linux wireshark_使用 DNS over TLS | Linux 中国

最新推荐文章于 2023-12-09 12:01:07 发布
最新推荐文章于 2023-12-09 12:01:07 发布
阅读量215 收藏
点赞数
文章标签: linux wireshark linux设置dns linux配置dns
  ca270fc9fd3b02d97f14402aee82bd2d.png 导读:现代计算机用来在互联网种查找资源的域名系统(DNS) 是在 35 年前设计的,没有考虑用户隐私。它会面临安全风险和攻击,例如 DNS 劫持。它还能让 ISP 拦截查询。本文字数:3512,阅读时长大约: 4分钟https://linux.cn/article-12483-1.html 作者:Thomas Bianchi 译者:geekpi

现代计算机用来在互联网种查找资源的 域名系统(DNS) 是在 35 年前设计的,没有考虑用户隐私。它会面临安全风险和攻击,例如 DNS 劫持。它还能让 ISP 拦截查询。

幸运的是,现在有 DNS over TLS 和 DNSSEC 两种技术。DNS over TLS 和 DNSSEC 允许创建从计算机到它配置的 DNS 服务器之间的安全且加密的端到端隧道。在 Fedora 上,部署这些技术的步骤很容易,并且所有必要的工具也很容易获得。

本指南将演示如何使用 systemd-resolved 在 Fedora 上配置 DNS over TLS。有关 systemd-resolved 服务的更多信息,请参见文档。

694bd288-2e31-eb11-8da9-e4434bdf6706.svg

步骤 1:设置 systemd-resolved

类似于下面所示修改 /etc/systemd/resolved.conf。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。

$ cat /etc/systemd/resolved.conf[Resolve]DNS=1.1.1.1 9.9.9.9DNSOverTLS=yesDNSSEC=yesFallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4#Domains=~.#LLMNR=yes#MulticastDNS=yes#Cache=yes#DNSStubListener=yes#ReadEtcHosts=yes

关于选项的简要说明:

◈  DNS:以空格分隔的 IPv4 和 IPv6 地址列表,用作系统 DNS 服务器。◈  FallbackDNS:以空格分隔的 IPv4 和 IPv6 地址列表,用作后备 DNS 服务器。◈  Domains:在解析单标签主机名时,这些域名用于搜索后缀。  ~. 代表对于所有域名,优先使用  DNS= 定义的系统 DNS 服务器。◈  DNSOverTLS:如果启用,那么将加密与服务器的所有连接。请注意,此模式要求 DNS 服务器支持 DNS-over-TLS,并具有其 IP 的有效证书。

注意:上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP。

694bd288-2e31-eb11-8da9-e4434bdf6706.svg

步骤 2:告诉 NetworkManager 将信息推给 systemd-resolved

在 /etc/NetworkManager/conf.d 中创建一个名为 10-dns-systemd-resolved.conf 的文件。

$ cat /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf[main]dns=systemd-resolved

上面的设置(dns=systemd-resolved)让 NetworkManager 将从 DHCP 获得的 DNS 信息推送到 systemd-resolved 服务。这将覆盖步骤 1 中配置的 DNS 设置。这在受信任的网络中没问题,但是也可以设置为 dns=none 从而使用 /etc/systemd/resolved.conf 中配置的 DNS 服务器。

694bd288-2e31-eb11-8da9-e4434bdf6706.svg

步骤 3:启动和重启服务

若要使上述步骤中的配置生效,请启动并启用 systemd-resolved 服务。然后重启 NetworkManager 服务。

注意:在 NetworkManager 重启时,连接会中断几秒钟。

$ sudo systemctl start systemd-resolved$ sudo systemctl enable systemd-resolved$ sudo systemctl restart NetworkManager

注意:目前,systemd-resolved 服务默认处于禁用状态,是可选使用的。[有计划][33]在 Fedora 33 中默认启用systemd-resolved。

694bd288-2e31-eb11-8da9-e4434bdf6706.svg

步骤 4:检查是否一切正常

现在,你应该在使用 DNS over TLS。检查 DNS 解析状态来确认这一点:

$ resolvectl statusMulticastDNS setting: yes DNSOverTLS setting: yes DNSSEC setting: yes DNSSEC supported: yes Current DNS Server: 1.1.1.1 DNS Servers: 1.1.1.1 9.9.9.9Fallback DNS Servers: 8.8.8.8 1.0.0.1 8.8.4.4

