什麼是dnscrypt

現代開放式路由器固件,例如番茄史希比(Tomato Shibby)和其他番茄變種,包括dnscrypt客戶端的客戶. DNScrypt-proxy客戶端也可以在OpenWrt上找到,該頁面在OpenWrt上使用DNScrypt上有一個Wiki頁面. DNScrypt-Proxy也可以在entware中找到. 它也可以針對任何基於Linux的目標進行編譯,運行Intel,MIPS或ARM CPU.

dnscrypt

DNS是互聯網的基本構建塊之一. 隨時您訪問網站,發送電子郵件,進行IM對話或在線上做其他任何事情時都可以使用。. 雖然Opendns使用DNS提供了世界一流的安全性多年,而Opendns是最安全的DNS服務,但基礎DNS協議還不夠安全,以使我們的舒適. 許多人會記住卡明斯基脆弱性,這影響了世界上幾乎所有DNS實施(儘管不是Opendns).

也就是說,卡明斯基脆弱性與與DNS協議的某些基礎基礎相關的問題類別固有弱,尤其是在“最後一英里).”“最後一英里”是您的計算機與ISP之間Internet連接的部分. DNScrypt是我們確保DNS流量和解決(無雙關)的“最後一英里”的方式. 隨著世界的互聯網連接變得越來越流動,越來越多的人在一天之內連接到幾個不同的WiFi網絡,解決方案的需求正在安裝.

在最後一英里處有許多篡改或中間攻擊的例子,以及DNS流量的招募,這代表了我們一直想解決的嚴重安全風險. 今天我們可以.

為什麼DNScrypt如此重要

以同樣的方式,SSL將HTTP Web流量變成了HTTP的加密網絡流量,DNSCRYPT將常規DNS流量轉變為可加密的DNS流量,這些流量可免於竊聽和中間攻擊。. 它不需要對域名或它們的工作方式進行任何更改,它只是提供了一種方法,可以安全地加密客戶與數據中心中的DNS服務器之間的通信. 我們知道,僅聲稱聲稱在安全世界中不起作用,因此我們已經為DNScrypt代碼基礎開放了源頭,並且可以在GitHub上找到。.

自SSL以來,DNScrypt有可能成為Internet安全方面最有影響力的進步,大大改善了每個Internet用戶的在線安全性和隱私.

注意:尋找筆記本電腦或iOS設備的惡意軟件,殭屍網絡和網絡釣魚保護? 查看Opendns的傘移動性.

現在下載:

常見問題(常見問題解答):

1. 用簡單的英語,什麼是dnscrypt?

DNScrypt是一個輕巧的軟件,每個人都應使用它來提高在線隱私和安全性. 它通過對用戶和Opendn之間的所有DNS流量進行加密,以防止任何間諜,欺騙或中間攻擊.

2. 我今天如何使用dnscrypt?

我們已經打開了DNScrypt代碼庫的來源,它可以在GitHub上找到. 圖形接口不再開發;但是,開源社區仍在為技術預覽提供非正式的更新.

尖端:
如果您有防火牆或其他中間件,則應嘗試使用端口443的TCP啟用DNScrypt. 這將使大多數防火牆認為它是HTTPS的交通.

如果您更喜歡可靠性而不是安全性,請使後備備份到不安全的DNS. 如果您無法與我們聯繫,我們將嘗試使用您的DHCP分配或以前配置的DNS服務器. 這是安全風險.

3. 那DNSSEC呢?? 這是否消除了對DNScrypt的需求?

不. DNSCRYPT和DNSSEC是互補的. DNSSEC做很多事情. 首先,它提供身份驗證. (是DNS記錄,我從我要問的域名的所有者中得到回复,或者它被篡改了?)第二,DNSSEC提供了一系列信任,以幫助確定您獲得的答案是可驗證的. 但不幸的是,DNSSEC實際上並沒有為DNS記錄提供加密,即使是DNSSEC簽名的記錄. 即使世界上的每個人都使用DNSSEC,需要加密所有DNS流量的需求也不會消失. 此外,今天的DNSSEC代表著總體域名的接近零百分比,並且隨著互聯網的增長,每天越來越小的DNS記錄百分比.

也就是說,dnssec和dnscrypt可以完美合作. 他們沒有任何衝突. 將DNScrypt視為圍繞所有DNS流量和DNSSEC的包裝器,作為簽署和提供這些記錄子集的驗證的一種方式. DNSSEC對DNScrypt並沒有試圖解決的好處. 實際上,我們希望DNSSEC的採用能夠增長,以便人們對整個DNS基礎架構有更多的信心,而不僅僅是客戶與Opendns之間的聯繫.

