Cambio DNS manuale

I pacchetti di risoluzione DNS, anche se non passano a il tuo ISP, andranno sempre attraverso il tuo ISP. Non sono crittografati e sono autonomi, quindi sono facili da tracciare.

Non solo, ma alcuni ISP (Sprint ha fatto questo, ad esempio, e forse ancora lo fanno) intercettano il traffico DNS all e lo risolvono utilizzando i propri server DNS. Quindi, indipendentemente dal server DNS che pensi stai interrogando, il tuo ISP sta inviando i propri risultati.

E per quanto riguarda il filtraggio e la registrazione, è altrettanto facile per il tuo ISP registrare / filtrare i pacchetti DNS inviati a qualsiasi server DNS in quanto è per registrare / filtrare quelli inviati a loro stessi .

Non solo, ma anche se utilizzi SSL, il tuo ISP ancora sa a quale server ti stai connettendo. C'è solo un sito web all'indirizzo IP di Google, o di Facebook o [insert embarrassing domain here] . E quindi, anche senza sapere altro che l'indirizzo dove stanno indirizzando i pacchetti, possono comunque dire esattamente esattamente cosa stai facendo.

Quindi, per quanto riguarda il beneficio marginale sulla privacy dell'utilizzo dei propri server DNS? Molto basso.

Se non ti fidi del tuo ISP, utilizzalo solo per creare una VPN per un endpoint fidato e instradare tutto il tuo traffico da lì.

If I manually change my DNS setting in the router or in Windows settings from the provider's one to, say, 8.8.4.4 by Google - will it mean that my ISP has no idea which sites I am going to?

NO non significa questo. Il tuo ISP saprà ancora a quale indirizzo IP ti stai collegando. Il tuo ISP può eseguire autonomamente la risoluzione DNS se sono veramente interessati a scoprire il dominio del sito che stai tentando di visitare.

If my DNS is manually changed and I use https, then the ISP has no chance to learn what I am doing on the Internet?

HTTPS non conferisce anonimato. Il tuo ISP non può sapere cosa stai inviando su Internet. Ma loro devono sapere dove lo stai mandando, altrimenti come possono indirizzare il tuo traffico e sai ... essere un ISP?

D: Se cambio manualmente le mie impostazioni DNS nel router o nelle impostazioni di Windows da quella del provider a, ad esempio, 8.8.4.4 da Google, significa che il mio ISP non ha idea di quali siti sto andando? Forse è possibile capire dove sto andando solo analizzando il mio traffico?

A: Stai richiedendo loro un ulteriore passaggio per scoprire dove stai andando.

D: Se il mio DNS viene modificato manualmente e io uso https, l'ISP non ha alcuna possibilità di sapere cosa sto facendo su Internet? Dove sto andando, cosa sto postando ecc.

A: La risposta a questo dipende dalla situazione, sei abbastanza attento alla sicurezza da essere sicuro o meno. Questo post spiega come https funziona e funziona come un attacco Man-in-the-middle

Se cambi il tuo DNS, i pacchetti sono ancora in ordine e chiunque guardi i pacchetti saprà che si tratta di pacchetti di risoluzione DNS e può facilmente curiosare sul nome host che stai cercando di risolvere.

Una soluzione per questo problema è stabilire innanzitutto un flusso di connessione TCP crittografato tramite TOR e quindi eseguire la risoluzione DNS sul flusso crittografato. Poiché il DNS è un protocollo a livello di applicazione, quando viene sintonizzato su uno stream TCP crittografato, le informazioni non verranno divulgate. Per configurare la tua applicazione per eseguire le query DNS attraverso la rete TOR, segui la guida qui .
Una cosa che deve essere chiarita per tutti coloro che utilizzano TOR è se si utilizza TOR per il solo routing del traffico HTTP / HTTPS e le query DNS vengono eseguite tramite i normali server DNS (aziendali o ISP), non si sta perdendo alcun anonimato. Pertanto, è importante instradare il traffico DNS anche attraverso TOR.

Proprio come gli altri, i DNS Intercept List sono comunemente usati dagli ISP per impedire la necessità di backare i dati attraverso la loro rete. OpenDNS è stato fortunatamente in grado di evitare l'intercettazione a causa di un numero elevato di reclami dei clienti in molti ISP.

Ecco come appare una richiesta DNS attraverso il filo:

0000  00 00 00 00 00 00 00 00  00 00 00 00 08 00 45 00   ........ ......E.
0010  00 3c 51 e3 40 00 40 11  ea cb 7f 00 00 01 7f 00   .<Q.@.@. ........
0020  00 01 ec ed 00 35 00 28  fe 3b 24 1a 01 00 00 01   .....5.( .;$.....
0030  00 00 00 00 00 00 03 77  77 77 06 67 6f 6f 67 6c   .......w ww.googl
0040  65 03 63 6f 6d 00 00 01  00 01                     e.com... .. 

Quando lo decidi, queste sono le parti all'interno:

Domain Name System (query)
    [Response In: 1852]
    Transaction ID: 0x241a
    Flags: 0x0100 (Standard query)
        0... .... .... .... = Response: Message is a query
        .000 0... .... .... = Opcode: Standard query (0)
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...1 .... .... = Recursion desired: Do query recursively
        .... .... .0.. .... = Z: reserved (0)
        .... .... ...0 .... = Non-authenticated data OK: Non-authenticated data is unacceptable
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        www.google.com: type A, class IN
            Name: www.google.com
            Type: A (Host address)
            Class: IN (0x0001)

Proprio come qualsiasi elemento di rete che supporta il taping / dumping del traffico di interfaccia, un IPcan può visualizzare queste richieste attraverso la loro rete. Tutto quello che devono fare è mappare quella richiesta al tuo indirizzo IP e tutta la tua attività viene tracciata. Questo può essere chiamato metadata e inoltrato alle forze dell'ordine.

Per mitigarlo, usa i server OpenDNS e applica DNSCrypt . Funziona in modo simile a HTTPS e SSL ma per traffico DNS UDP e TCP.