Comment ça va les khey ? Alors petit tuto ludique pour contourner la censure DNS et (notamment l'interception DNS).
Vous connaissez sans doute la technique : "Change de DNS, met le 8.8.8.8 de Google, ou le 1.1.1.1 de Cloudflare", hors, ça n'empêche un intermédiaire de voir le site que vous essayez de joindre. Certes, la réponse (en France du moins) sera la vrai ip du site, mais elle sera aussi connu de votre opérateur et donc, du gouvernement dans certains cas.
Il existe certains pays, même en Europe, qui vont modifier la réponse, ou même complétement "casser" vos requêtes, vous obtiendrez un truc qui ne marchera pas.
Parlons technique (a skip si vous voulez juste mettre le DoH) :
Prenons un exemple de site censuré Russia Today : français.rt.com
Je fais le test depuis un
Si vous faites un résolution DNS vers les DNS votre opérateur ou de votre box (ci-dessous), vous obtiendrez un mesonge :
Maintenant, si vous essayez avec les DNS de Google (ou cloudflare), vous obtenez la vrai réponse ... Cependant, la requête étant en clair, votre opérateur la voie que vous avez demandé RT, même en changeant le DNS c'est en clair :
Maintenant, en faisant du DNSSEC (on va pas aller dans les détail, mais le problème d'implementation du DNSSEC font que la plupart des navigateurs ou resolveur suivent pas la norme, donc ne donne pas la vrai réponse, même si en théorie, le protocole est securisé mais ne respecte pas la vie privé, pour plus d'explication technique :
https://www.bortzmeyer.org/uptobox-orange.html ).
Par contre, avec Cloudflare ça marche :
Enfin, nous allons toucher le Gral ! Le DoH qui garantit le respect de votre vie privé et permet de contourner la censure (mais calmos, c'est pas un vpn non plus).
On obtient donc la vrai IP du site, qu'est ce qu'on a fait ?!
- En fait, les autres requètes sont sur le port UDP/TCP 53, c'est à dire le -vrai- DNS. Si on passe par les DNS de notre opérateur (notre box, ou le dns data-mobile), on aura un mensonge, même sur le DNSSEC soit disant sécurisé.
- Si on passe par les DNS de cloudflare (ou google, mais fuck les GAFAM), on a la vrai réponse, mais vu que c'est en clair, on peut très avoir quelqu'un au milieu qui enregistre ce que vous faites, ou même qui altère la réponse. Par contre, le DNSSEC passe bien !
- Mais le Gral, c'est le DoH, car vous passez sur le port 443 (HTTPS) comme tout l'internet, en plus d'être noyé dans la masse, vos requètes sont chiffré par TLS (HTTPS : S = TLS).
Pour Firefox, on va forcer le DoH, et uniquement le DoH (le modop que je donne est à jour de la dernière version de firefox) :
- Menu d'application (en haut à droite) > Paramètres > Vie Privée et Sécurité
- DNS via HTTPS > Protection Maximale > Choisissez (Cloudflare est bien, et je vous donne aussi celui-ci en bonus :
https://dns9.quad9.net/dns-query )
Pour les autres navigateurs, c'est ici (et pas forcement à jour) :
https://www.it-connect.fr[...]tps-dans-les-navigateurs/
Ok, mais pour ce qui n'utilise pas un navigateur, ça sera toujours en clair (genre torrent ou autre) ...
Eh oui, mais là aussi, je vous dis comment forcer Windows (car vous êtes surement sur Windows) à faire du DoH :
"Rechercher" : Param
Vous cliquez sur Paramètres (un roue denté)
Réseau et Internet :
(là soit Wifi, ou Ethernet, depend comment vous êtes connecté)
Wifi > Propriété du Matériel >
Puis enfin, on met le DoH (perso, je combine cloudflare et quad9)
Bah il n'est pas implementé dans systemd, donc vous devrez plutôt :
- Soit installer votre propre resolveur local qui fera le boulot de passer vos requètes en DoH vers Internet (par exemple :
https://github.com/albert[...]nss/blob/master/README.md , sinon plus complexe, powerdns, unbound, bind9 )
- Soit le DoT (DNS over TLS, en gros, c'est très proche du DoH, sans la couche "HTTP", du DNS dans du TLS), en gros, vous faites comme ça : (
https://fedoramagazine.org/use-dns-over-tls/ )
- Soit le DoQ (DNS over QUIC, encore assez rare, en gros c'est dus DNS, dans du QUIC, qui lui même est une sorte de HTTP sur UDP).
Voilà, je ferais éventuellement un bonus sur "comment être sur à 100% qu'on utilise bien du DNS classique, DNSSEC, DoH, DoT, DoQ", avec tcpdump ou wireshark.
Et également, si vous avez des questions !
