DNSCrypt是一个确保客户与DNS服务器之间传输安全的工具,基于DNSCurve修改而来。
由于Domain Nam System(DNS)设计上的缺陷,用户在浏览器里输入igfw.net等网址以后,如果遭遇MITM或者DNS污染,浏览器可能接收到错误的IP,而 存在安全问题。为了解决一些这样安全上的问题,IETF在十几年前便开始制定DNS的安全扩展(DNSSEC)。利用公开键机密技术,通过对DNS数据进 行电子签名,DNSSEC能够验证DNS数据来源和验证在传输过程中DNS是否被篡改。
但是DNSSEC不保证DNS数据的机密性,DNS数据本身并没有被加密,加之DNS的 阶层式模式,这便为一些机构提供监视,控制网络的手段。典型的例子就是不能访问一些海外的网站。DNSSEC也不提供免于DOS(Deny of Service)攻击的办法,由于电子签名和签名验证需要格外的数据运算,DNSSEC反而更容易受到DOS攻击。
DNSCurve相对于DNSSEC的好处是,DNSCurve使用了更有效率的椭圆曲线加密算法而可以负担的起每条查询都单独加密,从而更加安全。
DNSCrypt协议是非常类似DNSCurve的,作为一个DNS代理运行,侧重于客户端和第一级DNS服务器之间的通信安全,能够缓存DNS解析。
首先下载对应平台的dnscrypt client然后运行,接着修改本地或者router的dns server为127.0.0.1. 然后你的所有dns请求都会加密进行从而绕过GFW的dns污染顺利解析到正确IP。
(可以在Windows/Linux/BSD/OSX/iOS系统上运行)
更多详情:https://github.com/opendns/dnscrypt-proxy/
下载地址:https://github.com/opendns/dnscrypt-proxy/downloads
使用后访问一些只被GFW DNS污染的网站即可直接访问,如果网站还被关键词检且支持https也可以访问其https网址,比如一些Google服务.
------------------------------------------------------------
DNS加密工具dnscrypt发布Windows版
OpenDNS去年底发布了一个预览版本的DNSCrypt,加密DNS流量,阻止常见的DNS攻击,如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt支持OS X、BSD和Linux,现在它发布了Windows版本。你可以从官方下载或从GitHub下载。
来源:http://it.solidot.org/article.pl?sid=12/05/16/0133225
OpenDNS官网介绍:https://www.opendns.com/technology/dnscrypt/
----------------------------------------------------------------
dnscrypt
相信好多听众,都受到DNS污染问题困扰,由于中国当局在DNS上做手脚,令翻墙难度提高了不少。除了过往介绍过的 HOSTS文件编辑之外,最近OpenDNS推出了一个叫DNSCrypt的新工具,据闻在解决DNS污染问题上颇有帮助,不知这是怎样的工具?
李:DNSCrypt,略懂英文的人,都应该猜到这工具用什么原理去防止各类DNS污染的情况,这是利用加密技术,令DNS整个解析过程,不会被第三者干扰,从而确保用家浏览正确的网站,而不是被个别人士所骑劫的网站。
其实所谓的DNS污染,是利用很多现存DNS技术的保安漏洞去达致,只不过中国当局比 起众多黑客高级一些地方在于,黑客不可能改变各大电讯公司的 DNS主机纪录,但中国当局具备改变电讯公司纪录的政治能力。但只要互联网用家可以绕过中国电讯公司的DNS主机,仍然可以避过DNS污染的袭击。
而 DNSCrypt是OpenDNS公司推出的小工具,令整个DNS解析过程,可以在加密的情况下,直接由OpenDNS的主机负责,这样就有效避过中国的 DNS污染,对大部分用户而言,这也是最简单直接的方法,因为并不需要什么高深技术知识,只要把软件安装,然后执行便成事。
DC:那这只软件可以支援什么平台?又怎样安装?
李:由于DNSCrypt仍然在测试阶段,所以只限使用Windows和Mac的桌面电脑才可以安装使用。只要去OpenDNS的网站去下载便可以,我们这集翻墙问答会提供片段,示范如何在Windows下安装使用DNSCrypt,欢迎大家留意收看。
至于平板电脑以及智能手机,这可能要耐心等一下,因为平板电脑和智能手机的应用软件,涉及软件商店的审批程序,而要开发相关的软件亦有一定技术难度。这一如大部分翻墙软件,现时仍然未有平板电脑和智能手机相应版本一样。
由于这只软件,迟早会引起中国当局的注意,因此,本人要再一次不厌其烦提醒各位听众,请翻墙前往OpenDNS的主机下载软件,不要在中国国内的网站下载所谓绿色版之类,随时这些版本被当局,或不怀好意的黑客加了木马也不知,那就得不偿失。
DC:有些DNS代理,或涉及特别埠口的软件,在个别Wi-Fi路由器,或在咖啡室之类的公共路由器使用上都可能有问题,或要作出特别设定。那DNSCrypt又有没有这类问题?
