• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

Статья Как DNS "сливает" ваш реальный IP адрес

stihl

stihl

Moderator
Регистрация
09.02.2012
Сообщения
1,166
Розыгрыши
0
Реакции
508
Deposit
0.228 BTC
stihl не предоставил(а) никакой дополнительной информации.
Вы знали что все популярные DNS сервера сливают ваш реальный IP адрес или его часть при проверке на антифрод\антибот да и просто любому желающему на самом деле? Этот механизм был призван для того что бы ускорять доставку контента и делать сёрфинг интернета быстрее. А вместо этого стал раскрывать ваш IP. И имя ему EDNS (ECS).

Что это такое и как работает?​

Никогда не думали как работает механизм Для просмотра ссылки Войди или Зарегистрируйся и любой подобный сервис? Как он определяет ваш настоящий DNS который вы установили в системе? Или как протечку обнаруживает? Схематично это выглядит так:

Код: 
[Браузер пользователя] --(HTTP запрос)--> [browserleaks.com/dns]

dnsleaktest.com/dns:
   1) Генерирует уникальный домен например: 123.browserleaks.com
   2) Возвращает JS на клиент (браузеру и он его выполняет)

[JS код в браузере]:
   img = new Image();
   img.src = "http://123.browserleaks.com/dns/tracker.png";

Для загрузки tracker.png браузеру нужно сделать следующее:
   Браузер -> ОС: "Нужен IP 123.browserleaks.com"
   ОС -> DNS-сервер: "Дай мне IP для домена 123.browserleaks.com"
   DNS-сервер -> Отправляет запрос в browserleaks.com: "Дай мне IP адрес для 123.browserleaks.com" (Тем самым показывая свой IP)

На стороне browserleaks:
   DNS сервер фиксирует IP адрес того, кто спрашивает
   (Это IP вашего DNS-сервера). !!!ТУТ И ПРОИСХОДИТ ВСЯ МАГИЯ!!!

   DNS-сервер отвечает IP-адресом для домена.
   DNS-сервер -> ОС -> Браузер
   Браузер теперь знает IP, загружает картинку.

Сервер dnsleaktest.com уже знает: запрос пришёл с DNS IP X.X.X.X.
Отправляет результат обратно клиенту через AJAX/REST:
   { "dns_server_ip": "X.X.X.X", "location": "ProviderName" }
Браузер отображает результат (DNS сервер который он узнал).

Браузер показывает вам результат — ваш DNS. Так browserleaks.com становится своеобразным "авторитетным" DNS для гугловских 8.8.8.8, ведь именно он знает IP для 123.browserleaks.com.

Отлично. С этим разобрались. Теперь вопрос: Как с помощью ECS можно палить не только DNS IP, но и ваш собственный IP (или его часть)?

Вот тут и проявляет себя EDNS (ECS). Если коротко: EDNS Client Subnet позволяет DNS-серверам учитывать геопозицию или подсеть пользователя, чтобы подбирать "более актуальные" результаты. Изначально планировалось, что так контент будет грузиться быстрее и ближе к вам. Но по факту — это ещё одна дырка в вашей приватности. То есть это механизм который может передавать ваш IP чатсично или полностью на DNS сервера. Пример того что передает Гугл ДНС(8.8.8.8)

Код: 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; CLIENT-SUBNET: 192.168.123.0/24/0 (этот IP я ему отправил в ручную)

А что если сайт Paypal.com например сделает так же. А что им помешает? :) - Да ничего им не помешает это сделать. Проверяем наш ДНС на утечку :)

2024-12-17-10-07-48.png

8.8.8.8 любезно отправил нам адрес который мы ему предоставили
И мы видим замечательную картину что ДНС сервер гугла передал наш ип адрес который мы закинули в расширение ECS неизменным :)

Вот небольшой список которые точно передают данные:
  • Google DNS 8.8.8.8 и 8.8.4.4
Код: 
Google Public DNS давно поддерживает ECS и активно его использует для геооптимизации.

OpenDNS (Cisco Umbrella) 208.67.222.222 и 208.67.220.220

Comcast DNS: 75.75.76.76 и 75.75.75.75
Хоть на этом сервисе почему то обрубается но у меня прекрасно работает на моей машине (хоть и преедает чатсично (страну узнать можно и даже город я думаю))

dig @75.75.76.76 example.com +subnet=192.168.123.2/24 +noall +edns=0 +comment +qr
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44187
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; CLIENT-SUBNET: 192.168.123.0/24/0
......

Сами можете посмотреть свои ДНС сервера тут: Для просмотра ссылки Войди или Зарегистрируйся

Почему важно?​

Таким образом получается что любой может получить IP адрес от ДНС современного сервера. Если я смог написать такой небольшой скрипт - то уж крупные корпорации типа paypal.com и подавно смогут это сделать. Так и получается что цель ECS благородная (доставлять контент быстрее), а реализация как всегда. Даже если вы используете VPN или шифрование DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) или DNS-over-QUIC это не спесёт от утчечки ECS и в браузере или ОС нет такой кнопочки которая может выключить эту опцию так как она определяется на стороне DNS сервера...

Как исправить это?​

Основная мысль этой статьи - Более качественно подбирать DNS сервера для работы. Не пользуйтесь паблик ДНС типа Гугла или Опендс. По возможности проверяйте ДНС - что они могут отдавать о вас и вашем IP. Желательно пользуйтесь ДНС от провайдеров. Ну и конечно же пользуйтесь нашим софтом. Мы планируем к нашем Для просмотра ссылки Войди или Зарегистрируйся сделать поддержку полноценной подмены этих ECS и поднятие своего ДНС сервера в зависимости от вашего конечного IP адреса. Предлагаю в нашей группе поделится результатами ваших ДНС серверов - напишите в комментариях что они раскрывают о вашем IP адресе в нашей группе Для просмотра ссылки Войди или Зарегистрируйся . Мы и дальше будем следить за новыми трендами в приватности и анонимности. Так что будьте на связи :). Спасибо за Внимание.

Полезные ссылки:​


by: Zl0y
 
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Сверху Снизу