Cambio manual de DNS

Los paquetes de resolución de DNS, incluso si no van a su ISP, siempre pasarán a través de su ISP. No están encriptados y son independientes, por lo que son fáciles de rastrear.

No solo eso, sino que algunos ISP (Sprint hizo esto, por ejemplo, y posiblemente todavía lo hace) intercepta todo el tráfico DNS y lo resuelve utilizando sus propios servidores DNS. Así que no importa qué servidor DNS creas que estás consultando, tu ISP está enviando sus propios resultados.

Y en lo que se refiere al filtrado y al registro, es tan fácil que su ISP registre / filtre los paquetes DNS enviados a cualquier servidor DNS, como lo es registrar / filtrar los enviados a su propio .

No solo eso, sino que incluso si usa SSL, su ISP still sabe a qué servidor se está conectando. Solo hay un sitio web en la dirección IP de Google, o en Facebook, o [insert embarrassing domain here] . Y así, incluso sin saber nada más que la dirección a la que envían tus paquetes, aún pueden decirte exactamente lo que estás haciendo.

¿En cuanto al beneficio de privacidad marginal de usar sus propios servidores DNS? Muy bajo.

Si no confía en su ISP, utilícelo solo para crear una VPN a un punto final de confianza y enrutar todo su tráfico a través de allí.

  

Si cambio manualmente mi configuración de DNS en el enrutador o en la configuración de Windows de la del proveedor a, digamos, 8.8.4.4 de Google, ¿significa que mi ISP no tiene idea de a qué sitios voy?

NO no significa eso. Su ISP todavía sabrá a qué dirección IP se está conectando. Su ISP puede realizar la resolución de DNS por su cuenta si está realmente interesado en descubrir el dominio del sitio que está intentando visitar.

  

Si mi DNS se cambia manualmente y uso https, ¿entonces el ISP no tiene oportunidad de aprender lo que estoy haciendo en Internet?

HTTPS no confiere anonimato. Su ISP no puede saber lo que está enviando a través de Internet. Pero deben saber a dónde lo envía, de lo contrario, ¿cómo pueden enrutar su tráfico y usted sabe ... ser un ISP?

P: Si cambio manualmente mi configuración de DNS en el enrutador o en la configuración de Windows de la del proveedor a, digamos, 8.8.4.4 de Google, ¿significará que mi ISP no tiene idea de a qué sitios voy? Tal vez sea posible averiguar a dónde voy simplemente analizando mi tráfico.

A: Los estás haciendo requieren un paso más para averiguar a dónde vas.

P: Si mi DNS se cambia manualmente y uso https, ¿entonces el ISP no tiene oportunidad de aprender lo que estoy haciendo en Internet? A dónde voy, qué estoy publicando, etc.

A: La respuesta a esto depende de la situación, ¿tiene la seguridad suficiente para estar seguro o no? Esta publicación explica cómo https funciona y cómo funciona un ataque del hombre en el medio

Si cambia su DNS, aún los paquetes están en blanco y cualquiera que los vea sabrá que se trata de paquetes de resolución de DNS y puede detectar fácilmente el nombre de host que intenta resolver.

Una solución para este problema es establecer primero un flujo de conexión TCP encriptado a través de TOR y luego realizar la resolución de DNS sobre el flujo encriptado. Dado que DNS es un protocolo de capa de aplicación, cuando se canaliza sobre una secuencia TCP encriptada, la información no se filtrará. Para configurar su aplicación para realizar las consultas de DNS a través de la red TOR, siga la guía aquí .

Una cosa que debe aclararse para todos los que usan TOR es que si usa TOR solo para enrutar el tráfico HTTP / HTTPS y las consultas de DNS se realizan a través de sus servidores DNS normales (corporativo o ISP), no está logrando ningún anonimato. Por lo tanto, también es importante enrutar el tráfico DNS a través de TOR.

Al igual que los otros, los ISP utilizan comúnmente las listas de intercepción de DNS para evitar la necesidad de realizar copias de respaldo de los datos en su red. OpenDNS afortunadamente ha podido evitar la intercepción debido a la gran cantidad de quejas de los clientes en muchos ISP.

Esto es lo que parece una solicitud de DNS a través del cable:

0000  00 00 00 00 00 00 00 00  00 00 00 00 08 00 45 00   ........ ......E.
0010  00 3c 51 e3 40 00 40 11  ea cb 7f 00 00 01 7f 00   .<Q.@.@. ........
0020  00 01 ec ed 00 35 00 28  fe 3b 24 1a 01 00 00 01   .....5.( .;$.....
0030  00 00 00 00 00 00 03 77  77 77 06 67 6f 6f 67 6c   .......w ww.googl
0040  65 03 63 6f 6d 00 00 01  00 01                     e.com... .. 

Cuando lo desglosas, estas son las partes internas:

Domain Name System (query)
    [Response In: 1852]
    Transaction ID: 0x241a
    Flags: 0x0100 (Standard query)
        0... .... .... .... = Response: Message is a query
        .000 0... .... .... = Opcode: Standard query (0)
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...1 .... .... = Recursion desired: Do query recursively
        .... .... .0.. .... = Z: reserved (0)
        .... .... ...0 .... = Non-authenticated data OK: Non-authenticated data is unacceptable
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        www.google.com: type A, class IN
            Name: www.google.com
            Type: A (Host address)
            Class: IN (0x0001)

Al igual que cualquier elemento de la red que admite el toque / volcado del tráfico de la interfaz, un IP puede ver estas solicitudes en su red. Todo lo que deben hacer es asignar esa solicitud a su dirección IP y se está realizando un seguimiento de toda su actividad. Esto puede llamarse metadata y reenviarse a la policía.

Para mitigar esto, use los servidores OpenDNS y aplique DNSCrypt . Funciona de manera similar a HTTPS y SSL, pero para el tráfico UDP y TCP DNS.