Jump to content
  • 70
IgaX

DNS over HTTPS и DNS over TLS

Question

Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS.

Плюсы:

1) Аналог DNSCrypt, но реализация на уровне прошивки;
2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.;
3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий;
4) Поддержка философии открытого интернета и информационной целостности.

Подробности и желательные настройки (для гибкости):
https://developers.google.com/speed/public-dns/docs/dns-over-https

Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации):
https://github.com/behrooza/dnsd

  • Thanks 8
  • Upvote 13

Share this post


Link to post
Share on other sites

Recommended Posts

  • 1

Наткнулся на статью на хабре о том, что появился новый DNS, для тестов прописал его, но, среди прочего там указана поддержка таких фич, как DNS over HTTPs и DNS over TLS.

Стал гуглить, оказывается, что некоторые популярные DNS-серверы уже могут в эти технологии: Google, Cloudflare

Планируется ли реализация этих протоколов на уровне маршрутизатора или может я отстал от жизни и это уже давно реализовано?

Share this post


Link to post
Share on other sites
  • 1
3 часа назад, Александр Рыжов сказал:

Только боюсь, что нужно это будет полутора юзерам, вроде нас.

Смотря как реализовать. Можно было бы сделать подготовленные пресеты, как в разделе "Интернет-фильтры", где уже есть Яндекс и подобные. Через эти пресеты по умолчанию сделать подключение по защищённому протоколу. В таком случае юзер даже не поймёт, что keenetic защищает его от одного из распространённых видов атак. Ну либо это как-то указать в интерфейсе / на коробках / ещё где-то, чтобы все знали, что умеет keenetic без лишних приседаний.

 

Кстати говоря, оказывается, подобный вопрос на форуме уже поднимался:

 

Share this post


Link to post
Share on other sites
  • 1
12 часа назад, Александр Рыжов сказал:

Проверил тестовую сборку, уже терпимо. Не dnsmasq, конечно, и не dncsrypt-proxy v1, но жить можно.


~ # pmap -d `pidof dnsmasq` | grep mapped
mapped: 4920K    writeable/private: 2348K    shared: 0K

~ # pmap -d `pidof dnscrypt-proxy` | grep mapped
mapped: 4088K    writeable/private: 344K    shared: 0K

~ # pmap -d `pidof dnscrypt-proxy2` | grep mapped
mapped: 665516K    writeable/private: 19284K    shared: 0K

ЗЫ Среди новых Кинетиков с USB портом нет девайсов с <128MB RAM, так что ОК.

А размер бинарника сколько?

Share this post


Link to post
Share on other sites
  • 1
2 часа назад, ankar84 сказал:

Тем временем вчера Гугл запустился.

это анонс, а так уже с октября вроде работает. ждем поддержку на кинетиках!

зы у себя на unbound уже поднял. 

Edited by r13
  • Upvote 2

Share this post


Link to post
Share on other sites
  • 1

Поддерживаю. Хотелось бы увидеть поддержку DoH и DoT прошивкой роутера.

Share this post


Link to post
Share on other sites
  • 1
On 5/19/2019 at 6:13 PM, xserg said:

В итоге планируется ли реализация в ближайших релизах ?

Реализовано в версии 3.1.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0

ап, праздники .. сабж нужный, обычный пользователь просто не заметит подмену, а с этим можно не беспокоиться, если клиент не скомпрометирован (фича как массовая прививка)

Share this post


Link to post
Share on other sites
  • 0

Можете просто использовать dnssec в любом доступном DNS-сервере или использовать тот же dnscrypt-proxy.

Для массового применения, IMHO, это экзотика.

 

Hint: Яндекс.ДНС и некоторые другие крупные публичные серверы работают в т.ч. на нестандартных портах.

 

Share this post


Link to post
Share on other sites
  • 0
28 минут назад, Александр Рыжов сказал:

Можете просто использовать dnssec в любом доступном DNS-сервере или использовать тот же dnscrypt-proxy.

Для массового применения, IMHO, это экзотика.

 

Hint: Яндекс.ДНС и некоторые другие крупные публичные серверы работают в т.ч. на нестандартных портах.

 

я то справлюсь, вопрос не в фильтре, а в уверенности.

в общем, если никого не волнует, например, тот же "Не заслуживающий доверия ответ"/"Non-authoritative answer" на тот же nslookup ya.ru 8.8.8.8 и другие вопросы приватности для конечного пользователя по галочке из коробки, то и пофиг, пусть страдают от глубокого фишинга, того же сбора статистики своей активности на базе запросов к dns итп. .. все правильно, колпак должен быть со всех сторон и с дырками, "чтобы всем было удобно".

