Интернете и всяческих советах маячат всё больше и больше, не удержался, чтобы не поднять эту тему.
Последней каплей стало обнаружение в видеорегистраторе прописанного по дефолту в качестве DNS значения 8.8.8.8.

Итак, напомню: ДНС-серверы 8.8.8.8 и 8.8.4.4 — это публичные серверы DNS от Google (Google Public DNS) — альтернативные DNS-серверы с закрытым исходным кодом, которые разработаны и поддерживаются корпорацией Google.
Соответственно можнов встретить множество советов по преимуществам их использования вроде этого:

Последнее время я часто советую пользователям при возникновении проблем с доступом в Интернет прописать у себя в настройках сетевой платы такие адреса DNS-серверов — 8.8.8.8 и 8.8.4.4. Этот совет, конечно, актуален только в том случае когда Ваш роутер нормально подключается к сети провайдера и выходи в Интернет, но у Вас на компьютере не открываются странички. Соответственно многих пользователей интересует — что же это за сервера такие? И вообще стоит их прописывать или нет? Давайте вместе разберемся. ДНС-серверы 8.8.8.8 и 8.8.4.4 — это публичные серверы DNS от Google (Google Public DNS) — альтернативные DNS-серверы с закрытым исходным кодом, которые разработаны и поддерживаются корпорацией Google. Помимо IP-адресов TCP/IPv4, публичные DNS-серверы Google имеют ещё и IPv6 адреса, которые в скором времени станут очень актуальными: 2001:4860:4860::8888 2001:4860:4860::8844 Что из себя представляют ДНС-серверы Google мы выяснили, теперь давайте разберемся когда и зачем их надо прописывать. Не секрет, что у Интернет-провайдеров к которым мы подключены, DNS-серверы нередко глючат. И такое случается не только с мелкими провайдерами — этим грешат и крупные операторы связи. Причиной сбоев работы могут быть как аппаратные, так и программные причины. Но согласитесь, что нас, как абонентов, мало интересуют причины проблем с серверами провайдера. Нам нужна стабильная работа. Это первая причина использования серверов Гугл. С помощью них Вы сможете решить проблему что делать, если DNS не отвечает, не находит или вообще не работает. Вторая причина, почему пользователи частенько прописывают у себя адреса публичных серверов — это обход примитивных блокировок сайтов провайдерами. Как наверное Вы уже знаете, последнее время Роскомнадзор частенько по требованию правообладателей стал блокировать Торрент-трекеры, Социальные сети и даже дошло до того, что заблокировали Ютуб. На настоящий момент многие провайдеры могут блокировать доступ к сайту только с помощью подмены IP-адреса сайта на своём DNS-сервере. Независимые от провайдеров публичные серверы Google, этим не болеют, а посему позволяют успешно обойти такой вид блокировки. Резюмирую: серверы Гугл — быстрые, бесплатные и стабильные ДНС. Прописывать хотя бы один из них однозначно стоит и сейчас я расскажу как это сделать.
и т.д.

Плюсы, конечно есть, но почему-то никто упоминает о минусах.
А ведь они тоже есть (всё дальнейшее моё имхо), и самый главный – что этот бесплатный сыр.. сорри, DNS предоставляется корпорацией Google, которая неоднократно была поймана за руку во всяких нечистых делах по шпионажу за гражданами. И в данном случае, похоже, она занимается тем же самым – сбором информации за пользователями, бродящими по Интернету.
Ведь достаточно прописать у себя гугловский DNS, как все логи серфинга автоматически оказываются у этого монстра.

А поскольку каждое современное уважающее себя устройство имеет прописанный серийник (даже тот же видеорегистратор), то задача индетификации пользователей существенно упрощается.

Вот такие печеньки от Гугла. А что вы об этом всём думаете?

Комментарии

—	unknown (03/11/2014 21:26) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Настоящие параноики используют Tor, поэтому им DNS не нужен.
А если надо что-то скачать не через Tor, то разбирают отпечатки https и сверяют цифровые подписи.
/thread

—	*Гость* (04/11/2014 00:48) <#>

Причем тут Tor? В роутерах, регистраторах, телевизорах и других массовых устройствах, всяких серверах и т.п. никакой Tor не используется, а речь идет именно о них.

—	*Гость* (04/11/2014 07:27) <#>

> А поскольку каждое современное уважающее себя устройство имеет прописанный серийник (даже тот же видеорегистратор), то задача индетификации пользователей существенно упрощается.

При условии, что гугл придумает новый DNS протокол с передачей серийников. Пока гугл может следить по IP адресам и отпечаткам сетевого стека ОС пользователя.

> А что вы об этом всём думаете?

Любой централизованный сервис опасен в смысле слежки. Ещё есть днс сервис от яндекса, который используется чаще чем гугловский в wi-fi маршрутизаторах, выпущенных для российского рынка.

