防范DNS泄露:跨越层层危险存活

简介

DNS泄漏(DNS Leak)是指在使用VPN等匿名上网工具时,由于某些因素导致用户的DNS请求不是通过VPN隧道加密发送,而是直接通过本地ISP提供的DNS服务器进行解析和转发,从而暴露出用户的真实IP地址和浏览历史记录等信息,降低了用户的隐私和安全性。

通常,当用户使用VPN连接互联网时,VPN提供商会分配一个虚拟IP地址和DNS服务器,用户的所有网络流量都会通过VPN隧道进行加密和转发,从而保护用户的隐私和安全。然而,如果用户的本地DNS设置不正确或者存在某些网络配置问题,DNS请求可能会绕过VPN隧道直接发送到本地ISP提供的DNS服务器,从而暴露出用户的真实IP地址和浏览历史记录等信息。

DNS泄漏可能会导致用户的地理位置被追踪、浏览记录被监视和跟踪、内容被审查和过滤等问题,因此,用户应该采取一些措施来避免DNS泄漏,例如使用可靠的VPN服务、配置正确的DNS服务器、更新网络设置等。

就牵扯出了DNS污染和劫持 万恶之源GFW

由于默认DNS 是UDP 明文传输 很容易遭到运营商和GFW的劫持和信息泄露,就算采用HTTPS也能通过SNI获取到 域名和IP
市面上目前也有分析加密的数据包大致判断你是否使用SS代理 在干什么的 听闻 能分析出你在看视频 还是在浏览网站
只能使用加密的DNS系统 不然明文 随意捕获到你访问的信息 运营商也可以劫持 进行抢答 比如 8.8.8.8 基本都是被运营商劫持的
由于技术的强大 ping traceroute 在一些地区已经不能说明什么了 是可以精准屏蔽到协议和端口的,你用 TCP 和 UDP 做得结果可能完全不同
光猫 路由器 电脑 都修改成安全的DNS

UDP  53端口 被劫持还有针对IP的劫持 还有被抢答
DOT  853 端口 出国的可能会全部被拦截
DOH 443端口会碰上SNI 黑名单,使用 ESNI 则会被拦截
可以使用一些非标准端口的DNS 或许能逃过一劫

加密DNS系统

加密DNS系统是一种保护DNS查询和响应隐私和安全的技术。常见的加密DNS系统包括DNS over HTTPS(DoH)和DNS over TLS(DoT)等。

DNS over HTTPS(DoH)是一种将DNS查询和响应数据加密并通过HTTPS传输的协议。它使用了TLS协议来加密DNS查询和响应数据,以保护用户的DNS隐私和安全。在DoH中,DNS查询和响应被封装在HTTPS请求和响应中,并通过TCP端口443进行传输。

DNS over TLS(DoT)是一种将DNS查询和响应数据加密并通过TLS传输的协议。它使用了TLS协议来加密DNS查询和响应数据,以保护用户的DNS隐私和安全。在DoT中,DNS查询和响应被封装在TLS连接中,并通过TCP端口853进行传输。

DNS-over-QUIC(DoQ)比较新。它是一种新兴的安全协议,可通过QUIC(Quick UDP Internet Connections)传输协议发送 DNS 查询和响应 性能会高一点 更抗丢包 但是 QUIC 应用目前较少

加密DNS系统可以提高DNS查询和响应的隐私和安全,防止DNS劫持、DNS欺骗、DNS缓存污染和其他DNS攻击。同时,加密DNS系统还可以提高用户的匿名性和隐私保护,防止ISP和其他监管机构对用户的DNS查询进行监视和跟踪。

需要注意的是,虽然加密DNS系统可以提高DNS查询和响应的隐私和安全,但它们也可能会对网络性能和安全产生一定的影响。因此,在使用加密DNS系统时,用户需要综合考虑各种因素,并根据实际情况选择最适合自己的方式。

由于国内限制 会被拦截 和黑名单 建议是配合VPN使用 这样DNS流量全部走VPN就不会被捕获

新版本的windows系统 比如 win11 win2022 都支持DOH 设置DNS哪里可以选择使用加密

Android 9 版本以上 系统应该都会有个 加密DNS 或者 私有 DNS  但是不支持直接使用IP  据Google说是为了更好的发展IPV4 和IPV6
第三方软件 https://play.google.com/store/apps/details?id=com.frostnerd.smokescreen&pli=1
https://play.google.com/store/apps/details?id=app.intra

