鄙人从事安全行业多年, 学习了很多当偷儿(不是), 是抓偷儿的本事, 年过中年深刻明白, 给公司打工拿到的薪水那是自己应得的, 只有摸鱼领到的工资才是自己赚到的。摸鱼有益身心康健自不必多说, 本文重要分享怎样安全的摸鱼。
诸如后窗偷窥, 摄像头扫视, 喝水途经, 假扮保洁偷瞄这类依靠自然光散射的招数略显低级, 真正从容的老板应该躺在老板椅上拿着三折叠奏折就把员工们看个精光, 懂得都懂. 这依靠安全公司提供的各种监控软件。此中 DNS 服务就是一种常见的简单实施, 只需要在路由器的 DHCP 服务中告示自建的 DNS 服务 IP, 然后绑定员工工位和 IP, 这样就能获取员工访问的每个链接了。
HTTPS 推广开来 我们访问的内容不是加密的吗? 事实上上网笼共分三步, 第一步查询域名对应的 ip, 第二步与 IP 协商通讯密钥, 第三步发送加密信息。摸鱼者千算万算不一定算得到此中第一步是未加密的, 这一步可以泄露什么信息呢, 其实就只是域名而已, 很多时候被人听到东京的小号或者加拿大的鼓点, 就已经足够了. 都说摸鱼, 没人会讨论摸的是红鲤鱼还是利捋驴, 这一步泄露的信息是足够的, 知道你在访问 NSFW(Not safe for work)就已经足够.
怎样制止被老板或老板的爪牙抓包, 是我们今世打工人不得不认真面对的标题, 本文分享怎样安全的摸鱼.
自行修改 DNS
由于 DHCP 告示 DNS 只是一种简单的网络检视实施, 我们也可以简单的绕过, 那就是不接受告示, 自行点开网络设置, 修改 DNS 为223.5.5.5, 这是阿里云的 DNS 服务, 污染较少, 也不会被老板怀疑.
可惜的是, UDP:53 是一个非常透明的太古方案, 只需要在上级路由器上设置一个简单规则, 就能把所有的 DNS 请求重定向到预设的 DNS 服务器上, 这样就能轻松的挟制 DNS 请求了.
这条规则是这样的:
- iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination
使用加密 DNS
不同于 HTTPS 加密的是通讯内容, DNS 加密的是通讯的域名, 现今已有 DNS over HTTPS(DoH), DNS over TLS(DoT), DNS over QUIC(DoQ) 等加密方案.
使用加密 DNS 后唯一泄露的信息将只有加密 DNS 服务器的域名.
几大 DNS 服务商均已经支持DoH及DoT, 如 Cloudflare, Google, Quad9, Alibaba, Tencent 等.
下面列举其提供的 DoH 和 DoT 服务地点:
- Cloudflare
- DoH: https://cloudflare-dns.com/dns-query
- DoH: https://one.one.one.one/dns-query
- DoT: tls:///cloudflare-dns.com
- DoT: tls://one.one.one.one
- Google
- DoH: https://dns.google/dns-query
- DoT: tls://dns.google
- Quad9
- DoH: https://dns.quad9.net/dns-query
- DoT: tls://dns.quad9.net
海外的服务器可能会明显影响你的上网速度, 除非特殊需求, 应优先考虑国内的 DNS 服务,国内的 DNS 服务商也提供了加密 DNS 服务:
- Alibaba
- DoH: https://dns.alidns.com/dns-query
- DoT: tls://dns.alidns.com
- Tencent
- DoH: https://doh.pub/dns-query
- DoT: tls://dot.pub
这些免费服务的提供者基本都是广告大户, 用了它们的 DNS, 你的用户画像可能底裤都要画出来, 我会在其它文章分享即使 ip 变化仍能知道"你是你"的方法. 相较之下, 号称"赛博菩萨"的 Cloudflare 可能会稍微好点, 但它是怎样使用用户的 DNS 查询数据我并不相识, 目前只是单纯的比较信托它.
DNS 还能做什么
DNS 作为访问互联网的第一步, 是一个很好的监控点, 除了监控, 它还可以做一些访问控制, 如过滤广告, 拦截伤害网站, 拦截隐私盗取等.
