Не нарушает ли анонимности установленный чекбокс в "Proxifier" "Remote" в настройках DNS, если весь трафф – через 127.0.0.1:9050 (tor)?DNS резолвится удаленно,на exit-node?
Комментарии
— SATtva (18/07/2009 12:07) Видимо, да. Утечки надо смотреть сниффером, Wireshark в помощь.
— Гость (18/07/2009 12:16) А как лучше делать? Вручную ставить какой-нибудь открытый dns сервер?
— Гость (18/07/2009 12:18) Да, а безопасно ли давать dns запросы tor-у? Отслеживаются цепь если используется не сторонний dns, а торовский экзит?
— Гость (18/07/2009 13:30) Лучше всё-таки не выбирать какой-то отдельный днс-сервер, который к тому-же через тор может быть доступен только по tcp. Достаточно разрешать имена через действующую цепочку с существующим экситом. В противном случае эксит сможет, для множества не связанных и распределенных во времени цепочек, находить для них связь из-за запросов к удаленному серверу днс.
Разрешение имен через эксит не более опасно, чем доступ к чему-либо через него же. Он может дезинформировать об адресе, но он и так способен перенаправить куда захочет, вне зависимости от существования днс трюков.
— Гость (18/07/2009 13:35) А как заставить tor работать через сокс на конце??? Какую конфигурацию?
— Гость (18/07/2009 14:05) Вообще сокс протокол в чистом виде не знает что такое разрешить имя хоста. Там возможно только передать запрос на соединение, указав днс-имя или ip-адрес. Что запросит сокс-клиент зависит от настроек. Если в них указано разрешение локальное, то он вынужден будет локально выяснить адрес для имени хоста, что будет означать днс утечку (тут всё зависит от настроек, та же "утечка" может быть разрешением имени через днс-прокси тора).
В торе помимо расширенного для разрешения имен сокс-протокола (который, как считают разработчики, однако ни кем из сторонних сокс-клиентов не был поддержан) имеется встроенный днс-прокси, который представляет собой слушающий на предмет запросов днс-порт, и разрешающий имя у эксита из подходяще построенной цепочке. Такая конфигурация, однако, подойдет не всем, если соединения с какими-то хостами (именно хостами, как например настройки в браузере) может быть настроено для обхода тор и нет прозрачного проксирования или средств контроля соединений (файерволла).
Для соксификаторов (которые выступают как добавленный клиент к приложению не знающее сокс протокола), в большинстве случаев достаточно указать "Remote" в типе разрешения имени. Тогда сокс-клиент при запросе просто передаст имя хоста по цепочке экситу, без утечек по дороге. Если нет уверенности что так оно и будет, следует перепроверить сниффером.
— Гость (18/07/2009 15:11)
(тут всё зависит от настроек, та же "утечка" может быть разрешением имени через днс-прокси тора)
Это как? Даже установленный чекбокс в "Proxifier" "USE Remote" в настройках DNS дает утечку??? Смотрел на сервисах, смотрящих DNS-когда стоит чекбос "USE REMOTE" DNS либо неопределялся, либо давал DNS экзита.
— Гость (17/12/2009 09:39) У меня Tor+Polipo, Opera и Windows. Периодически вылазит svchost.exe или System и лезет на DNS. Пожалуйста обьясните как можно проще, как это убрать.
— Гость (17/12/2009 16:34) Использовал "Proxifier", тепер все норм.
Так утечка через "Proxifier" происходит?
— Гость (02/01/2010 11:23) Это опять я. Решил уточнить, мне помог не "Proxifier". Просто в Службах надо было отключить DNS-клиент. И использовать фаервол для блокировки DNS. В частности проверить не обращается ли сам фаервол к DNS и если да, то блокировать.
— Гость (28/11/2011 14:49) Хочу указать DNS сервер Tor для обычного соединения. Возможно это?
— unknown (28/11/2011 15:56) Под Linux/BSD[link1] вероятно можно, если в файрволе использовать только правила для заворачивания трафика по 53 порту.
— Гость (28/11/2011 15:59) Можно узнать IP DNS серверов или как их указать?
— unknown (28/11/2011 17:27) В смысле? 127.0.0.1:53
Адреса будут меняться в случайном порядке в зависимости от исходящих узлов сети Tor, с которым вы будете обмениваться пакетами через локалхост. А что они делают с вашим трафиком им указать нельзя.
— Гость (28/11/2011 17:27) Можете указать любой произвольный адрес в качестве локального DNS — это ни на что не повлияет. Резолить в любом случае будет exit-нода (у того DNS, который указан в её настройках).
— Гость (28/11/2011 18:55) А нету просто сервера с DNS от проекта Tor?
— Гость (28/11/2011 19:21) Нет.
— Антонио (28/12/2011 03:16) Немного оффтоп но проблема из этой же серии.
При сниффинге на предмет утечек днс обнаружил не очень приятную вещь: Входящие точки в тор очень часто находятся на территории сша.
Задача: Входящие точки не в сша, исходящие точки в сша.
Исключаем из списка Россию и Украину
Пока мой конфиг выглядит так:
StrictExitNodes 1
exitnodes {us}
ExcludeExitNodes {ru}, {ua}
Что дописать чтоб входил не в сша.
We recommend you do not use these — they are intended for testing and may disappear in future versions. You get the best security that Tor can provide when you leave the route selection to Tor; overriding the entry / exit nodes can mess up your anonymity in ways we don't understand.
— Гость (29/09/2012 16:31) Если в системе указан DNS страны проживания, а прокси соединяет через Tor, то DNS идет с выходного узла в тот который указан в ОС или на самом узле DNS?
ОС -> DNS(страны) = ОС -> Tor -> DNS(страны)
или
ОС -> DNS(страны) = ОС -> Tor -> DNS(какой-то другой)
?
— SATtva (29/09/2012 16:36) Если резолвинг производится Tor-узлом (без утечек), используются настройки DNS данного Tor-узла.
— Гость (29/09/2012 16:54) Спасибо. А может кто-нить выложить списко DNS более-менее приватных?
Например https://en.wikipedia.org/wiki/Alternative_DNS_root
OpenDNS бывает вообще без причины блокирует сайты, а у Google DNS слишком большие возможности вычислить и возможны очень умные алгоритмы. COMODO DNS вроде себе каких-то фильтров наставил.
— SATtva (29/09/2012 17:44) Я не уверен, что Вам в принципе нужен Comodo: [1][link3][2][link4].
— Гость (29/09/2012 19:45)
А может кто-нить выложить списко DNS более-менее приватных?
4.2.2.1, не помню уже чей. Но это всё дурь, надо пользоваться DNS'ом от своего провайдера, если напрямую ходишь. Если не напрямую — резолвить на исходящем узле (хоть в VPN, хоть в Tor).
Видимо, да. Утечки надо смотреть сниффером, Wireshark в помощь.
А как лучше делать? Вручную ставить какой-нибудь открытый dns сервер?
Да, а безопасно ли давать dns запросы tor-у? Отслеживаются цепь если используется не сторонний dns, а торовский экзит?
Лучше всё-таки не выбирать какой-то отдельный днс-сервер, который к тому-же через тор может быть доступен только по tcp. Достаточно разрешать имена через действующую цепочку с существующим экситом. В противном случае эксит сможет, для множества не связанных и распределенных во времени цепочек, находить для них связь из-за запросов к удаленному серверу днс.
Разрешение имен через эксит не более опасно, чем доступ к чему-либо через него же. Он может дезинформировать об адресе, но он и так способен перенаправить куда захочет, вне зависимости от существования днс трюков.
А как заставить tor работать через сокс на конце??? Какую конфигурацию?
Вообще сокс протокол в чистом виде не знает что такое разрешить имя хоста. Там возможно только передать запрос на соединение, указав днс-имя или ip-адрес. Что запросит сокс-клиент зависит от настроек. Если в них указано разрешение локальное, то он вынужден будет локально выяснить адрес для имени хоста, что будет означать днс утечку (тут всё зависит от настроек, та же "утечка" может быть разрешением имени через днс-прокси тора).
