| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 6 мес.
Сообщений: 5667
Ratio: 25.234
Поблагодарили: 13352
100%
|
 TL;DR: DNS-резолвер в Windows 10 отправляет запросы на все известные системе адреса DNS-серверов параллельно, привязывая запрос к интерфейсу, и использует тот ответ, который пришел быстрее. В случае, если вы используете DNS-сервер из локального сегмента, такое поведение позволяет вашему провайдеру или злоумышленнику с Wi-Fi-точкой подменять записи DNS, даже если вы используете VPN. Современные версии Windows добавляют головные боли активным пользователям VPN. DNS-резолвер до Windows 7 включительно имел предсказуемое поведение, совершая запросы к DNS-серверам в порядке очереди и приоритета DNS-серверов, в общем-то, как и все остальные ОС. Это создавало так называемый DNS Leak (утечка DNS-запроса через внешний интерфейс при подключенном VPN) только в том случае, если DNS-сервер внутри VPN-туннеля не ответил вовремя, или ответил ошибкой, и, в целом, не являлось такой уж вопиющей проблемой. Windows 8С выходом Windows 8, Microsoft добавила весьма интересную функцию в DNS-резолвер, которая, как я могу судить по Google, осталась совершенно незамеченной: Smart Multi-Homed Name Resolution. Если эта функция включена (а она включена по умолчанию), ОС отправляет запросы на все известные ей DNS-серверы на всех сетевых интерфейсах параллельно, привязывая запрос к интерфейсу. Сделано это было, вероятно, для того, чтобы уменьшить время ожидания ответа от предпочитаемого DNS-сервера в случае, если он по каким-то причинам не может ответить в отведенный ему таймаут (1 секунда по умолчанию), и сразу, по истечении таймаута, отдать ответ от следующего по приоритету сервера. Таким образом, в Windows 8 и 8.1 все ваши DNS-запросы «утекают» через интернет-интерфейс, позволяя вашему провайдеру или владельцу Wi-Fi-точки просматривать, на какие сайты вы заходите, при условии, что ваша таблица маршрутизации позволяет запросы к DNS-серверу через интернет-интерфейс. Чаще всего такая ситуация возникает, если использовать DNS-сервер внутри локального сегмента, такие DNS поднимают 99% домашних роутеров. Данную функциональность можно отключить, добавив в ветку реестра: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClientПараметр типа DWORD с названием: DisableSmartNameResolutionи любым значением, отличным от нуля, что возвращало старое поведение резолвера. Windows 10Хоть Windows 8 и 8.1 отправляли все ваши запросы без вашего ведома через публичный интерфейс, совершить подмену DNS-ответа таким образом, чтобы перенаправить вас на поддельный сайт, было проблематично для злоумышленника, т.к. ОС бы использовала подмененный ответ только в том случае, если не удалось получить правильный ответ от предпочитаемого DNS-сервера, коим является сервер внутри шифрованного туннеля. Все изменилось с приходом Windows 10. Теперь ОС не только отправляет запрос через все интерфейсы, но и использует тот ответ, который быстрее пришел, что позволяет практически всегда вашему провайдеру перенаправить вас на заглушку о запрещенном сайте или злоумышленнику на поддельный сайт. Более того, способ отключения Smart Multi-Homed Name Resolution, который работал в Windows 8.1, не работает на новой версии. Единственный приемлемый (хоть и не самый надежный) способ решения проблемы — установить DNS на интернет-интерфейсе вне локального сегмента, например, всем известные 8.8.8.8, однако, он не поможет в случае с OpenVPN. Для OpenVPN единственным (и некрасивым) решением является временное отключение DNS на интернет-интерфейсе скриптами. UPD: ранее в статье рекомендовалось использовать параметр redirect-gateway без def1 для OpenVPN. Оказывается, Windows возвращает маршрут по умолчанию от DHCP-сервера при каждом обновлении IP-адреса, и через какое-то время весь ваш трафик начинал бы ходить в обход VPN. На данный момент, красивого решения не существует. UPD2: Я написал плагин. UPD3: Windows 10, начиная с Creators Update, теперь отправляет DNS-запросы на все известные адреса DNS-серверов по порядку, а не параллельно, начиная со случайного интерфейса. Чтобы повысить приоритет конкретного DNS, необходимо уменьшить метрику интерфейса. Сделал патч для OpenVPN, надеюсь, его включат в 2.4.2: https://sourceforge.net/p/openvpn/mailman/message/35822231/UPD4: Обновление вошло в OpenVPN 2.4.2. Источник (ValdikSS на Хабре) |
|
|
 |
Black_Overlord
Uploader 300+
Стаж: 17 лет 2 мес.