Vous connaissez sans doute la technique : "Change de DNS, met le 8.8.8.8 de Google, ou le 1.1.1.1 de Cloudflare", hors, ça n'empêche un intermédiaire de voir le site que vous essayez de joindre. Certes, la réponse (en France du moins) sera la vrai ip du site, mais elle sera aussi connu de votre opérateur et donc, du gouvernement dans certains cas.
Il existe certains pays, même en Europe, qui vont modifier la réponse, ou même complétement "casser" vos requêtes, vous obtiendrez un truc qui ne marchera pas.
Parlons technique (a skip si vous voulez juste mettre le DoH) :
Prenons un exemple de site censuré Russia Today : français.rt.com
Je fais le test depuis un
Si vous faites un résolution DNS vers les DNS votre opérateur ou de votre box (ci-dessous), vous obtiendrez un mesonge :
Vous devez être au niveau 1 pour voir ce message.
Maintenant, si vous essayez avec les DNS de Google (ou cloudflare), vous obtenez la vrai réponse ... Cependant, la requête étant en clair, votre opérateur la voie que vous avez demandé RT, même en changeant le DNS c'est en clair :
Vous devez être au niveau 1 pour voir ce message.
Maintenant, en faisant du DNSSEC (on va pas aller dans les détail, mais le problème d'implementation du DNSSEC font que la plupart des navigateurs ou resolveur suivent pas la norme, donc ne donne pas la vrai réponse, même si en théorie, le protocole est securisé mais ne respecte pas la vie privé, pour plus d'explication technique :
Vous devez être au niveau 1 pour voir ce message.
Par contre, avec Cloudflare ça marche :
Vous devez être au niveau 1 pour voir ce message.
Enfin, nous allons toucher le Gral ! Le DoH qui garantit le respect de votre vie privé et permet de contourner la censure (mais calmos, c'est pas un vpn non plus).
Vous devez être au niveau 1 pour voir ce message.
On obtient donc la vrai IP du site, qu'est ce qu'on a fait ?!
- En fait, les autres requètes sont sur le port UDP/TCP 53, c'est à dire le -vrai- DNS. Si on passe par les DNS de notre opérateur (notre box, ou le dns data-mobile), on aura un mensonge, même sur le DNSSEC soit disant sécurisé.
- Si on passe par les DNS de cloudflare (ou google, mais fuck les GAFAM), on a la vrai réponse, mais vu que c'est en clair, on peut très avoir quelqu'un au milieu qui enregistre ce que vous faites, ou même qui altère la réponse. Par contre, le DNSSEC passe bien !
- Mais le Gral, c'est le DoH, car vous passez sur le port 443 (HTTPS) comme tout l'internet, en plus d'être noyé dans la masse, vos requètes sont chiffré par TLS (HTTPS : S = TLS).
Mais comment ça se configure pour mon navigateur ?!! Le DoH VITE !
Pour Firefox, on va forcer le DoH, et uniquement le DoH (le modop que je donne est à jour de la dernière version de firefox) :
- Menu d'application (en haut à droite) > Paramètres > Vie Privée et Sécurité
- DNS via HTTPS > Protection Maximale > Choisissez (Cloudflare est bien, et je vous donne aussi celui-ci en bonus :
Pour les autres navigateurs, c'est ici (et pas forcement à jour) :
Ok, mais pour ce qui n'utilise pas un navigateur, ça sera toujours en clair (genre torrent ou autre) ...
Eh oui, mais là aussi, je vous dis comment forcer Windows (car vous êtes surement sur Windows) à faire du DoH :
Le DoH pour Windows (et les programmes de votre PC, dont torrent) :
"Rechercher" : Param
Vous cliquez sur Paramètres (un roue denté)
Réseau et Internet :
(là soit Wifi, ou Ethernet, depend comment vous êtes connecté)
Wifi > Propriété du Matériel >
Puis enfin, on met le DoH (perso, je combine cloudflare et quad9)
Le DoH pour Linux (même si vous devez déjà savoir faire, nous sommes les élus !):
Bah il n'est pas implementé dans systemd, donc vous devrez plutôt :
- Soit installer votre propre resolveur local qui fera le boulot de passer vos requètes en DoH vers Internet (par exemple :
- Soit le DoT (DNS over TLS, en gros, c'est très proche du DoH, sans la couche "HTTP", du DNS dans du TLS), en gros, vous faites comme ça : (
- Soit le DoQ (DNS over QUIC, encore assez rare, en gros c'est dus DNS, dans du QUIC, qui lui même est une sorte de HTTP sur UDP).
Voilà, je ferais éventuellement un bonus sur "comment être sur à 100% qu'on utilise bien du DNS classique, DNSSEC, DoH, DoT, DoQ", avec tcpdump ou wireshark.
Et également, si vous avez des questions !
