Como verificar minha cadeia de DNS?

1

Eu quero usar o DNSCrypt para criptografar todos os meus pacotes DNS, então tentei fazer isso:

on /etc/rc.local :

/usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk

Então eu corri: sudo /usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk

On /var/unbound/etc/unbound.conf

Isso está configurado corretamente para rotear todas as minhas solicitações de DNS via dnscrypt?

Quando faço host openbsd.org , obtenho o mesmo endereço IP que recebo ao executar o mesmo comando em outra máquina virtual do OpenBSD, mas quando tento o google.com e o youtube.com, obtenho resultados de IP diferentes? Isso me fez pensar que cometi algum erro ou que o resolvedor de DNS é desonesto.

E como posso verificar se estão realmente fazendo solicitações de DNS pela porta 80? Se possível, gostaria de saber se posso verificar se está usando o resolvedor de DNS e criptografando meus pedidos, pois só sei que posso resolver domínios, mas não a rota usada.

Meu sistema operacional é o OpenBSD 5.7 i386.

    
por Freedo 16.06.2015 / 07:57

1 resposta

2

O YouTube e o Google são veiculados por meio de um CDN, e ter os nomes DNS que eles usam como mapas para muitos endereços IP diferentes é normal e esperado.

Se você quiser ter certeza de que as consultas estão realmente passando pelo DNSCrypt, pare-o temporariamente:

# pkill -STOP dnscrypt-proxy

E veja se você ainda recebe respostas para novas consultas DNS. Não deveria ser mais o caso.

Em seguida, continue:

# pkill -CONT dnscrypt-proxy

De acordo com o seu arquivo de configuração do Unbound, o proxy está escutando a porta 40, então você também pode executar tcpdump nesta porta e verificar se a saída se parece com um lixo em vez de pacotes DNS decodificáveis:

# tcpdump -n udp port 40

Não há nada errado com o Unbound ouvindo as conexões de entrada na porta 80, contanto que o arquivo /etc/resolv.conf contenha uma linha como:

nameserver [127.0.0.1]:80

80 é uma escolha estranha, já que você não poderá executar um servidor da Web na mesma porta (o DNS usa UDP e TCP).

A ativação de tcpdump na porta 80 deve mostrar consultas regulares não autenticadas e não criptografadas.

    
por 11.07.2015 / 22:00

Tags