просто мысли вслух, без всего :)

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, IgaX сказал:

я то справлюсь, вопрос не в фильтре, а в уверенности.

в общем, если никого не волнует, например, тот же "Не заслуживающий доверия ответ"/"Non-authoritative answer" на тот же nslookup ya.ru…

А если выяснится, что действительно никого не волнует?

 

Кучка параноиков в сильном меньшинстве (включая нас с вами) всегда может использовать перечисленные выше средства защиты DNS-трафика. Говорю это как автор пакета dnscrypt-proxy, вошедшего позже в OpenWrt. После нескольких лет его использования перешёл на нестандартные порты Я.DNS.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Александр Рыжов сказал:

А если выяснится, что действительно никого не волнует?

значит, мы зря пытаемся изменить мир к лучшему :)

2 минуты назад, Александр Рыжов сказал:

автор пакета dnscrypt-proxy, вошедшего позже в OpenWrt

не знал, жму руку :1310_thumbsup_tone1::1310_thumbsup_tone1::1310_thumbsup_tone1:

Share this post


Link to post
Share on other sites
  • 0

Что до DNSSEC, то для роутеров это дикий overkill. Так что перечисленные варианты — наше всё.

Просто для понимая: я лишь автор пакета, а не исходного софта. Тупо первым втащил его на роутер.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
59 минут назад, Александр Рыжов сказал:

для роутеров это дикий overkill

не уверен, мысленный эксперимент для домашнего пользователя с кэшированием на типичных клиентах не подтверждает :) .. а так да, для остальных - отдельный ns с dnssec и с доп.кэширующим при необходимости.

Share this post


Link to post
Share on other sites
  • 0

скажем, вариант в лоб для виндового клиента:

1) командная строка под админом;
2) чистка кэша: ipconfig /flushdns
3) запрос на гугл от гугла: nslookup google.com. 8.8.8.8

кэш на клиенте чистый, резолвинг на гугл-днс для гугл-домена, т.е. по паранойе должен придти 100% authoritative answer.

.. но если видим, что даже после этого: "Не заслуживающий доверия ответ", то лично мне по бритве Оккама - это перехват/выдача из неизвестного мне кэша .. за свою сторону я почти уверен, поэтому .. вот такие пироги.

***
для чистоты эксперимента можно посмотреть разницу (и сделать выводы): nslookup google.com. ns1.google.com.

***
"Не заслуживающий доверия ответ" - а так это нормально, когда отвечает кэширующий relay, наверное, все же зря я нагнетаю, извините.

Edited by IgaX

Share this post


Link to post
Share on other sites
  • 0

Также очень нужна функция защиты по DNS (описал свою проблему тут):

Share this post


Link to post
Share on other sites
  • 0
37 минут назад, Евгений Малинин сказал:

может я отстал от жизни и это уже давно реализовано?

ИМХО вы торопитесь жить. Указанные технологии пока лишь проходит обкатку... Согласно спецификаций DOH и DOT...

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Евгений Малинин сказал:

Наткнулся на статью на хабре о том, что появился новый DNS, для тестов прописал его, но, среди прочего там указана поддержка таких фич, как DNS over HTTPs и DNS over TLS.

Суть всего в чем или что вы хотите на пальцах?

Share this post


Link to post
Share on other sites
  • 0
27 минут назад, vasek00 сказал:

Суть всего в чем или что вы хотите на пальцах?

Суть в общении с dns-сервером по шифрованное протоколу. Это обеспечивает дополнительную безопасность от атак man-in-midle.

Тот же провайдер не сможет перехватить на уровне dns обращение к каким-либо ресурсам.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Евгений Малинин сказал:

Суть в общении с dns-сервером по шифрованное протоколу. Это обеспечивает дополнительную безопасность от атак man-in-midle.

Тот же провайдер не сможет перехватить на уровне dns обращение к каким-либо ресурсам.

Давно уже описано и реализовано при установленном Entware и пакете dnscrypt-proxy тут же на форуме.

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, vasek00 сказал:

Давно уже описано и реализовано при установленном Entware и пакете dnscrypt-proxy тут же на форуме.

Надо почитать про это, спасибо. 

Итем не менее для большинства пользователей это недоступно и ставить entware и настраивать его они не станут, а поставить галочку в веб-интерфейсе вполне смогут.

Share this post


Link to post
Share on other sites
  • 0
51 минуту назад, Евгений Малинин сказал:

Надо почитать про это, спасибо. 

Итем не менее для большинства пользователей это недоступно и ставить entware и настраивать его они не станут, а поставить галочку в веб-интерфейсе вполне смогут.

Да возможно, только я не встречал на роутере в базе до конца 2017г. такую поддержку, да и то только на базе dnsmasq dnssec или dnscrypt-proxy (на *WRT).