以上公开的 DNS 服务仅提供域名查询, 缺少访问控制, 这是一种应该答应自界说的本事, 每个人的需求不尽雷同, 有的人能忍受一点广告, 有的人一点都忍受不了, 如果广告和内容混用域名, 以致干脆内容都不看了. 另有很多人, 以致无法辨认广告, 看了就看了.
针对讨厌广告的人分享一个提供基础去广告本事的加密 DNS 服务,
- AdGuardPrivate
- DoH: https://public.adguardprivate.com/dns-query
- DoT: tls://public.adguardprivate.com
怎样设置
请先确认您的设备支持DoH或DoT:
- Windows 11 以后的系统已经支持DoH
- macOS Big Sur 以后的系统支持DoH及DoT
- iOS 14 以后的系统支持DoH及DoT
- Android 9 以后的系统支持DoT
- Chromium 79 以后的欣赏器内核版本支持DoH
Android
Android 自 Android 9 以后开始原生支持 DNS over TLS(DoT),2019 年以后的手机都支持。您可以通过以下方法开启:
- 打开设置
- 打开更多毗连
- 打开加密DNS
- 选中指定加密DNS服务, 填入: public.adguardprivate.com
自建 DNS 服务有各种实现方式, 如 Adguard, dnsmasq, clash 等, 只有原生 DoT 是对手机性能开销 0 影响, 它不依靠任何三方应用, 不需要任何权限, 不占用任何资源, 也不会影响手机的电量。所以保举使用原生 DoT 加密 DNS。
Windows
Windows 11 21H2 之后的版本支持原生 Dns over HTTPS(DoH), 您可以通过以下方法开启:
- 打开设置
- 打开网络和Internet
- 打开以太网
- 找到DNS服务器分配, 点击编辑
- 选择手动
- 在首选DNS服务器 IPv4 中填入: 111.229.178.206
- DNS over HTTPS(DoH)选择: 开(手动模板)
- 在DoH模板中填入: https://public.adguardprivate.com/dns-query
- 不要勾选失败时使用未加密请求
- 备选 DNS 服务器您可以选填223.5.5.5(阿里云公共 DNS 服务), DNS over HTTS 关, 勾选失败时使用未加密请求.
iPhone
iOS 14 以上版本支持原生 Dns over HTTPS(DoH)和 DNS over TLS(DoT)加密 DNS, 您可以通过以下方法开启:
- 打开自带欣赏器 Safari, 下载配置文件: dot.mobileconfig
- 打开设置
- 打开通用
- 打开VPN 和设备管理
- 选中安装配置文件
macOS
macOS Big Sur 以上版本支持原生 Dns over HTTPS(DoH)和 DNS over TLS(DoT)加密 DNS, 您可以通过以下方法开启:
- 打开自带欣赏器 Safari, 下载配置文件: dot.mobileconfig
- 打开系统偏好设置
- 打开网络
- 选中VPN 和设备管理
- 选中安装配置文件
Chromium 系欣赏器(79+)
如果不渴望引入系统级的加密 DNS,或者使用的 Windows 10 及以前的版本, 可以只在欣赏器中设置加密 DNS, Chromium 79+的欣赏器版本支持DoH, 以下是 Chromium 系(Chrome/Edge/360/QQ 等)欣赏器的设置方法:
- 打开 Chrome 欣赏器设置
- 打开隐私和安全
- 打开安全
- 滚动到高级
- 打开使用安全 DNS
- 在选择DNS提供商中填入: https://public.adguardprivate.com/dns-query
免责声明
所谓上有政策下有对策, 员工与老板的攻防不会停止, 本文分享了一点不值一提的 DNS 加密技术, 下面分享点更严酷的监控方案. 读者应自行评估公司实力, 选择适合自己的摸鱼方案, 本文作者不对任何因使用本文内容导致的结果负责.
加密 DNS 简直可以隐蔽目标域名, 但是隐蔽不了目的 IP, 如果企业路由有 IP 审计功能, 记录了所有的毗连信息, 然后使用 IP 反查域名, 还是能知道你上了什么网站. 别的, 企业资产安装了企业根证书则可以解密 HTTPS 流量, 自然也可以解密 DoH 流量, 从而知道你访问了什么网站.
署理(包括 DNS 的署理)可以隐蔽真实目的 IP, 但流量审计时能看到与某 IP 交互的流量较多, 企业可能会推测你使用了署理, 如果企业不找你发言, 这简直是最安全的一种摸鱼方式.
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