李:DNSCrypt使用的加密技术,由于未算是一种互联网公认技术标准,所以在部分路由器,特别家用Wi-Fi路由器,或餐厅、机场等用的公共路由器,必须作出改动才能使用自如。
DNSCrypt 有一个选项,可以容许用家使用TCP443埠口来做加密解析,因为大部分路由器以及防火墙,都会视TCP443埠口的通讯是SSL通讯而不作拦截或封锁, 基本上,你在外面用的时候,选择这个选项就对。当然,这选项的缺点是速度比较慢。但相信随著DNSCrypt软件和技术本身日趋成熟,这问题应该可以慢慢 获得解决。
DNSCrypt容许用家,在OpenDNS加密的解析主机未能够为你提供服务时,自动改用原本DHCP指派的DNS主机,但 在中国的特殊情况下,我们不建议使用这个选项,因为这有违你安装DNSCrypt的原意。始终中国安装DNSCrypt的人,要防的并非一般的黑客,而是 由整个国家机器。能够尽量使用DNSCrypt的解析,就应该坚持使用DNSCrypt,除非中国当局干扰DNSCrypt至一个一般人无法使用这技术的 程度,这又作别论了。
DC:多谢你李建军,在下周同样时间,我们会继续有翻墙问答,回应各位有关翻墙的问题,并介绍各类新出的翻墙技术,欢迎各位下周继续收听这个节目。如果你对翻墙问题有任何疑问,亦可以联络我们,我们会尽力在节目中,为各位一一作答。再会。
原文:RFA
-------------------------------------------------
DNSCrypt: 一个加密DNS传输的工具,解决国外域名DNS污染问题
DNSCrypt是一个确保客户与DNS服务器之间传输安全的工具,基于DNSCurve修改而来。
由于Domain Name System(DNS)设计上的缺陷,用户在浏览器里输入很多海外网址以后,
如果遭遇MITM(Man in the Middle,中间人攻击) 或者DNS污染。
浏览器就可能接收到错误的IP而导致安全问题。
为了解决这个问题,IETF在十几年前便开始制定DNS的安全扩展(DNSSEC),主要是利用公开密钥加密技术,
通过对DNS数据进行数字签名,DNSSEC能够验证DNS数据来源和验证在传输过程中DNS是否被篡改。
但是DNSSEC不保证DNS数据的机密性,DNS数据本身并没有被加密,加之DNS的阶层式模式,
这便为一些机构提供监视,控制网络的手段,典型的例子就是不能访问一些海外的网站。
DNSSEC也不提供免于DOS(Deny of Service,拒绝服务)攻击的办法,由于数字签名和签名验证需要额外的数据运算,DNSSEC反而更容易受到DOS攻击。
DNSCurve相对于DNSSEC的好处是,DNSCurve使用了更有效率的椭圆曲线加密算法而减少了运算量,可以对每条DNS查询都单独加密,从而更加安全。
DNSCrypt协议是非常类似DNSCurve的,作为一个DNS代理运行,侧重于客户端和第一级DNS服务器之间的通信安全,能够缓存DNS解 析。DNSCrypt的上游DNS服务器是著名的OpenDNS服务,简单而言DNSCrypt就是加密了本机到OpenDNS服务器之间的DNS查询通 信过程(使用椭圆曲线加密算法),所以可以不受GreatFireWall的DNS污染干扰。
安装方法是首先下载对应平台的dnscrypt client然后运行,接着修改本地或者router的dns server为127.0.0.1
然后你的所有dns请求都会加密进行从而绕过GreatFireWall的dns污染顺利解析到正确IP(DNSCrypt可以在Windows/Linux/BSD/OSX/iOS系统上运行)
PS.设置方法可以用dnsjumper这个软件来设置。
设置为127.0.0.1的 就选1. localhost 这个DNS服务器。
PSS.用了国外的DNS会导致部分使用cdn的网站的打开速度变慢。
建议不 (番+羽)墙的时候设置为默认的DNS。
最新版本可到:http://shared.opendns.com/dnscrypt/packages/windows-client/
现在的最新版下载链接:http://shared.opendns.com/dnscrypt/packages/windows-client/DNSCryptWin-v0.0.4.zip
或http://shared.opendns.com/dnscrypt/packages/windows-client/DNSCryptWin-v0.0.4.exe
官网的介绍:https://www.opendns.com/technology/dnscrypt
-------------------------------------------------------------
DNSCrypt (Encrypt DNS traffic)
DNSCrypt encrypts your site’s DNS traffic.
DNS is one of the fundamental building blocks of the Internet. It’s used any time you visit a website, send an email, have an IM conversation or do anything else online. While OpenDNS has provided world-class security using DNS for years, and OpenDNS is the most secure DNS service available, the underlying DNS protocol has not been secure enough for our comfort. Many will remember the Kaminsky Vulnerability, which impacted nearly every DNS implementation in the world (though not OpenDNS).
That said, the class of problems that the Kaminsky Vulnerability related to were a result of some of the underlying foundations of the DNS protocol more…
WHAT’S NEW
Version 0.10:
The orange dot has been replaced with a green one.
Some content in the preferences pane wasn’t always properly loaded on Snow Leopard. This has been fixed
REQUIREMENTS
Intel
Mac OS X 10.6 or later
64-bit processor
Linux OpenDNS Encryption:
- Download the right package for your Linux distribution:
- 64-bit DEB package (Debian, Ubuntu, other .deb-based distributions)
- 32-bit DEB package
- 64-bit RPM package (Openwall, CentOS, Fedora, other .rpm-based distributions)
- 32-bit RPM package
- Install the package using your package manager
- Open a terminal. Enter: sudo /usr/sbin/dnscrypt-proxy –daemonize
- Set your DNS settings to 127.0.0.1. Confirm you’re using OpenDNS here.
(Source)