В торе помимо расширенного для разрешения имен сокс-протокола (который, как считают разработчики, однако ни кем из сторонних сокс-клиентов не был поддержан) имеется встроенный днс-прокси, который представляет собой слушающий на предмет запросов днс-порт, и разрешающий имя у эксита из подходяще построенной цепочке. Такая конфигурация, однако, подойдет не всем, если соединения с какими-то хостами (именно хостами, как например настройки в браузере) может быть настроено для обхода тор и нет прозрачного проксирования или средств контроля соединений (файерволла).
Для соксификаторов (которые выступают как добавленный клиент к приложению не знающее сокс протокола), в большинстве случаев достаточно указать "Remote" в типе разрешения имени. Тогда сокс-клиент при запросе просто передаст имя хоста по цепочке экситу, без утечек по дороге. Если нет уверенности что так оно и будет, следует перепроверить сниффером.
Это как? Даже установленный чекбокс в "Proxifier" "USE Remote" в настройках DNS дает утечку??? Смотрел на сервисах, смотрящих DNS-когда стоит чекбос "USE REMOTE" DNS либо неопределялся, либо давал DNS экзита.
У меня Tor+Polipo, Opera и Windows. Периодически вылазит svchost.exe или System и лезет на DNS. Пожалуйста обьясните как можно проще, как это убрать.
Использовал "Proxifier", тепер все норм.
Так утечка через "Proxifier" происходит?
Это опять я. Решил уточнить, мне помог не "Proxifier". Просто в Службах надо было отключить DNS-клиент. И использовать фаервол для блокировки DNS. В частности проверить не обращается ли сам фаервол к DNS и если да, то блокировать.
Хочу указать DNS сервер Tor для обычного соединения. Возможно это?
Под Linux/BSD[link1] вероятно можно, если в файрволе использовать только правила для заворачивания трафика по 53 порту.
Можно узнать IP DNS серверов или как их указать?
В смысле? 127.0.0.1:53
Адреса будут меняться в случайном порядке в зависимости от исходящих узлов сети Tor, с которым вы будете обмениваться пакетами через локалхост. А что они делают с вашим трафиком им указать нельзя.
Можете указать любой произвольный адрес в качестве локального DNS — это ни на что не повлияет. Резолить в любом случае будет exit-нода (у того DNS, который указан в её настройках).
А нету просто сервера с DNS от проекта Tor?
Нет.
Немного оффтоп но проблема из этой же серии.
При сниффинге на предмет утечек днс обнаружил не очень приятную вещь: Входящие точки в тор очень часто находятся на территории сша.
Задача: Входящие точки не в сша, исходящие точки в сша.
Исключаем из списка Россию и Украину
Пока мой конфиг выглядит так:
StrictExitNodes 1
exitnodes {us}
ExcludeExitNodes {ru}, {ua}
Что дописать чтоб входил не в сша.
Can I control which nodes (or country) are used for entry/exit?[link2]:
Если в системе указан DNS страны проживания, а прокси соединяет через Tor, то DNS идет с выходного узла в тот который указан в ОС или на самом узле DNS?
ОС -> DNS(страны) = ОС -> Tor -> DNS(страны)
или
ОС -> DNS(страны) = ОС -> Tor -> DNS(какой-то другой)
?
Если резолвинг производится Tor-узлом (без утечек), используются настройки DNS данного Tor-узла.
Спасибо. А может кто-нить выложить списко DNS более-менее приватных?
Например https://en.wikipedia.org/wiki/Alternative_DNS_root
OpenDNS бывает вообще без причины блокирует сайты, а у Google DNS слишком большие возможности вычислить и возможны очень умные алгоритмы. COMODO DNS вроде себе каких-то фильтров наставил.
Я не уверен, что Вам в принципе нужен Comodo: [1][link3] [2][link4].
4.2.2.1, не помню уже чей. Но это всё дурь, надо пользоваться DNS'ом от своего провайдера, если напрямую ходишь. Если не напрямую — резолвить на исходящем узле (хоть в VPN, хоть в Tor).