4. 這是使用SSL嗎? 什麼是加密貨幣,設計是什麼?

我們不使用SSL. 雖然我們以類比為DNScrypt就像SSL,因為它以相同的方式包裝了所有DNS流量,而SSL將所有HTTP流量都包裹起來,但不是使用的加密庫. 我們正在使用橢圓形的加密圖,特別是曲線25519橢圓曲線. 設計目標類似於DNScurve Felrower Design中描述的目標.

dnscrypt

DNScrypt是一項協議,可以對DNS客戶端與DNS解析器之間的通信進行身份驗證. 它可以防止DNS欺騙. 它使用加密簽名來驗證響應源自所選的DNS解析器,但沒有被篡改.

它是一個開放規範,具有免費和開源的參考實現,並且與任何公司或組織都不相關.

全世界都有免費的,啟用DNSCrypt的解析器

一對公司,組織和個人正在運營支持DNSCRYPT協議的公共遞歸DNS服務器,因此您需要運行的只是客戶.

可以下載開放式DNSCRYPT解析器的不斷更新的列表,以替換DNScrypt-Proxy客戶端運送的默認CSV文件.

如果您正在運行自己的公共DNS解析器,以幫助使互聯網成為更安全的地方,請提交拉動請求,以使您的解析器添加到公共DNS解析器列表中.

安裝DNSCRYPT客戶端

dnscrypt本身不是產品,而是任何人都可以實施的協議. 還可以提供便攜式實現,除了在哪些圖形用戶界面和方便的工具上.

選擇您的平台以發現一些可用的選項:Windows -MacOS -Linux / BSD- Android- iOS或在路由器上運行軟件.

防火牆設置:儘管有些解析器可能更喜歡另一個端口,但DNSCRYPT協議使用的默認端口為443. 防火牆應允許在TCP和UDP上向此端口進行詢問.

推薦

“ DNScrypt是一個非常安全的協議,正在幫助建立更安全的網絡”(James Awland -BestCasino.公司.英國)

“在測試中,我們發現DNScrypt非常穩定,我們鼓勵使用它”(Cisco)

“我們強烈建議那些希望訪問最好的新賭場網站的人”(艾丹·豪(Aidan Howe) – bestcasinosites.網)

Windows的DNScrypt

  • 簡單的DNScrypt是一個多合一的,易於使用的獨立客戶.
  • DNScrypt Winclient是Windows的原始DNScrypt用戶界面.
  • DNScrypt-Proxy是參考客戶端的實現,並在Windows上本地工作,從Windows XP到Windows 10. 它作為服務運行,不提供圖形用戶界面;它的安裝和配置需要打字命令. 對於高級用戶來說,這仍然是一個絕佳的選擇.

重要的: 我們知道假裝是DNScrypt Windows客戶端的假包裝,實際上包含惡意軟件/潛在不需要的程序(PUP). 請勿下載任何假裝從Torrents,YouTube視頻中的鏈接或非官方下載位置的鏈接中的DNScrypt客戶端.

DNSCRYPT用於MacOS

  • DNScrypt-osxclient是一種易於使用的,完整的,獨立的圖形用戶界面,用於MACOS.
  • DNScrypt-Proxy是參考客戶端的實現,並在最新的MacOS版本上工作. 熟悉命令行的用戶可以使用自製安裝軟件.

Yandex Web瀏覽器中的DNScrypt

Yandex Web瀏覽器是一個免費,快速且安全的Web瀏覽器.

它掃描文件和網站以獲取病毒,阻止欺詐性網頁,保護您的密碼和銀行卡詳細信息,並確保您的在線付款免受盜竊的影響.

DNScrypt用於Android

當前在Android上運行DNSCRYPT需要一個紮根的設備. 如果您不知道如何紮根Android設備,那麼XDA-Developers論壇是一個很好的開始.