Сообщений: 4053
Ratio: 413.228
Раздал: 395.2 TB
Поблагодарили: 26895
100%
Откуда: Екатеринбург
|
Я так понимаю, опасность от данной особенности может быть исключительно в каких-нибудь неизвестных сетях, типа халявных вайфаев в кафе. Но ведь там и раньше безопасность была чуть меньше чем никакая. Так что к чему весь шум? |
|
|
|
|
MelomenOne
Стаж: 12 лет 5 мес.
Сообщений: 256
Ratio: 3.742
Поблагодарили: 1
100%
|
| Цитата: | После всех этих статей и обзоров, возникает ощущение, что Windows 10 - это троян с интерактивной графической оболочкой. |
На создание такого впечатления эти обзоры и статьи как раз таки и направлены. |
|
|
|
|
silvercord
Стаж: 15 лет 8 мес.
Сообщений: 111
Ratio: 0.703
14.52%
|
Почитал комменты -> Если "Восьмёрку" можно сравнить с "Вистой", то финальную "Десятку" с "Семёркой". Пока что, это самая быстрая ОСь, которую я когда - либо юзал. Впечатления только положительные и никаких косяков, что даже странно... Хотя есть один косяк...
Если предварительно не сделать установку ОСи через службу обновлений, "прописав" своё железо на сервере обновлений Microsoft, то чистая установка даже с лицензионным ключём не прокатит. |
|
|
|
|
PhYuri
Олигарх+
Стаж: 10 лет 10 мес.
Сообщений: 244
Ratio: 71.438
Раздал: 10.66 TB
100%
Откуда: Far East
|
sailorxakep писал(а):  | После всех этих статей и обзоров, возникает ощущение, что Windows 10 - это троян с интерактивной графической оболочкой.  |
Ага, жирный такой троян гиг на 20 на диске c:  |
_________________ |
|
|
|
sailorxakep
Стаж: 12 лет 2 мес.
Сообщений: 754
Ratio: 40.266
Раздал: 9.487 TB
Поблагодарили: 512
100%
Откуда: с корабля Куда: на бал
|
| MelomenOne писал(а): | | Цитата: | После всех этих статей и обзоров, возникает ощущение, что Windows 10 - это троян с интерактивной графической оболочкой. |
На создание такого впечатления эти обзоры и статьи как раз таки и направлены. |
Хорошо. Подойдём к вопросу с другой стороны. А кому и для чего может быть выгодна дискредитация продукции Microsoft? Я, как пользователь Linux и Windows, могу сказать, что полноценной замены Windows и специфичному ПО под неё - нет. Раз нечего предложить равноценного по соотношению цена/качество/дружелюбность к пользователю/поддержка/софт и т.п., то для чего тогда нужны подобные заказные статьи, если допустить, что они действительно заказные? Не видя на рынке полностью конкурентоспособного продукта, я не понимаю для чего может проводиться кампания против Microsoft. А раз так, то я в большей степени допускаю, что подобные статьи небезосновательны. Или я что-то упустил? Поправьте меня, если видите "общую картину" иначе. |
|
|
|
|
milliarder333
Стаж: 11 лет
Сообщений: 72
Ratio: 86.403
100%
|
всё это гугол проклятые слухи распускает! НЕ ВЕРЬТЕ! Винда - это наше всё, как играть то?!!! в линукс через эмулятор эмулироватьвиндовс? ха.. нее
а у гугла нет дирекст Х 12! поэтому графика в играх на андроид никогда не дотягивает до виндовс потому что все дело в директ икс! он просто лапочка, особенно 12-й, скрещенный с АМД мантл.