/etc/resolv.conf 应该指向 127.0.0.53

$ cat /etc/resolv.conf# Generated by NetworkManagersearch lannameserver 127.0.0.53

若要查看 systemd-resolved 发送和接收安全查询的地址和端口,请运行:

$ sudo ss -lntp | grep '\(State\|:53 \)'State Recv-Q Send-Q Local Address:Port Peer Address:Port ProcessLISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=10410,fd=18))

若要进行安全查询,请运行:

$ resolvectl query fedoraproject.orgfedoraproject.org: 8.43.85.67 -- link: wlp58s0 8.43.85.73 -- link: wlp58s0[..]-- Information acquired via protocol DNS in 36.3ms.-- Data is authenticated: yes 694bd288-2e31-eb11-8da9-e4434bdf6706.svg

额外步骤 5:使用 Wireshark 验证配置

首先,安装并运行 Wireshark:

$ sudo dnf install wireshark$ sudo wireshark

它会询问你在哪个设备上捕获数据包。在我这里,因为我使用无线接口,我用的是 wlp58s0。在 Wireshark 中设置筛选器,tcp.port == 853(853 是 DNS over TLS 协议端口)。在捕获 DNS 查询之前,你需要刷新本地 DNS 缓存:

$ sudo resolvectl flush-caches

现在运行:

$ nslookup fedoramagazine.org

你应该会看到你的计算机和配置的 DNS 服务器之间的 TLS 加密交换:

e2cf0e0201627c0714a70e0b3510877f.png

via: https://fedoramagazine.org/use-dns-over-tls/

作者:Thomas Bianchi 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

704bd288-2e31-eb11-8da9-e4434bdf6706.svg

3c4fac7046061135f04469c453bd07b7.png

weixin_39623671
关注
linux删除 masq_使用DNS over TLS:在Linux上获得DNS隐私保护
weixin_33056525的博客
12-24 938
本文介绍两种方法使用DNS over TLS,一是Stubby、二是Systemd-resolved。每天,您的计算机都会向互联网发送数千个DNS查询,在大多数情况下,您的操作系统不会保护这些查询,而具有适当技术诀窍的错误人员可能会侵犯您的隐私。DNSCrypt:这是获得DNS隐私保护的绝佳方式,但是它不是唯一的解决方案,另一种选择是通过DNS over TLS。方法一、StubbyStubby是...
wireshark tls_使用Wireshark进行调试:TLS
cumei1658的博客
07-12 1758
wireshark tlsSometimes in my darker moments I forget that not all programmers get to work with computer networks every day, like I do. This means that many of you don’t have a chance to experience som...
DNS HTTPS和TLS上的DNS配置配置文件-Linux开发
05-27
DNS HTTPS和TLS上的DNS配置文件crypto-dns-configs HTTPS上的DNSTLS上的DNS配置文件。 请查看该文章以获取更多信息:paulmillr.com/posts/encrypted-dns/安装要使设置可在iOS和MacOS中的所有应用程序中工作,您需要安装配置文件。 此配置文件将告诉操作系统使用DOH / DOT。 注意:仅在“系统偏好设置”中设置服务器IP是不够的-您需要安装配置文件。 在iOS上,安装后,转到系统设置=>常规=> Profi
DNS over TLS到底有多牛?你想知道的都在这儿
TrustAsia的博客
10-26 1万+
SSL证书有助于客户端浏览器和网站服务器之间的加密连接。 这意味着在连接期间,所有的通信和活动都被遮蔽。 但通常意义上的网站使用SSL证书依旧无法避免ISP监控你的浏览痕迹。而DNS over TLS正是为网络浏览自由而生。
wireshark抓包分析DNS域名解析过程
最新发布
m0_73576645的博客
12-09 7750
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS在查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
dnssec_OPNSense上的DNSSEC,DoT和DNSBL
weixin_26722031的博客
07-29 774
dnssecYYou think that your home internet is up-to-date with modern networking standards? Go to the site 您认为您的家庭互联网是最新的现代网络标准吗? 前往网站 internet.nlinternet.nlconnectivity test.连通性测试 。 The Dutch test of m...
基于Kali LinuxDNS欺骗及防范技术的研究.pdf
09-06
首先,用户可以使用DNS加密协议,例如DNS over TLSDNS over HTTPS,来保护DNS查询请求的安全。其次,用户可以使用防火墙或入侵检测系统来检测和防止DNS欺骗攻击。最后,用户可以使用安全的DNS服务器,例如使用BIND...
探究Linux网络配置中的DNS与解析机制
DNS(Domain Name System)是一种用于将域名解析为 IP 地址的分布式数据库系统,通过 DNS,用户可以使用便于记忆的域名来访问互联网上的各种服务。在 Linux 系统中,DNS 扮演着至关重要的角色,负责解析域名、转换 ...
TCP和TLS/SSL会话细节
joye123的博客
10-08 1万+
TCP和TLS/SSL会话细节 TCP数据段格式说明 TCP建立连接和断开连接细节 Https如何保证通信安全 一次Https网络请求通信细节 网络数据包分析工具wireshark使用 问题: SYN、ACK、FIN具体含义是什么? TCP建立连接超时的表现? 为什么需要证书来下发服务端公钥? 客户端是如何验证证书合法性的? 对称秘钥是如何协商出来的? 为什么不直接让客户端自己生成一个秘钥发...
Wireshark支持协议PCAP包.zip
08-16
5. **其他协议**:如DNS(Domain Name System)用于将域名转换为IP地址,SNMP(Simple Network Management Protocol)用于网络设备的管理和监控,TLS/SSL(Transport Layer Security/Secure Sockets Layer)用于加密...
利用Wireshark软件对微信协议的分析
11-01
利用Wireshark软件对微信协议的分析,详细分析了微信协议应答的过程
LLMNR协议
天元喜羊羊的博客
05-25 1万+
http://en.wikipedia.org/wiki/Link-local_Multicast_Name_Resolution The Link Local Multicast Name Resolution (LLMNR) is a protocol based on the Domain Name System (DNS) packet format that allows
《计算机网络—自顶向下方法》 Wireshark实验(三):DNS协议分析
CarpeDiem
05-10 6134
域名系统 DNS(Domain Name System) 是互联网使用的命名系统,用于把便于大家使用的机器名字转换为 IP 地址。许多应用层软件经常直接使用 DNS,但计算机的用户只是间接而不是直接使用域名系统。本文就详细讲解DNS协议,包括nslookup域名解析,查看与设置DNS服务器,DNS报文分析,最后通过实验抓包分析DNS协议。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
域名解析-DNS-MDNS-LLMNR
wenshifang的专栏
08-20 5719
域名系统DNS(Domain Name System)。 网络上提供名字解析的服务称为域名服务器,网络上存在大量树状组织的DNS服务器,用来完成用域名到网络地址或者网络地址到域名的解析工作。DNS是一种最传统,最重要,也是最常用的,工作原理可参考http://blog.csdn.net/yipiankongbai/article/details/25031461的详细描述。在用Wireshark
WireShark 过滤语法使用
swanabin的专栏
08-09 2746
WireShark 过滤语法 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示
公共DNS-over-TLSDNS-over-HTTPS 服务器
weixin_44943568的博客
07-31 6524
一、国内服务商 1、阿里公共DNS 阿里提供的DNS,测试阶段,存在污染。 DoT地址: dns.alidns.com 223.5.5.5 223.6.6.6 DoH地址: RFC8484地址: https://dns.alidns.com/dns-query https://223.5.5.5/dns-query https://223.6.6.6/dns-query JSON地址: https://dns.alidns.com/resolve https://223.5.5.5/resolve http
wireshark抓包分析HTTP、DNSTLS、SMTP、ARP、RTP、RTMP
1900的博客
10-20 1万+
一次计算机网络课的作业,有几个包不是很好抓,在网上搜了很多,最后勉强抓到,所以记录一下,留个参考。 (ps:计网学的不好,分析的都很简略,可能有误~~ @[TOC] 目录 要求 使用Ethereal或相关协议分析工具,进行HTTP(包括头部典型方法与字段)、DNSTLS、SMTP、ARP、RTP、RTMP(Real Time Messaging Protocol)协议的分析。要求:对每个应用层协议从上到下(Ethernet帧),写出协议执行过程及协议单元封装的过程和主要字段值的意义(例如HTTP协议请求
Linux网络协议分析:Wireshark深度使用指南
同时,用户还需要掌握一定的Linux操作系统的使用知识,例如如何在Linux系统上安装和配置Wireshark、如何使用Linux的网络配置命令等。 总的来说,Wireshark是一个功能强大、应用广泛的网络分析工具,它在Linux平台上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值