—	unknown (04/11/2014 11:47, исправлен 04/11/2014 11:48) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>В роутерах, регистраторах, телевизорах и других массовых устройствах

Ненужно. Роутер лучше перепрошить или собрать самому. А если так уж необходимо пользоваться какими-то другими проприетарными закрытыми устройствами, то нужно намертво изолировать их от сети.

>всяких серверах

Если сервер ваш — можете запустить для него свой DNS; если не ваш, то он по-умолчанию враждебный.

—	*Гость* (04/11/2014 16:51) <#>

unknown, вы здесь уже второй раз даете рецепты, как уменьшить опасность от этого сервиса.
А вопрос стоит совсем иначе – опасен ли GP DNS с точки зрения анонимности или нет?
И как раз на этот вопрос вы не прронили ни звука.

—	unknown (04/11/2014 21:59) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Я просто показываю на примерах, что условных true-параноиков такие проблемы не интересуют по определению. Единственный приемлемый способ анонимно получать соответствие доменного имени определённому IP — это посылать все запросы через сеть Tor. А так, ну не гугл, а ваш собственный провайдер будет знать и/или иметь возможность подменять запрашиваемые вами соответствия имён. Разница только в том, что он может это делать в любом случае, а гугл — только если вы добровольно согласитесь. Но на линии могут быть и другие противники. Любой прямой запрос может быть отслежен или подменён, если он не проходит через некую анонимную сеть, хоть запрос текущего времени. Через анонимную сеть он тоже м.б. подменён, но противнику неинтересно это делать неприцельно и не зная для кого конкретно. Всякие массовые устройства не позволяют ни пропускать трафик через анонимные сети, ни сменить потенциального противника в выборе DNS. Сами думайте, что в вашей модели угрозы это может означать.

—	*Гость* (05/11/2014 00:30) <#>

Странно, вы так и не ответили на заданный вопрос, вместо этого обсуждения вокруг да около.
В политики, что ли, готовитесь? Тогда у вас неплохо получается :)

—	unknown (05/11/2014 09:46, исправлен 05/11/2014 10:24) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>не ответили на заданный вопрос

Например, на вопросы безопасности винды здесь тоже содержательных ответов не дают, считая по умолчанию, что особого смысла улучшать безопасность там нет. С DNS, а тем более на «устройствах массового ~~зомбирования~~ ~~зондирования~~ применения» примерно такая же ситуация. Там всё равно всё по-умолчанию плохо, в безопасности производители реально незаинтересованы, особенно если она не помогает получать прибыль.

Конкретная проблема именно с DNS гугла м.б. только в большей централизации. Такая компания может продвигать в массовое сознание идею: один поисковик, один почтовый сервер, один DNS и т.д. и все от Гугла. При этом гугл — лидер датамайнинга. И понятно, что со всех своих сервисов он профессиональнее, точнее и централизованнее всех собирает и обрабатывает данные о пользователях и устройствах.

Но никто не мешает внести в клиентский конфиг и несколько DNS в разном порядке очерёдности, для некоей распределённости. Можно и другие полумеры придумать, но поскольку безопасного протокола DNS не существует (кроме неполных попыток DNSSEC), то никакого серьёзного решения этой проблемы нет и обсуждать здесь особо нечего.

>опасен ли GP DNS с точки зрения анонимности или нет?

Открытый запрос DNS (не через анонимную сеть) несовместим с понятием сильной анонимности. Неважно, от гугла он или нет. Поэтому вопрос без дополнительных разъяснений некорректен.

—	*Гость* (05/11/2014 10:38) <#>

Самое простое – установить Tor, добавить в torrc опцию

DNSPort 53

В /etc/resolv.conf указать первым (лучше единственным) сервер имён

nameserver 127.0.0.1

Перезагрузить Tor. После этого все DNS-запросы будут разрешаться средствами Tor. Но всё остальное будет идти напрямую. При этом нужно учитывать, что при каждом подключении к сети DHCP-клиент может перезаписывать содержимое /etc/resolv.conf. Поэтому наиболее практичным и безопасным является пускать весь трафик через Tor, тогда разрешение доменных имён автоматически делается тоже через него, и содержимое /etc/resolv.conf не используется.

кроме неполных попыток DNSSEC

Все корневые сервера сейчас вроде поддерживают DNSSec, поэтому если настроить для DNS-запросов свой сервер, то опасность подмены ответов можно сильно уменьшить.

—	sentaus (05/11/2014 18:10) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

один поисковик, один почтовый сервер, один DNS

У них вроде есть промежуточный CA ещё. Свой DNS + свой CA – это ж рай для MiTM-атак.

—	unknown (05/11/2014 21:15) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>При этом нужно учитывать, что при каждом подключении к сети DHCP-клиент может перезаписывать содержимое /etc/resolv.conf

Если это не запретить делать в /etc/dhcp/dhclient.conf?

—	*Гость* (06/11/2014 02:25) <#>

В конфигурационном файле это нельзя отключить. Есть несколько способов, описанных здесь. Самый правильным мне представляется через dhclient-enter-hooks.

Ваша оценка документа [показать результаты]