D
Size: a a a
2019 April 10
2019 April 11
F
Кто-нибудь может рассказать простым языком, что мешает нашему MITM-атакующему подменить DNS-ответ, удалив из него эту TXT-запись?
VS
например, dnssec
VS
в который, впрочем, все верят, прямо как в Деда Мороза
r
тогда DoH
NK
Dex Launch Bot будет жить. Поприветствуем!
D
Кто-нибудь может рассказать простым языком, что мешает нашему MITM-атакующему подменить DNS-ответ, удалив из него эту TXT-запись?
Кроме dns записи идет опрос URL /.well-known/mta-sts.txt на сервере для MTA-STS политики.
D
Пофигичные костыли - DNSSEC, DANE, ESNI, MTA-STS
D
тогда DoH
DoT забыл
r
оно само по себе не гарантирует шифрованный туннель вроде бы
r
есть т - это тлс, а не тсп, то да
KZ
DoT - dns over tls, DoH - dns over https
KZ
могу посоветовать простенький прокси для преобразования plain dns в doh/dot
AI
помоему unbound из коробки со всем этим работает
KZ
по-моему, не совсем
AI
dns over tls у меня гдето конфи был
AI
# https://www.ctrl.blog/entry/unbound-tls-forwarding
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 8.8.8.8@853#8.8.8.8
forward-addr: 8.8.4.4@853#8.4.4.4
# Quad9
forward-addr: 2620:fe::fe@853#dns.quad9.net
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 2620:fe::9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.net
# Cloudflare DNS
forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com
forward-addr: 1.0.0.1@853#cloudflare-dns.com
D
могу посоветовать простенький прокси для преобразования plain dns в doh/dot
Сам прокси нужно ставить поближе к магистрали или в другой стране, привет РКН.