한동숙 0

ESNI를 사용하기 위한 조건

- 접속하려는 사이트가 클라우드플레어를 사용할 것

클라우드플레어를 사용하는지 확인하고 싶으면 주소 뒤에 

 /cdn-cgi/trace를 붙여보면 됨

예를 들어 나무위키의 경우

https://namu.wiki/cdn-cgi/trace

뭐가 뜨면 클라우드플레어를 사용 중인것.

참고로 파폭에서 접속하면 sni=encrypted 라는 문자가 뜸

방법1) 정식버전 65 파이어폭스 설정-네트워크설정-HTTPS를 통한 DNS를 사용 하도록 설정 이것만 해도 된다고 합니다.

① 

아래의 사이트에들어가서 파이어폭스(Nightly)를 받을것! 

https://www.mozilla.org/ko/firefox/channel/desktop/

옛날엔 Nightly로 했지만 요즘은 파이어폭스 정식버전 64.0 이상이면 됨

혹시 정식버전이 안되시는 분은 나이틀리 ㄱ

그다음 

② 

Firefox를 실행하고 주소창에 about:config  라고 적어주고.

그다음 

③ 

주소창 아래의 검색창에 network.security.esni.enabled 라고 친 다음에.

network.security.esni.enabled 항목을 더블 클릭하여 true로 바꿔주도록 해.

그다음

④ 

주소창에 network.trr.mode 를 입력하여 해당 메뉴를 검색하여 값을 2나 3으로 바꿔줘.

일단 2로 설정해놓고 있어! 권장사항은 2니까!

근데 후술할 Cloudflare ESNI Checker 사이트에서 DNSSEC 항목이 실패로 나오면 3으로 바꿔주면 돼

그다음

⑤ 

network.trr.uri 라는 요뇨속도 바꿔줘야하는데 통상적으로 https://mozilla.cloudflare-dns.com/dns-query 값으로 설정되어 있네?

그럼 패스

만약 비어있다? 이 중에 하나로 아무거나 적어.
https://mozilla.cloudflare-dns.com/dns-query
https://dns.google.com/experimental
https://cloudflare-dns.com/dns-query
https://dns.cloudflare.com/.well-known/dns-query
https://doh.cleanbrowsing.org/doh/family-filter/
https://dns.dnsoverhttps.net/dns-query
https://doh.crypto.sx/dns-query
https://doh.securedns.eu/dns-query 

그다음

⑥ 

설정 다 했는데도 잘 안된다?

network.trr.bootstrapAddress 의 값도 1.1.1.1 로 바꿔보도록 해!

그다음

⑦ 

모든 크롬, 익스플로러, 파이어폭스 종료뒤! 다시 파이어폭스 시작!

그뒤에 여기에들어가서 Check My Browser 클릭! 

https://www.cloudflare.com/ssl/encrypted-sni/

4가지항목 전부 초록색이면 OK!  Nightly로 했을때 DNSSEC가 x여도 된다고 합니다

뭐 굳이 안해도되지만 다확인했으면 다시한번 모든 브라우저 종료하고 다시 켜봐! 

안드로이드도 똑같이 ㄱ

안된다면 점검할 것들

1)내가 설치한 파이어폭스가 최신버전이 맞는가?

2)Doh(1~6번 설정한 것들)를 적용했는가?

3)혹시 파이어폭스의 업데이트가 올라왔는가?

잠깐 또 안되다가 플레이 스토어에 올라온 업데이트를 받았더니 제대로 작동한다.

PC는 브라우저에서 바로 업데이트를 할 수 있다.

4)ESNI가 정말 true로 설정되어 있는가?

5)Adguard나 프록시를 사용 중인가?

착각하는 사람이 있는데 Adguard를 끄라는 소리다.

6)백신과 충돌하는가? 가끔 백신 때문에 ESNI가 작동하지 않는 경우가 있다. 일단 어베스트는 충돌 현상이 없다.

만약 Doh나 DNSSEC가 작동을 안한다면?

모바일 데이터면 DNSSEC가 작동하지 않는 경우가 있다.

PC면 여기서 시크릿 DNS를

http://kilho.net/archives/various/1803

안드로이드면 Intra라는 어플을 쓰면 된다.

이거 다 했는데 왜 워닝이 떠요?

접속하려는 사이트 주소가 https:// 로 시작하는지 확인하고 들어가자.

가끔 https 자체를 지원하지 않는 미친 사이트가 있다. 그땐 VPN이 답이다.

(무료 vpn 중엔 tunnel bear , Betternet vpn크랙버전 , softether vpn  좋다고 합니다. )

히토미와 폰허브는 ESNI를 지원하지 않는다.

그외 방법

DNS 변조 차단 우회

* DNS는 일종의 인터넷 주소록. 사이트 주소와 그에 대응하는 사이트의 실제 IP가 기록돼있음. 통신사가 가진 이 DNS를 변조를 해서 차단사이트 주소를 입력하면 워닝 페이지로 이동하도록 만듬. 

해결방법1 : DNS 서버 변경

-통신사에서 제공하는 DNS 서버 대신 클라우드플레어에서 제공하는 DNS 서버 (주서버 1.1.1.1 보조서버 1.0.0.1) 또는 구글에서 제공하는 DNS 서버 (주서버 8.8.8.8 보조서버 8.8.4.4)로 변경하는 것. 

윈도우의 경우 [네트워크]->[네트워크 설정]->[이더넷]->[어댑터 옵션 변경]->[이더넷]->[인터넷 프로토콜 버전4(TCP/IPv4)] 더블클릭-> [다음 DNS 서버 주소 사용] 선택 후 위의 두개의 서버중 아무거나 입력

안드로이드 [설정]->[연결]->[와이파이]->사용중인 와이파이 이름 길게 누르고 [네트워크 설정 관리]->[고급 옵션 표시] 체크->DNS 옵션의 위의 두개 서버중 아무거나 입력 /// 혹은 DNS Changer 앱을 받아서 저 두개의 주소중 아무거나 입력

iOS [설정]->[와이파이]->현재 쓰는 와이파이 오른쪽 끝 i 아이콘 클릭->[DNS 구성]->[수동]->기존의 DNS 서버를 삭제하고 추가 버튼을 눌러 위의 두 DNS 서버중 아무거나 입력 후 [저장] /// 혹은 1.1.1.1: Faster Internet 어플 설치해서 원클릭으로 사용 

해결방법2 : DNS 암호화 (DNS on HTTPS)

-DNS 관련 주고받는 정보를 암호화 하는것. 

전 플랫폼 공통으로 파이어폭스 브라우저에서  [설정]->[네트워크 설정]->https dns 설정 켜기 

윈도우는 Secret DNS 설치 

안드로이드는 구글 자회사인 jigsaw에서 만든 intra 어플 설치 후 원클릭으로 사용. 

iOS는 DNSCloack 어플 사용. (앱스토어에서 삭제되었다는 말이 있는데 현재 확인불가) 

해결방법3 : IP주소로 직접 접속

-DNS를 거칠 필요 없이 ip 주소로 직접 접속하기. 

자주 가는 사이트는 ip 주소 저장해두고 그걸 통해서 직접 접속해도 괜찮음. cmd에서 nslookup (주소) 입력하면 사이트의 아이피가 나오는데 그걸 그대로 웹브라우저에 쳐서 접속하면 ok

12일 추가) 

https://github.com/ValdikSS/GoodbyeDPI/releases/download/0.1.5/goodbyedpi-0.1.5.zip