You are here

DNSCrypt—— 一个加密DNS传输的工具,解决被和谐域名DNS污染问题

DNSCrypt是一个确保客户与DNS服务器之间传输安全的工具,基于DNSCurve修改而来。

Windows最新版本:https://raw.githubusercontent.com/opendns/dnscrypt-win-client/master/DNSCrypt/dnscrypt-proxy.exe
如果系统没安装.net 3.5需要安装一下 双击安装包后会提示 点Accept就可以自己下载安装了
安装后上面的4个选项都勾上

两个有“Enable”的选项是DNSCrypt的开启/关闭开关,取消勾选“Enable OpenDNS”即停止使用OpenDNS的DNS服务器以及DNSCrypt加密服务,取消勾选“Enable DNSCrypt”只停止DNSCrypt加密服务。
DNSCrypt over TCP/443选项建议大家开启,虽然会稍微减慢速度,但能够大幅提升连接的稳定性。
Fall back to insecure DNS选项如果开启DNSCrypt可能会在OpenDNS服务器无法连接时,连接到其他DNS服务器。为了保持连接稳定,建议开启。

dnscryp

接着修改本地连接(用无线网络的需要改无线网络连接)的dns server为127.0.0.1

正确设置后软件上的那个盾牌和系统系统托盘图标是显示绿色的

然后你的所有dns请求都会加密进行从而绕过GreatFireWall的dns污染顺利解析到正确IP(DNSCrypt可以在Windows/Linux/BSD/OSX/iOS系统上运行)
PS.设置方法可以用dnsjumper这个软件来设置

mac os版本可到:https://github.com/alterstep/dnscrypt-osxclient
教程 http://www.yilufafa.net/dnscrypt-mac-osx-client
官网的介绍:https://www.opendns.com/about/innovations/dnscrypt/

由于Domain Name System(DNS)设计上的缺陷,用户在浏览器里输入很多河蟹网址以后,
如果遭遇MITM(Man in the Middle,中间人攻击)或者DNS污染
浏览器就可能接收到错误的IP而导致安全问题, 或者网页打不开。
为了解决这个问题,IETF在十几年前便开始制定DNS的安全扩展(DNSSEC),主要是利用公开密钥加密技术,
通过对DNS数据进行数字签名,DNSSEC能够验证DNS数据来源和验证在传输过程中DNS是否被篡改。

但是DNSSEC不保证DNS数据的机密性,DNS数据本身并没有被加密,加之DNS的阶层式模式,
这便为一些机构提供监视,控制网络的手段,典型的例子就是不能访问一些海外的网站。
DNSSEC也不提供免于DOS(Deny of Service,拒绝服务)攻击的办法,由于数字签名和签名验证需要额外的数据运算,DNSSEC反而更容易受到DOS攻击。
DNSCurve相对于DNSSEC的好处是,DNSCurve使用了更有效率的椭圆曲线加密算法而减少了运算量,可以对每条DNS查询都单独加密,从而更加安全。

DNSCrypt协议是非常类似DNSCurve的,作为一个DNS代理运行,侧重于客户端和第一级DNS服务器之间的通信安全,能够缓存DNS解析。DNSCrypt的上游DNS服务器是著名的OpenDNS服务,简单而言DNSCrypt就是加密了本机到所设置的DNS服务器之间的DNS查询通信过程(使用椭圆曲线加密算法),所以可以不受GreatFireWall的DNS污染干扰。

PSS.用了国外的DNS会导致部分使用cdn的网站的打开速度变慢
建议不 (番+羽)墙的时候设置取消dnscrypt

文章类型: