Регистрация ·  Логин: Пароль: Запомнить   · Забыли пароль?




Ответить на тему
Автор Сообщение

Аватара пользователя

Стаж: 5 лет 7 месяцев
Сообщения: 8
Откуда: Гуанчжоу
Китай

Сообщение 29 мар 2019, 11:49

[Цитировать]

Данный пост НЕ решает проблему с красными раздачами, только позволяет попасть на любой заблокированный РосКомНадзором ресурс.

Уважаемые пользователи и гости трекера!

Если вы читаете данный текст и живете в РФ, то с большой вероятностью вам пришлось поломать голову и немного помучиться, чтобы попасть на pirat.ca, которая находится уже неделю в полном бане РосКомНадзора и провайдеры по всей РФ заблокировали доступ (или это сделают в самое ближайшее время). Возможно вы использовали анонимайзеры, прокси сервера или купили себе собственный VPN - однако, мне хочется вам показать более простой и удачный способ обхода блокировки сайта при условии блокировки по доменному имени.

Позвольте очень кратко и поверхностно рассказать(будучи программистом, я очень слабо разбираюсь в компьютерных сетях, поэтому можете корректировать мат часть), что делали и делают провайдеры для блокировки ресурсов. Традиционно блокировался IP адрес сервера, однако данный метод не очень эффективен - заменить/добавить альтернативный IP адрес в 2015 году дело 24 часов (а порой и одного часа). Также, многие сайты используют единый IP адрес и блокируя один ресурс провайдер закрывал вход на все ресурсы на данном IP адресе. Однако, несмотря на неэффективность самого похода к блокированию IP, это самый эффективный метод для запрета доступа, обойти который можно обойти только используя прокси сервера: запрос идет через провайдера на легальный прокси сервер, а дальше прокси сервер вас уже перебрасывает на заблокированный сайт; таким образом, провайдер не в курсе, что вы хотели попасть на сайт из черного списка.

В связи с вышесказанным, за последний год провайдеры стали “умнее” и хитрее и стали предпочитать блокировать доменные имена, а не IP адреса. Когда Вы пытаетесь открыть какой-либо сайт или ссылку по домену (например pirat.ca), запрос сначала идет на DNS сервер, где хранятся большие таблицы которые на запрос pirat.ca вернут IP адрес сервера пиратки. После получения IP адреса, браузер уже “спокойно” (на самом деле совсем не спокойно, но для нас это не важно) находит сервер и получает данные с него, которые отображает. Как вы понимаете, провайдеры легко могут проверить на своих DNS серверах, что запрос идет на pirat.ca и вместо того, чтобы вернуть браузеру IP адрес, они возвращают заглушку Надзора.

Уверен, что многие из Вас уже подумали - “так ведь можно использовать DNS сервера не провайдера, а какие-то чужие, например от Google или OpenDNS или еще какие-нибудь!”. Close, but no cigar, как говорят американцы - короче, почти, но не совсем, дьявол в деталях как обычно. Когда начались блокировки, многие из вас меняли DNS сервера в настройках сетевой карты или сразу роутера на гугловские: 8.8.8.8 и 8.8.4.4 и все работало где-то до апреля/мая сего года, когда Надзор и провайдеры стали еще “хитрее”. В DNS протоколе есть узкое место, которое называется “последней милей” (last mile - кусок сети между вашим домом и провайдером), которое по умолчанию не шифруется, что позволяет провайдерам перехватывать запросы на гугловские DNS сервера (используя технологию transparent dns: https://www.dnsleaktest.com/what-is-transparent-dns-proxy.html) и все равно возвращать вам заглушку Надзора, хотя казалось бы вы в настройках сети указали, что не хотите использовать DNS сервера.

Что же делать? Шифроваться лучше и игнорить провайдеров! Чтобы провайдеры не могли перехватывать запросы на сторонние DNS сервера необходимо обезопасить “последнюю милю”, одним словом зашифровать запросы DNS. Но, зашифрованный запрос необходимо еще и дешифровать на DNS сервере и, к сожалению, dns сервера гугла не поддерживают дешифрование на своих серверах. А вот OpenDNS и еще целый список (https://github.com/jedisct1/dnscrypt-proxy/blob/mas...pt-resolvers.csv) поддерживают. Более того, OpenDNS разработали специальную утилиту (dnscrypt-proxy http://dnscrypt.org), которая позволяет указать dns сервер предпочитаемый и отправить зашифрованный запрос. Одно НО - утилита для командной строки и для масс неудобоварима.

К счастью, нашлись разработчики, которые написали простенький интерфейс для dnscrypt-proxy под mac и windows.


Приложение для Мака: https://github.com/alterstep/dnscrypt-osxclient
Приложение для Windows: http://www.mediafire.com/file/c0x2u7n43tuun4k/dnscrypt-proxy.rar (официальный сайт здесь https://simonclausen.dk/projects/dnscrypt-winservicemgr/ но там необходимо произвести набор манипуляций, чтобы собрать два приложение в одно, что я сделал за вас. Не используйте прогу с официального сайта, если не хотите читать мануал и искать опечатку. Спасибо anton966 за тестирование).

Приложение очень простое (детальный мануал с картинками будет в течение выходных):
1. скачиваете
2. устанавливаете: на маке установщик, для винды просто разархивируете в папку где вы не удалите случайно, например ProgramFiles
3. запускает: экзешник для винды находится в папке dnscrypt-proxy-win32/bin/dnscrypt-winservicemgr.exe, на маке просто находите DNSCrypt Menubar в Applications
4. На винде выбираете галочкой сетевую карту, из списка выбираете OpenDNS (или любой из DNS серверов, что вам нравится, они все поддерживают дешифрование) и нажимаете Enable (протокол оставьте UDP). На маке все еще проще, просто нажимаете Enable.

Что делает программа (примерно, исходники не читал детально) - она заменяет DNS сервера на сетевой карте на localhost (127.0.0.x), чтобы перехватить их, зашифровать и дальше отправить на выбранный DNS сервер с поддержкой дешифрования. Провайдеру бесполезно перехватывать зашифрованные пакеты, так как они зашифрованы (думаю они игнорятся просто).

Программу советую всегда держать включенной (работаю с ней уже 3 дня). DNS сервера можно использовать любые, никто не обязует вас использовать провайдерские (хотя таковы, к сожалению, настройки сетевых подключений по умолчанию). Многие используют DNS от гугла или OpenDNS (вы теперь знаете почему последние предпочтительнее). Программа не вирус, если вы прочли абзац выше, то вы представляете, что делает программа. Можете проверить ее антивирусником.

Важно: Приложение под винду имеет один существенный баг - когда вы включите ее (нажмете disable), вы можете потерять доступ в интернет, потому что программа не всегда возвращает прежние настройки DNS серверов, а оставляет localhost в сетевых настройках. Вам придется зайти и вручную поменять настройки TCP/IP в подключении с 127.0.0.x на по-умолчанию (разработчику уже отправил баг репорт, надеюсь исправит к версии 0.3 или сами исправим). Приложение на маке работает без данной “фича”.

Расскажите всем друзьям об этом, запустите копию поста на свой блог, и.т.д., помогите с пиаром!

Страница 1 из 1

Ответить на тему