А еще скайп то же классно, мы с одноклассницами мас.. уу '' ну по скайпу мы дружим тесно. Так что скайп то же это лучшее что есть для чата.
Не гонте на винду, там всё супер!
пс. а по теме, буду следить я уверен пофиксят если это на самом деле правда! Винда она зреет постепенно но когда созревает становится просто вкусная и сладкая и работает идеально |
_________________
Кредо: Люблю NNM! Не безгрешен. Банить\кляпать - бесполезно... все равно зерегистрирую новый акк, но уже не буду раздавать. Прошу относиться с пониманием.
|
|
|
|
Igor Al
Стаж: 14 лет 2 мес.
Сообщений: 145
Ratio: 0.991
0.67%
|
| EvilTwin писал(а): | В общем, забавно смотреть как дяди вселяют в разум людей ту мысль, которая им удобно. Я не говорю, что Windows 10 хорошо или плоха, я говорю, что любой софт кривой и глючный, не бывает идеальных ОС. Нужно понимать это и не покупаться на любые пиарновсти в интернете. |
Все верно... |
|
|
|
|
kiriss
Стаж: 15 лет 5 мес.
Сообщений: 146
Ratio: 22.983
Раздал: 50.73 TB
1.24%
|
Я вообще не понимаю в чём тут паника???Вы думаете раньше не следили???Да следили и явно не только они....А говорить что 10....ну может вы её так умело поставили своими ручонками.....лично я ставил на ломаную 7,без формата системы,оставив всё как было в 7....у меня всё летает,ничего не гудит и не жрёт....10 на мой взгляд гораздо удачней 7.......а как раньше ныли когда не хотели с хрюши на семку слазить???Пока поддержку хрюши не закрыли:))))))) |
|
|
|
|
JonBJ
Стаж: 18 лет 6 мес.
Сообщений: 493
Ratio: 1.739
Поблагодарили: 52
100%
|
| Deadmen писал(а): | Ноутбук и так тормозит но нет же ему надо десятку поставить чтобы папки по 60 лет открывались |
Хоть я сам и маковод, но насчёт быстроты и ресурсоёмкости я бы с тобой не согласился. Поставил Win 10 на Пентиум 4 с 2 Гб ОЗУ - не скажу, что прям летает, но работает шустро и уверенно... сам удивился! А на счёт её сырости - полностью согласен. Через годик-два допилят они её, и можно ставить) |
_________________
i7-12700K / GIGABYTE Z690 UD AX DDR5 / Kingston Fury Beast DDR5 5200 MHz 16Gb / Gigabyte Aorus, M.2, PCIe 4.0 1000Gb / Toshiba Surveillance S300 6Tb / ASUS RTX 3060 Ti TUF Gaming OC V2 8Gb / be quiet! Dark Rock PRO 4
|
|
|
|
dimmas
Стаж: 18 лет 4 мес.
Сообщений: 370
Ratio: 90.818
Поблагодарили: 448
100%
|
У меня дома стоит маршрутизатор Mikrotik, который поднимает VPN для всей локальной сети и сам рулит что пускать напрямую через провайдера, а что через VPN. Ну и DNS-сервер в нем свой, который для клиентов локалки единственный.
Дороговато он выходит по сравнению со всякими тупулинками, зато по функционалу легко переплевывает любой домашний маршик. |
|
|
|
|
Didier
ИгроКлуб, Uploader 100+
Стаж: 18 лет 6 мес.