MacOS/iPadOS/IOS 则需要安装 描述文件配合使用 参考 https://github.com/paulmillr/encrypted-dns  在「设置」>「通用」>「VPN、DNS与设备管理」>「DNS」中选取工作方式 也能使用 https://github.com/kkk669/DNSecure 这种第三方软件

Linux  可以使用 DNSCrypt(https://www.dnscrypt.org/)老牌产品 较老 或者 https://github.com/m13253/dns-over-https 这一款  https://github.com/AdguardTeam/dnsproxy 包括 dnsmasq  Pdnsd

主流浏览器设置加密DNS方法(随着更新 肯定会变 仅供参考)
chrome 浏览器中在[设置]-[隐私和安全]-[高级]-[使用安全DNS]
edge 浏览器中在[设置]-[隐私、搜索和服务]-[安全性]-[使用安全的 DNS 指定如何查找网站的网络地址]
Firefox 浏览器中在[设置]-[隐私与安全]-[基于 HTTPS 的 DNS]

更专业一点的则是 在路由器 或者 软路由安装 Adguard Home(https://adguard.com/kb/zh-CN/) 自建DNS系统 也能部署在 win linux 手机等 具体 用搜索引擎找找

目前 DoH/DoT/HTTPS 等加密技术并不能防止别人知道你访问什么网站,但能防止别人看你具体收发了什么东西 一定程度上避免了一些劫持
不建议使用 114 360 奇安信 微步等国内安全厂商做的DNS 已经被这些厂家玩坏了
这样只是简单处理一些 不过可以防止一定的劫持 绕过一些封锁的网站 比如 完全封锁的steam 随机拦截的github
现代浏览器及相应Proxy插件普遍支持远程DNS解析
比较理想的状态是本机所有DNS解析请求都走加密SOCKS5信道,对此至少有两种现成的开源实现,Tor-DNS与DNS2SOCKS
远程境外服务器,用 UDP 获取 DNS 解析,本地向套壳的ADH(网络优秀)请求 DNS 解析,同时做了多地和跨境分区解析
本地 ADH,套娃境外 ADH 或者境外 DOH、DOT 这样会更安全一点

SS、SSR、V2ray、Trojan、Xray、Clash的浅谈

项目名称 创建时间 支持协议 速度评分 推荐评分 说明
Shadowsocks 2015年前 socks5 6 2 年份有点老,数据传输安全性不高
Shadowsocks-R 2016年前后 socks5+混淆协议 5 1 年份有点老,数据传输安全性不高
V2Ray 2019下半年 Blackhole
Freedom
HTTP
MTProto
Shadowsocks
Socks
VMess
1 4 V2ray比较成熟,自用1年半 支持的配套客户端是最多的,隐秘性良好 长期使用没有断过网,数
Trojan 2019年底 类似V2ray“WS+TLS”模式的精简版 2 3 相比V2ray,速度更快,更轻量级 相比trojan-go 比较老了,因此排名后面
Trojan-Go 2020年8月 类似V2ray“WS+TLS”模式的精简版 3 5 速度方面次于Xray、隐秘更强,客户端比较单一
Xray 2020年11月 V2ray的升级版(包含V2ray所有协议) VLESS协议 4 5 Xray性能最好、速度更快,隐秘方面也是很不错 更新比较快,支持的客户端也多
Clash 2020 年末 支持SS/V2ray/Trojan协议 4 5 功能全面 性能好 界面漂亮

目前主流的这些SS协议 都能被识别出来 进行封锁 技术发展更不上墙了
就算是之前比较安全的websocket+TLS+CDN 的模式 也会被识别 封锁
由于SS的特性 中间人是可以获取到一些信息 不安全 很多机场
或多或少都在监听你干了什么 没那么安全 更不用说那些钓鱼的 发免费IP的
那些只适合看看 视频 看看新闻 干大事业 为了安全还是需要自己部署
其他方面只探讨 主流客户端 V2Ray 和 Clash
在V2Ray 中
选好模式 写好配置文件即可 具体可以参考一些文档或者使用别人写好的分流配置
配置写好 V2Ray 是远程解析DNS 服务器部署好安全的DNS即可