Вопрос только в том что нужно ли это большинству пользователей в базе.

Share this post


Link to post
Share on other sites
  • 0

dnscrypt-proxy второй версии переписан на GO и стал требовать непомерных для embedded-устройств ресурсов. А жаль, потому что в нём появилась поддержка DoH.

DNSsec на роутере — откровенный overkill.

В этих условиях действительно видится выходом использование клиентов и серверов, удовлетворяющих драфту соответствующего RFC. Только боюсь, что нужно это будет полутора юзерам, вроде нас.

Кроме этого, даже при использовании stubby из Entware, будет невозможно совмещать возможности прошивочного резолвера и установленного пакета без дурных кульбитов с iptables.

Share this post


Link to post
Share on other sites
  • 0
11 час назад, Александр Рыжов сказал:

dnscrypt-proxy второй версии переписан на GO и стал требовать непомерных для embedded-устройств ресурсов. А жаль, потому что в нём появилась поддержка DoH.

Можно по подробней, на K-II использую и не заметил - непомерных ресурсов

Цитата

/ # lsof | grep dnscrypt
dnscrypt-   604         root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604         root  rtd       DIR       31,4      202        415 /
dnscrypt-   604         root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604         root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604         root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604         root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604         root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604         root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604         root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604         root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604         root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604         root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   610   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   610   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   610   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   610   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   610   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   610   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   610   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   610   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   610   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   610   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   610   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   610   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   611   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   611   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   611   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   611   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   611   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   611   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   611   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   611   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   611   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   611   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   611   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   611   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   612   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   612   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   612   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   612   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   612   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   612   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   612   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   612   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   612   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   612   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   612   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   612   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   620   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   620   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   620   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   620   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   620   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   620   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   620   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   620   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   620   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   620   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   620   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   620   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   621   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   621   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   621   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   621   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   621   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   621   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   621   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   621   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   621   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   621   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   621   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   621   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   622   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   622   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   622   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   622   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   622   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   622   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   622   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   622   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   622   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   622   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   622   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   622   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   624   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   624   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   624   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   624   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   624   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   624   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   624   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   624   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   624   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   624   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   624   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   624   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604   877   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604   877   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604   877   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604   877   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   877   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   877   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604   877   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604   877   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604   877   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604   877   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604   877   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604   877   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604  1059   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604  1059   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604  1059   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604  1059   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1059   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1059   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1059   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604  1059   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604  1059   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604  1059   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604  1059   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604  1059   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
dnscrypt-   604  1060   root  cwd       DIR        8,2     2048     245763 /opt/etc
dnscrypt-   604  1060   root  rtd       DIR       31,4      202        415 /
dnscrypt-   604  1060   root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2
dnscrypt-   604  1060   root    0r      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1060   root    1w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1060   root    2w      CHR        1,3      0t0       1048 /dev/null
dnscrypt-   604  1060   root    3w      REG        8,2     8432      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-   604  1060   root    4u  a_inode        0,7        0          6 [eventpoll]
dnscrypt-   604  1060   root    5u     IPv4       3131      0t0        UDP 127.0.0.2:65153
dnscrypt-   604  1060   root    6u     IPv4       3132      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-   604  1060   root    7r      CHR        1,9      0t0       1065 /dev/urandom
dnscrypt-   604  1060   root    8w      REG        8,2   186857      10470 /opt/tmp/query.log
/ #

/ # netstat -ntulp | grep dnscrypt
tcp        0      0 127.0.0.2:65153         0.0.0.0:*               LISTEN      604/dnscrypt-proxy2
udp        0      0 127.0.0.2:65153         0.0.0.0:*                           604/dnscrypt-proxy2
/ #

Mem: 109672K used, 16508K free, 212K shrd, 16272K buff, 50780K cached
CPU:  0.0% usr  0.0% sys  0.0% nic  100% idle  0.0% io  0.0% irq  0.0% sirq
Load average: 0.02 0.01 0.00 2/97 11075
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
11075 11061 root     R     3812  3.0   0  0.0 top
  604     1 root     S     649m525.8   0  0.0 dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml
  155     1 root     S    30632 24.2   1  0.0 ndm

Впроцессе работы

  1  [|||                                                             3.2%]   Tasks: 26, 42 thr; 1 running
  2  [|||                                                             2.6%]   Load average: 0.00 0.00 0.00
  Mem[||||||||||||||||||||||||||||||||||||||||||||||||||||||||||37.4M/123M]   Uptime: 1 day, 11:56:52
  Swp[                                                               0K/0K]

  PID USER      PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
...

