8.8.8.8/8.8.8.4 и чем они опасны
Посколько эти адреса в Интернете и всяческих советах маячат всё больше и больше, не удержался, чтобы не поднять эту тему.
Последней каплей стало обнаружение в видеорегистраторе прописанного по дефолту в качестве DNS значения 8.8.8.8.
Итак, напомню: ДНС-серверы 8.8.8.8 и 8.8.4.4 — это публичные серверы DNS от Google (Google Public DNS) — альтернативные DNS-серверы с закрытым исходным кодом, которые разработаны и поддерживаются корпорацией Google.
Соответственно можнов встретить множество советов по преимуществам их использования вроде этого:
Последнее время я часто советую пользователям при возникновении проблем с доступом в Интернет прописать у себя в настройках сетевой платы такие адреса DNS-серверов — 8.8.8.8 и 8.8.4.4. Этот совет, конечно, актуален только в том случае когда Ваш роутер нормально подключается к сети провайдера и выходи в Интернет, но у Вас на компьютере не открываются странички. Соответственно многих пользователей интересует — что же это за сервера такие? И вообще стоит их прописывать или нет? Давайте вместе разберемся. ДНС-серверы 8.8.8.8 и 8.8.4.4 — это публичные серверы DNS от Google (Google Public DNS) — альтернативные DNS-серверы с закрытым исходным кодом, которые разработаны и поддерживаются корпорацией Google. Помимо IP-адресов TCP/IPv4, публичные DNS-серверы Google имеют ещё и IPv6 адреса, которые в скором времени станут очень актуальными: 2001:4860:4860::8888 2001:4860:4860::8844 Что из себя представляют ДНС-серверы Google мы выяснили, теперь давайте разберемся когда и зачем их надо прописывать. Не секрет, что у Интернет-провайдеров к которым мы подключены, DNS-серверы нередко глючат. И такое случается не только с мелкими провайдерами — этим грешат и крупные операторы связи. Причиной сбоев работы могут быть как аппаратные, так и программные причины. Но согласитесь, что нас, как абонентов, мало интересуют причины проблем с серверами провайдера. Нам нужна стабильная работа. Это первая причина использования серверов Гугл. С помощью них Вы сможете решить проблему что делать, если DNS не отвечает, не находит или вообще не работает. Вторая причина, почему пользователи частенько прописывают у себя адреса публичных серверов — это обход примитивных блокировок сайтов провайдерами. Как наверное Вы уже знаете, последнее время Роскомнадзор частенько по требованию правообладателей стал блокировать Торрент-трекеры, Социальные сети и даже дошло до того, что заблокировали Ютуб. На настоящий момент многие провайдеры могут блокировать доступ к сайту только с помощью подмены IP-адреса сайта на своём DNS-сервере. Независимые от провайдеров публичные серверы Google, этим не болеют, а посему позволяют успешно обойти такой вид блокировки. Резюмирую: серверы Гугл — быстрые, бесплатные и стабильные ДНС. Прописывать хотя бы один из них однозначно стоит и сейчас я расскажу как это сделать.
и т.д.
Плюсы, конечно есть, но почему-то никто упоминает о минусах.
А ведь они тоже есть (всё дальнейшее моё имхо), и самый главный – что этот бесплатный сыр.. сорри, DNS предоставляется корпорацией Google, которая неоднократно была поймана за руку во всяких нечистых делах по шпионажу за гражданами. И в данном случае, похоже, она занимается тем же самым – сбором информации за пользователями, бродящими по Интернету.
Ведь достаточно прописать у себя гугловский DNS, как все логи серфинга автоматически оказываются у этого монстра.
А поскольку каждое современное уважающее себя устройство имеет прописанный серийник (даже тот же видеорегистратор), то задача индетификации пользователей существенно упрощается.
Вот такие печеньки от Гугла. А что вы об этом всём думаете?
комментариев: 9796 документов: 488 редакций: 5664
А если надо что-то скачать не через Tor, то разбирают отпечатки https и сверяют цифровые подписи.
/thread
При условии, что гугл придумает новый DNS протокол с передачей серийников. Пока гугл может следить по IP адресам и отпечаткам сетевого стека ОС пользователя.
Любой централизованный сервис опасен в смысле слежки. Ещё есть днс сервис от яндекса, который используется чаще чем гугловский в wi-fi маршрутизаторах, выпущенных для российского рынка.
комментариев: 9796 документов: 488 редакций: 5664
Ненужно. Роутер лучше перепрошить или собрать самому. А если так уж необходимо пользоваться какими-то другими проприетарными закрытыми устройствами, то нужно намертво изолировать их от сети.
Если сервер ваш — можете запустить для него свой DNS; если не ваш, то он по-умолчанию враждебный.
А вопрос стоит совсем иначе – опасен ли GP DNS с точки зрения анонимности или нет?
И как раз на этот вопрос вы не прронили ни звука.
комментариев: 9796 документов: 488 редакций: 5664
В политики, что ли, готовитесь? Тогда у вас неплохо получается :)
комментариев: 9796 документов: 488 редакций: 5664
Например, на вопросы безопасности винды здесь тоже содержательных ответов не дают, считая по умолчанию, что особого смысла улучшать безопасность там нет. С DNS, а тем более на «устройствах массового
зомбированиязондированияприменения» примерно такая же ситуация. Там всё равно всё по-умолчанию плохо, в безопасности производители реально незаинтересованы, особенно если она не помогает получать прибыль.Конкретная проблема именно с DNS гугла м.б. только в большей централизации. Такая компания может продвигать в массовое сознание идею: один поисковик, один почтовый сервер, один DNS и т.д. и все от Гугла. При этом гугл — лидер датамайнинга. И понятно, что со всех своих сервисов он профессиональнее, точнее и централизованнее всех собирает и обрабатывает данные о пользователях и устройствах.
Но никто не мешает внести в клиентский конфиг и несколько DNS в разном порядке очерёдности, для некоей распределённости. Можно и другие полумеры придумать, но поскольку безопасного протокола DNS не существует (кроме неполных попыток DNSSEC), то никакого серьёзного решения этой проблемы нет и обсуждать здесь особо нечего.
Открытый запрос DNS (не через анонимную сеть) несовместим с понятием сильной анонимности. Неважно, от гугла он или нет. Поэтому вопрос без дополнительных разъяснений некорректен.
В /etc/resolv.conf указать первым (лучше единственным) сервер имён
Перезагрузить Tor. После этого все DNS-запросы будут разрешаться средствами Tor. Но всё остальное будет идти напрямую. При этом нужно учитывать, что при каждом подключении к сети DHCP-клиент может перезаписывать содержимое /etc/resolv.conf. Поэтому наиболее практичным и безопасным является пускать весь трафик через Tor, тогда разрешение доменных имён автоматически делается тоже через него, и содержимое /etc/resolv.conf не используется.
Все корневые сервера сейчас вроде поддерживают DNSSec, поэтому если настроить для DNS-запросов свой сервер, то опасность подмены ответов можно сильно уменьшить.
комментариев: 1060 документов: 16 редакций: 32
У них вроде есть промежуточный CA ещё. Свой DNS + свой CA – это ж рай для MiTM-атак.
комментариев: 9796 документов: 488 редакций: 5664
Если это не запретить делать в /etc/dhcp/dhclient.conf?