Сообщений: 634
Ratio: 72.137
100%
Откуда: Novosibirsk
|
| dimmas писал(а): | Дороговато он выходит по сравнению со всякими тупулинками, зато по функционалу легко переплевывает любой домашний маршик. |
Да не так уж и дорого, даже если упираться в курс доллара. То же стоит Микротик, и никакой другой SOHO роутер в данной ценовой категории и близко не сравнится. |
|
|
|
|
firstname9
Стаж: 16 лет 7 мес.
Сообщений: 2058
Ratio: 213.38
Раздал: 13.48 TB
11.46%
|
У меня на DNS leak test и на win 8.1 при используемом VPN'е (OpenVPN, как раз, задействован) ничего, по сути, не утекает-не просачивается, исключительно только те сервера, которые указаны в локальном BIND'е, провайдерские DNS-сервера не используются вообще и, тем более, не получают информацию обо мне при включённом VPN'е. Получается, сведения о посещаемых мною страничках есть у прописанных в BIND'е OpenDNS, отдельных серверов OpenNIC и у приватных DNS-серверов VPN-сервиса. В Viscosity, клиенте VPN в качестве DNS прописан, как раз, локальный BIND и всё работает. Формально с локальным BIND'ом можно, вообще, отключить службы системного DNS-клиента (я практиковал такое и работало) или даже DHCP, но будут проблемы, например, с системным файрволом, IPv6 и т.д. |
|
|
|
|
EvilTwin
Стаж: 14 лет 5 мес.
Сообщений: 314
Ratio: 101.188
Раздал: 96.53 TB
Поблагодарили: 915
100%
Откуда: Из леса вестимо...(с)
|
| sailorxakep писал(а): | | MelomenOne писал(а): | | Цитата: | После всех этих статей и обзоров, возникает ощущение, что Windows 10 - это троян с интерактивной графической оболочкой. |
На создание такого впечатления эти обзоры и статьи как раз таки и направлены. |
Хорошо. Подойдём к вопросу с другой стороны. А кому и для чего может быть выгодна дискредитация продукции Microsoft? Я, как пользователь Linux и Windows, могу сказать, что полноценной замены Windows и специфичному ПО под неё - нет. Раз нечего предложить равноценного по соотношению цена/качество/дружелюбность к пользователю/поддержка/софт и т.п., то для чего тогда нужны подобные заказные статьи, если допустить, что они действительно заказные? Не видя на рынке полностью конкурентоспособного продукта, я не понимаю для чего может проводиться кампания против Microsoft. А раз так, то я в большей степени допускаю, что подобные статьи небезосновательны. Или я что-то упустил? Поправьте меня, если видите "общую картину" иначе. |
Вы мыслите слишком просто, сложно сказать кому выгодно, но то что Windows 10 одна из самых успешных ОС от Microsoft после Win7 - это однозначно! А дальше большая игра (никто не говорит что Виндовс можно заменить) в которой 1% это миллиарды долларов. Но еще раз повторюсь, все ОС шалили и имели дыры в безопасности, все глючили но никого так не чернят как Windows 10. Значит это кому-то выгодно. |
_________________
Ё калЭ мЭнЭ!
Все бабаи кроме Я!
|
|
|
|
nnmclublove
Стаж: 14 лет 9 мес.
Сообщений: 96
Ratio: 7.486
100%
|
Windows 10 - Это курятник построенный хитрой лисой. А зачем ??? Ну тут можно долго и упорно рассуждать ... Останусь при своём мнении ! Занавес . |
|
|
|
|
databiz
Стаж: 12 лет 11 мес.
Сообщений: 124
Ratio: 5.126
Поблагодарили: 944
100%
|
Не зря говорят что очередная версия Винды становиться нормальной когда выходит хотя бы первый сервис-пак. |
|
|
|
|
|
|
|