  604 root       20   0  649M  5988  3696 S  0.0  4.7  1:02.38 dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml
 1060 root       20   0  649M  5988  3696 S  0.0  4.7  0:10.65 dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml
...

  622 root       20   0  649M  5988  3696 S  0.0  4.7  0:07.43 dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0
1 час назад, vasek00 сказал:

Можно по подробней, на K-II использую и не заметил - непомерных ресурсов

 

Проверил тестовую сборку, уже терпимо. Не dnsmasq, конечно, и не dncsrypt-proxy v1, но жить можно.

~ # pmap -d `pidof dnsmasq` | grep mapped
mapped: 4920K    writeable/private: 2348K    shared: 0K

~ # pmap -d `pidof dnscrypt-proxy` | grep mapped
mapped: 4088K    writeable/private: 344K    shared: 0K

~ # pmap -d `pidof dnscrypt-proxy2` | grep mapped
mapped: 665516K    writeable/private: 19284K    shared: 0K

ЗЫ Среди новых Кинетиков с USB портом нет девайсов с <128MB RAM, так что ОК.

Share this post


Link to post
Share on other sites
  • 0

Ну если только значение mapped как  "непомерные ресурсы"

Mem[||||||||||||||||||||||||||||||||||||||||||||||||||||||||||37.4M/123M]   Uptime: 1 day, 11:56:52
/proc/604 # cat status
Name:   dnscrypt-proxy2
State:  S (sleeping)
Tgid:   604
Pid:    604
PPid:   1
TracerPid:      0
Uid:    0       0       0       0
Gid:    0       0       0       0
FDSize: 32
Groups: 
VmPeak:   665264 kB
VmSize:   665264 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:      7928 kB
VmRSS:      5920 kB
VmData:   658208 kB
VmStk:       136 kB
VmExe:      4028 kB
VmLib:         0 kB
VmPTE:        32 kB
VmSwap:        0 kB
Threads:        11
SigQ:   2/983
SigPnd: 00000000000000000000000000000000
ShdPnd: 00000000000000000000000000000000
SigBlk: fffffffffffffffffffffffe6fbdb000
SigIgn: 00000000000000000000000000800000
SigCgt: fffffffffffffffffffffffe783ffeff
CapInh: 0000000000000000
CapPrm: ffffffffffffffff
CapEff: ffffffffffffffff
CapBnd: ffffffffffffffff
Cpus_allowed:   3
Cpus_allowed_list:      0-1
voluntary_ctxt_switches:        17
nonvoluntary_ctxt_switches:     108
/proc/604 # 

VmPeak пиковое значение использования виртуальной памяти, основным показателем тут будет 
VmLck:         0 kB
VmRSS:      5920 kB
VmStk:       136 kB

/proc/604 # cat maps
00010000-003ff000 r-xp 00000000 08:02 2257       /opt/sbin/dnscrypt-proxy2
00400000-00697000 r--p 003f0000 08:02 2257       /opt/sbin/dnscrypt-proxy2
006a0000-006dc000 rw-p 00690000 08:02 2257       /opt/sbin/dnscrypt-proxy2
006dc000-006f1000 rwxp 00000000 00:00 0 
00f00000-00f13000 rw-p 00000000 00:00 0 
00f13000-086b0000 ---p 00000000 00:00 0 
086b0000-09500000 rw-p 00000000 00:00 0          [stack:610]
09500000-29002000 ---p 00000000 00:00 0 
774fa000-776aa000 rw-p 00000000 00:00 0 
7fd39000-7fd5a000 rw-p 00000000 00:00 0          [stack]
7ffff000-80000000 r-xp 00000000 00:00 0          [vdso]
/proc/604 # 

Не пробовал отдельно dnscrypt-proxy что v1/v2 без dnsmasq тут сказать не чего не могу, но в связке dnsmasq + dnscrypt-proxy работают на ура. Да еще и v2

Цитата

So, the servers are sorted from quickest to slowest. The load balancing is done using that list.
You have a choice of 4 different ranges/sets from which to choose the server that will next be queried. The server is choosen randomly inside that set.

The 4 possible values of the lb_strategy parameter are:

fastest (always pick the fastest server in the list)
p2 (randomly choose between the top 2 fastest servers)
ph (randomly choose between the top fastest half of all servers)
random (just pick any random server from the list)
This setting is a string, so you use lb_strategy = 'p2' in the configuration file.

The default strategy is p2 so dnscrypt-proxy will pick one of the two fastest servers. It will compare how fast that server was with a randomly choosen server and if that random server
is faster, the random server will move up. The same is true for all strategies - random servers will move up in the list when they are faster than the server that was just queried.

 

## Load-balancing strategy: 'p2' (default), 'ph', 'fastest' or 'random'

# lb_strategy = 'p2'

 

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...