在Clash中
写好配置文件 用远程服务器 解析DNS 部署好 安全的DNS
具体文档 可以去官网 或者Google找找

socket5中
一般是 劫持本机DNS 53 然后转发到socket5远程服务器进行解析
或者使用经典软件 Proxifier 或者 SocksCap64
常用软件

dns2socks
DNS2SOCKS 是一个命令行程序,运行时可通过 SOCKS 或 HTTP 隧道将 DNS 请求转发到 DNS 服务器
https://github.com/rampageX/dns2socks
https://sourceforge.net/projects/dns2socks/

overture
overture 可以支持通过 SOCKS 代理进行 DNS 查询,请查阅 GitHub 中的文档
https://github.com/shawn1m/overture

Tor-DNS
使用了TOR作为中转
https://github.com/bfix/Tor-DNS

tun2socks
处理来自本设备的各个网络应用的所有网络流量并通过代理转发
https://github.com/xjasonlyu/tun2socks

socat
一款Cloudflare 推荐的socket转发
http://www.dest-unreach.org/socat/

https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
https://tachyondevel.medium.com/%E6%BC%AB%E8%B0%88%E5%90%84%E7%A7%8D%E9%BB%91%E7%A7%91%E6%8A%80%E5%BC%8F-dns-%E6%8A%80%E6%9C%AF%E5%9C%A8%E4%BB%A3%E7%90%86%E7%8E%AF%E5%A2%83%E4%B8%AD%E7%9A%84%E5%BA%94%E7%94%A8-62c50e58cbd0
https://blog.skk.moe/post/i-have-my-unique-dns-setup/
https://yuanmomo.net/2019/08/18/dns-proxy/
https://xtrojan.pro/bgfw/v2ray/v2ray-dns-streaming.html
https://bulianglin.com/archives/dnsproxy.html
https://manateelazycat.github.io/proxy/2023/05/22/best-proxy.html
https://xtrojan.vip/bgfw/v2ray/v2ray-traffic-mask.html
https://guide.v2fly.org/advanced/advanced.html
https://fndroid.github.io/clash-win-docs/
https://docs.metacubex.one/
https://dreamacro.github.io/clash/
https://docs.cfw.lbyczf.com/

这是一些不错的探讨文章

chrome浏览器中要 关闭 DNS 预读取功能 可能会泄露DNS信息

Chrome→设置→高级→隐私设置和安全性→关掉以下两个选项:

使用联想查询服务,帮助你在地址栏中自动填充未输完的搜索字词和网址

使用联想查询服务更快速的加载网页

firefox中 要在网络设置里面勾选 使用socks5时代理DNS查询

一些浏览器插件 同样要打开相对于的功能
快速部署 socket5可使用
frp 、GoProxy 、ngrok、nps、proxychains-ng、gost、glider等

下面列举一些相关的客户端
V2Ray
windows直接用V2rayN (https://github.com/2dust/v2rayN)
Android直接用V2rayNG (https://github.com/2dust/v2rayNG)
Mac直接使用Qv2ray (https://github.com/Qv2ray/Qv2ray)
linux直接使用Qv2ray (https://github.com/Qv2ray/Qv2ray)
IOS很复杂
免费
OneClick,不支持VLESS协议
Leaf,需要自己编辑文件更改默认代理和全局模式
收费
Shadowrocket    (俗称小火箭)
Quantumult X
可注意名字 别整错了 可以去网上找找 别人打包好的ipa文件

Clash

GUI 客户端 支持 win linux mac
https://github.com/Fndroid/clash_for_windows_pkg
https://github.com/BoyceLig/Clash_Chinese_Patch (汉化版)

mac
https://github.com/yichengchen/clashX

Android
https://github.com/Kr328/ClashForAndroid
https://play.google.com/store/apps/details?id=com.github.kr328.clash

openwrt路由
https://github.com/frainzy1477/clash
https://github.com/vernesong/OpenClash

