DNSCrypt não parece criptografar consultas

Question

DNSCrypt não parece criptografar consultas

#1 resposta do (1 votos)

1

Estou tentando configurar um servidor de cache DNS em um Raspberry, usando Unbound e DNSCrypt.

O Raspberry roda o mais recente Jessie Lite (headless Debian 8).
Eu configurei DNSCrypt usando este script popular: https://github.com/simonclausen/dnscrypt-autoinstall

O Unbound e o DNSCrypt funcionam bem: meu computador principal (192.168.1.64) está usando com êxito o servidor DNS no Raspberry (192.168.1.65) e vejo o Unbound usando o DNSCrypt por meio do arquivo de log.

Meu problema é que não vejo nenhuma criptografia quando eu dig um site e captura por meio de Wireshark apenas retornam consultas padrão.

O que estou perdendo?

Aqui está uma captura de tela da resposta dig :

Aqui está uma captura de tela da captura Wireshark :

Este é o registro do Unbound:

[1483616499] unbound[5098:0] debug: module config: "iterator"
[1483616499] unbound[5098:0] notice: init module 0: iterator
[1483616499] unbound[5098:0] debug: target fetch policy for level 0 is 3
[1483616499] unbound[5098:0] debug: target fetch policy for level 1 is 2
[1483616499] unbound[5098:0] debug: target fetch policy for level 2 is 1
[1483616499] unbound[5098:0] debug: target fetch policy for level 3 is 0
[1483616499] unbound[5098:0] debug: target fetch policy for level 4 is 0
[1483616499] unbound[5098:0] debug: Forward zone server list:
[1483616499] unbound[5098:0] info: DelegationPoint<.>: 0 names (0 missing), 1 addrs (0 result, 1 avail) parentNS
[1483616499] unbound[5098:0] debug: cache memory msg=33040 rrset=33040 infra=1304 val=0
[1483616499] unbound[5098:0] info: start of service (unbound 1.4.22).
[1483616505] unbound[5098:0] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new
[1483616505] unbound[5098:0] info: resolving www.google.com. A IN
[1483616505] unbound[5098:0] info: processQueryTargets: www.google.com. A IN
[1483616505] unbound[5098:0] info: sending query: www.google.com. A IN
[1483616505] unbound[5098:0] debug: sending to target: <.> 127.0.0.1#40
[1483616505] unbound[5098:0] debug: cache memory msg=33040 rrset=33040 infra=1533 val=0
[1483616505] unbound[5098:0] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
[1483616505] unbound[5098:0] info: iterator operate: query www.google.com. A IN
[1483616505] unbound[5098:0] info: response for www.google.com. A IN
[1483616505] unbound[5098:0] info: reply from <.> 127.0.0.1#40
[1483616505] unbound[5098:0] info: query response was ANSWER
[1483616505] unbound[5098:0] info: finishing processing for www.google.com. A IN

Aqui está o arquivo de configuração do Unbound:

server:
        auto-trust-anchor-file: "/var/lib/unbound/root.key"

server:
        username: unbound
        port: 53
        logfile: "/var/log/unbound/unbound.log"
        log-time-ascii: no
        use-syslog: no
        verbosity: 3
        module-config: "iterator"
        do-not-query-localhost: no
        interface: 0.0.0.0
        access-control: 127.0.0.1 allow
        access-control: 192.168.1.0/24 allow
        access-control: 10.8.0.0/24 allow

forward-zone:
        name: "."
        forward-addr: 127.0.0.1@40
        forward-first: no

remote-control:
        control-enable: no

E aqui está a configuração do DNSCrypt gerado pelo script:

DNSCRYPT_LOCALIP=127.0.0.1
DNSCRYPT_LOCALPORT=40
DNSCRYPT_USER=dnscrypt
DNSCRYPT_RESOLVER=ns0.dnscrypt.is

dns debian raspberry-pi

por shroom 05.01.2017 / 13:07

1 resposta

Tags dns debian raspberry-pi

Restauração de backup incremental de tar com um comando Como combinar todos os CSV 'S para um CSV em um pedido

score 1 · Accepted Answer

A captura do Wireshark mostra que tanto a origem quanto o destino são endereços IP locais.

Então, isso é apenas gravar o tráfego entre o seu computador e o Raspberry Pi. Este é o tráfego regular do DNS. O tráfego criptografado está entre o Raspberry Pi e o ns0.dnscrypt.is resolver, ou seja, o que vai para a Internet.

Aqui é onde você deve fazer uma captura de pacotes.

Como alternativa, se o que você deseja é autenticar o tráfego entre seu computador e o Raspberry Pi, o proxy do cliente precisa ser executado em seu computador e no Raspberry Pi, é necessário executar um servidor DNSCrypt (dnscrypt-wrapper ou dnsdist).