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
Pas lu mais je up
Je lis onche tous les jours
Je lis onche tous les jours
Je ne fais confiance qu'à @Joe_Valezy sur ce forum Membre fondateur de la Cosa Nostra, avec Joe et @Paulo
Pas lu mais je up
Je lis onche tous les jours
Je lis onche tous les jours
Cimer khey, j'avoue, c'est un giga pavé, faut avoir du temps
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
GPASLU
Dommage pour toi
Dommage pour toi
GPASLU
Dommage pour toi
Dommage pour toi
Au moins, j'ai pas bide ...
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
J'ai fais des simplifications sur certains points, notamment le QUIC (je vais pas essayer d'expliquer la RFC ou de sortir un pcap).
Mais curieux de savoir si j'ai fais des erreurs khey ?
Mais curieux de savoir si j'ai fais des erreurs khey ?
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
Je précise qu'il s'agit de DNS, ou DoH ect ....
C'est ce que votre navigateur/machine, fait avant de joindre un domaine.
En gros, avec votre navigateur, vous faites (sans le savoir) une requête DNS, puis après votre requête HTTPS pour joindre le site.
Je ferais un topic pour parler du HTTPS, et comment cacher le ServerName HTTPS de votre requète (avec l'ECH), pour les sites compatibles.
Éventuellement, un topic "créer son propre VPN" aussi ...
C'est ce que votre navigateur/machine, fait avant de joindre un domaine.
En gros, avec votre navigateur, vous faites (sans le savoir) une requête DNS, puis après votre requête HTTPS pour joindre le site.
Je ferais un topic pour parler du HTTPS, et comment cacher le ServerName HTTPS de votre requète (avec l'ECH), pour les sites compatibles.
Éventuellement, un topic "créer son propre VPN" aussi ...
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
J'ai pas lu + 1er skyzo
Sympa le topic l'op mais de mon coté ça fait déjà des années que j'ai switch mes DNS sur OpenDNS
Très bon Topic je up + fav
Tu pourrais faire un Tuto pour dl les vidéos YT en local aussi
Tu pourrais faire un Tuto pour dl les vidéos YT en local aussi
NiceParadesu ~
Pourquoi tu fais un tuto de 18000 lignes alors qu'il suffit juste de changer son DNS ?
Très bon Topic je up + fav
Tu pourrais faire un Tuto pour dl les vidéos YT en local aussi
Tu pourrais faire un Tuto pour dl les vidéos YT en local aussi
+1 khey, faut rendre l'informatique accessible à tout le monde.
(Perso, yt-dlp + ffmpeg)
(Perso, yt-dlp + ffmpeg)
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
+1 khey, faut rendre l'informatique accessible à tout le monde.
(Perso, yt-dlp + ffmpeg)
(Perso, yt-dlp + ffmpeg)
Ouais j'ai installé ces trucs mais faire tout en ligne de commande..
NiceParadesu ~
Pourquoi tu fais un tuto de 18000 lignes alors qu'il suffit juste de changer son DNS ?
Bah pour expliquer ce que ça implique :
Par exemple, si tu choisis pas protection maximale, si le DoH est bloqué, tu rebascule en DNS classique sans le savoir, donc ...
Si tu change juste ton DNS, le gouv, l'opérateur ou n'importe qui entre toi et le DNS peut voir sur quel site tu vas.
Puis si tu le change dans la navigateur, tu sera toujours bloquer au niveau des torrent par exemple.
Par exemple, si tu choisis pas protection maximale, si le DoH est bloqué, tu rebascule en DNS classique sans le savoir, donc ...
Si tu change juste ton DNS, le gouv, l'opérateur ou n'importe qui entre toi et le DNS peut voir sur quel site tu vas.
Puis si tu le change dans la navigateur, tu sera toujours bloquer au niveau des torrent par exemple.
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
Bah pour expliquer ce que ça implique :
Par exemple, si tu choisis pas protection maximale, si le DoH est bloqué, tu rebascule en DNS classique sans le savoir, donc ...
Si tu change juste ton DNS, le gouv, l'opérateur ou n'importe qui entre toi et le DNS peut voir sur quel site tu vas.
Puis si tu le change dans la navigateur, tu sera toujours bloquer au niveau des torrent par exemple.
Par exemple, si tu choisis pas protection maximale, si le DoH est bloqué, tu rebascule en DNS classique sans le savoir, donc ...
Si tu change juste ton DNS, le gouv, l'opérateur ou n'importe qui entre toi et le DNS peut voir sur quel site tu vas.
Puis si tu le change dans la navigateur, tu sera toujours bloquer au niveau des torrent par exemple.
Bon je l'ai fait avec firefox du coup c'était rapide en faite
Y a moyen de vérifier si ça fonctionne ?
Y a moyen de vérifier si ça fonctionne ?
Bon je l'ai fait avec firefox du coup c'était rapide en faite
Y a moyen de vérifier si ça fonctionne ?
Y a moyen de vérifier si ça fonctionne ?