梅林路由器
https://github.com/KOP-XIAO/Clash-Merlin

ios
https://apps.apple.com/app/stash/id1596063349

规则集
https://github.com/Loyalsoldier/clash-rules

一个SS本地订阅转换工具
https://github.com/tindy2013/subconverter

   VPN浅谈

协议 速度 加密和安全 稳定性 视频 P2P文件共享 兼容性
PPTP 大多数操作系统
IPSec 大多数操作系统
L2TP/IPSec 大多数操作系统
IKEv2/IPSec 大多数操作系统
OpenVPN TCP 大多数操作系统
OpenVPN UDP 大多数操作系统
SSTP Windows,Android,Ubuntu和路由器
WireGuard Android,Linux,iOS和Mac
SoftEther 大多数操作系统

目前主流的VPN协议 就是 IKEv2 OpenVPN  WireGuard Lightway
不过目前VPN协议已经都能被识别 这是一个悲伤的故事 不过解密出来数据这几年应该是不太可能 未来不好说
自己部署的话一般是部署OpenVPN  然后伪装成SSL 流量
主流VPN大厂 ExpressVPN PureVPN StrongVPN NordVPN 在国内可用的
VPN选择要选开的时间长 国内稳定 一些小厂 免费的 比如 很古老的 什么自由门 赛风 老王 这种直接不用考虑
一般设置里面都有设置安全DNS 这种选项可以打开 就不用使用国内的DNS了
用一些冷门国家的IP 可能会有更好的效果
BitLocker 加密建议开启内核隔离和bit的pin bios也上密码 使用fTPM芯片  bios中禁用DMA  配置好Secure Boot  或者使用VeraCrypt
苹果的 T2芯片也被破解了 并不安全
偷的wifi 使用安全的DNS 国外的VPN 安全的全盘加密的硬盘 在虚拟机操作  多层跳板 匿名VPS 不使用国产软件
浏览器随机指纹 禁用 WebRTC 随机UA  语言
现在手机也是很关键的一环 工作 生活分开 两手机 推荐iPhone 安全一些 更新到最新的系统 整好锁屏密码
不使用指纹 人脸 只用密码开锁 做到这些 基本上95% 只能通过其他渠道找到你了

 

下面推荐一些其他加密DNS的不错一些软件

smartdns
官网 https://pymumu.github.io/smartdns/
github https://github.com/pymumu/smartdns
一款部署在本地的DNS服务器 支持 DOT和DOH 一般部署在路由和软路由 树莓派上 支持 linux mac win
然后在配合 https://github.com/felixonmars/dnsmasq-china-list 做分流

ArashiDNS
一款win11的DOH软件
https://github.com/mili-tan/ArashiDNS.Dekunua

AuroraDNS
AuroraDNS 是一个纯净、简陋简单的、面向普通用户的,图形化的windows本地 DoH 客户端。
https://github.com/mili-tan/AuroraDNS.GUI
linux下
https://github.com/mili-tan/ArashiDNS.C

anti-AD
致力于成为中文区命中率最高的广告过滤列表,实现精确的广告屏蔽和隐私保护。anti-AD现已支持AdGuardHome,dnsmasq, Surge,Pi-Hole,smartdns等网络组件。完全兼容常见的广告过滤工具所支持的各种广告过滤列表格式  以及https://github.com/Mosney/anti-anti-AD 其他作者的版本
这里列一些过滤软件 adbyby ,koolproxy  ,ublock  ,  Ghostery   规则 easylist ,cjx ,Fanboy ,yhosts ,Halflife ,adguard home规则, v2ray-rules-dat
一般使用easylist 和 easylist china 就差不多了 看自己习惯 相关的可以去GitHub上找

yogadns
一款windows系统下不错的DNS软件,支持DoH、DoT、DoQ、DNSCrypt 和匿名化 DNS 具有本地验证功能的 DNSSEC
官方网站:https://www.yogadns.com(免费版 有限制) 一般使用破解版

dnsd
一款简易的DNS部署软件
https://github.com/develon2015/dnsd

mosdns
一个非常好用的dns转发器,mosdns 可替代 smartdns ,主要是因为 mosdns 可以实现国内国外域名分流的功能
一般利用Mosdns 和 AdGuard Home配合使用 mosdns + 分流 + doh 或者在套娃smartdns 玩法很多 列如Adguard Home (总)->mosdns ( geosite 分流)->smartdns (开 2 个端口承接 mosdns 分流)-Adguard Home ( 2 个,分国内国外)
https://github.com/IrineSistiana/mosdns   衍射作品 一款简易部署 https://github.com/pmkol/easymosdns

cdnlookup
一个使用 Edns-Client-Subnet(ECS) 遍历智能CDN节点IP地址的工具
https://github.com/WoChen5770/cdnlookup

SnowPearDNS
一款本地DoH加密的DNS加密软件
https://github.com/Arryboom/SnowPearDNS

SimpleDnsCrypt
Simple DNSCrypt是一个基于Windows的系统简单的DNS加密管理工具
https://github.com/bitbeans/SimpleDnsCrypt

Fast-DoH
Linux 下没有一个很方便的快速设置 DoH 的方法,就写了个脚本
目前支持 DNSPod、Aliyun、Cloudflare、Google、DNS.SB、NextDNS、IQDNS
https://github.com/9bingyin/Fast-DoH

Acrylic DNS Proxy
Acrylic是一个用于Windows的本地DNS代理,它通过缓存来自DNS服务器的响应来提高访问速度,并通过一个定制的HOSTS文件来帮助您抵御不需要的广告,该文件为处理数十万个域名进行了优化,并额外支持通配符和正则表达式
官网:http://mayakron.altervista.org/support/acrylic/Home.htm

Telescope DNS
一款灵活快速的DNS分组转发器 全平台 包括还有socks5代理转发DNS请求的功能
https://github.com/wolf-joe/ts-dns

CoreDNS
也是一款全平台的DNS部署软件
https://github.com/missdeer/coredns_custom_build

下面是一些DNS泄露 和IP泄露 的检测网站
边调试边检测 然后在用wireshark抓包 确定 DNS没走本地出去 就OK了

https://browserleaks.com/dns
https://dnsleaktest.org/dns-leak-test
https://surfshark.com/zh/dns-leak-test
https://www.dnsleaktest.com/
https://whoer.net/dns-leak-test
https://whoer.net/zh
https://2ip.io/privacy/
https://browserleaks.com/ip
https://www.ip-score.com/

下面推荐一些可靠的DNS

Cloudflare DNS:Cloudflare提供的DNS解析服务,支持DNS-over-HTTPS(DoH)和DNS-over-TLS(DoT)协议。
Google DNS:Google提供的DNS解析服务,支持DoH和DoT协议。
Quad9 DNS:由Quad9提供的DNS解析服务,支持DoH和DoT协议,并且可以阻止恶意网站和域名。
AdGuard DNS:AdGuard提供的广告拦截和隐私保护软件,提供了DNS解析服务,支持DoH和DoT协议。
NextDNS:NextDNS提供的DNS解析服务,支持DoH和DoT协议,并且可以阻止广告、跟踪器、恶意软件等
DNS.SB:德国的一个公共 DNS 服务商 提供的 DoT/DoH 服务器(当然也同时提供 IPv4 和 IPv6)
OpenDNS:是一个免费的域名解析服务提供商 总部在美国 提供的 DoT/DoH 服务器

国内只有腾讯云和阿里云做的还不错,分流使用,但是不安全 劫持 污染 保留数据 是把

一些DNS列表

https://dnsprivacy.org/public_resolvers/
https://github.com/DNSCrypt/dnscrypt-resolvers
https://github.com/oneoffdallas/dohservers
https://dns.iui.im/
https://public-dns.info/
https://adguard-dns.io/kb/zh-CN/general/dns-providers/

由于是杂谈 浅浅的谈一下 介绍下思路 想法 具体的搭建部署 文档 使用方法 软件配置 技巧
可以通过Google 和 Github 上进行搜索 转载著名出处 By AG安全团队

低调 隐忍 杀戮
最后 诸位道友 道火不熄

版权声明:
作者:agsec
链接:https://agsec.xyz/archives/182
来源:AG安全团队博客
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>