  • 如果要更改DNScrypt解析器,請解壓縮下載的存檔,請在System/etc/Init中編輯Resolver_name變量.D/99DNSCRYPT . 將內容保留為zip文件,並具有原始結構.
  • 將zip文件上傳到設備, /sdcard或您可以寫入的任何位置.
  • 確保您有自定義恢復,例如TWRP或CWM. 最簡單的方法是下載和安裝 TWRP管理器 從官方TWRP中.我網站. 現在以“恢復模式”重新啟動並安裝zip文件.
  • 重啟.
  • 下載並安裝 通用初始化.d 在Google Play商店中,如果您在自定義內核或售後固件上.G. lineageos具有對其的綜合支持. 如果您不知道您是否有初始化.D支持,打開應用並按照說明,直到您看到內核有init.D支持 .
  • DNScrypt代理應該在這一點上運行,但是您的設備仍然使用以前的DNS設置. 目前有四個可以改變此行為的(付費)應用程序,Adguard(VPN隧道)NetGuard(VPN隧道),DNS Manager Pro(VPN隧道)和Override DNS(DNS Changer). 選擇其中一個並從Google Play商店下載. 為了實際使用DNScrypt,請輸入127.0.0.1作為主要DNS解析器. Adguard和NetGuard要求您更改一些其他設置(請參閱屏幕截圖). 為了停止DNScrypt,只需禁用應用程序或將DNS解析器字段留為空.
  • DNS更改可能不會立即看到. Android具有集成的DNS緩存和網絡瀏覽器(例如Chrome)具有另一層DNS緩存. 為了清除Chrome的DNS緩存,在URL欄中輸入Chrome:// Net-internals/#DNS,然後按 清除主機緩存.
  • 在Android上開始守護程序
  • 如何在Android上安裝DNSCRYPT

iOS的dnscrypt

對於越獄iOS設備,Guizmodns是一個更改DNS設置(用於3G/4G和WiFi)的應用程序,並支持DNScrypt. 它可以在Cydia上找到. Cydia也可以使用命令行DNScrypt-Proxy客戶端. 但是,Cydia上的版本可能不是最新的版本. 最新版本的官方預編譯二進製文件可在頁面上找到. DNScrypt源代碼也可以使用提供的Dist-Build/iOS來為iOS設備開箱即用。.SH腳本. 隨著iOS 9中網絡擴展框架的引入,可能可以編寫一個dnscrypt客戶端應用程序,該應用程序將在無處.

dnscrypt用於路由器

現代開放式路由器固件,例如番茄史希比(Tomato Shibby)和其他番茄變種,包括dnscrypt客戶端的客戶. DNScrypt-proxy客戶端也可以在OpenWrt上找到,該頁面在OpenWrt上使用DNScrypt上有一個Wiki頁面. DNScrypt-Proxy也可以在entware中找到. 它也可以針對任何基於Linux的目標進行編譯,運行Intel,MIPS或ARM CPU.

dnscrypt-proxy

最受歡迎的客戶DNSCRYPT實施是DNSCRYPT-Proxy. 它可以單獨使用,也可以通過上面列出的圖形用戶界面之一使用. DNScrypt-Proxy實現了協議的最新修訂,並在許多平台上工作,包括Windows,MacOS,Linux,OpenBSD,FreeBSD,NetBSD,NetBSD,Android和ios. 它可以用插件擴展. 有關DNScrypt-Proxy的更多信息,請參閱專用Wiki.

替代客戶,安裝腳本和unix的GUI

  • DNScrypt-Loader是一種基於控制台的工具,用於在Linux上管理DNScrypt代理客戶端. 它需要最少的依賴項,始終具有最新的解析列表,並且可以自動更改DNS設置以使用DNSCRYPT.
  • PCAP_DNSPROXY是一個非常快的DNS代理. 它包括DNScrypt客戶端實現.

控制您的DNS流量

除了實施協議外,Common DNScrypt客戶端還可以對DNS流量進行大量控制.

  • 實時查看來自您網絡的DNS流量,並檢測到折衷的主機和應用程序打電話給家中
  • 本地阻止廣告,跟踪器,惡意軟件,垃圾郵件以及任何域名或IP地址的網站匹配您定義的一組規則.
  • 防止查詢當地區域的洩漏.
  • 通過緩存響應並避免在僅IPv4網絡上要求IPv6地址來減少延遲.
  • 迫使流量使用TCP,將其穿過僅限TCP的隧道或TOR路線.

簽名驗證

可以使用Minisign工具和以下命令來驗證文件(源代碼TARBALL,預編譯二進製文件,溶液列表):

$ minisign -VP RWQF6LRCGA9I53MLYECO4IZT51TGPPVWUCNSCH1CBM0QTALN73Y7GFO3 -M

運行自己的DNScrypt服務器

如果您正在運行自己的私人或公共遞歸DNS服務器,則可以通過安裝DNScrypt-wrapper來添加對DNSCRYPT協議的支持,這是參考服務器端DNSCRYPT代理.

DNScrypt-wrapper可以從源代碼中編譯. OSX用戶還可以使用Homebrew進行安裝:BREW安裝DNScrypt-wrapper .

代理與任何DNS解析器軟件兼容,包括Unbound,PowerDNS遞歸和綁定.

還可以使用DNSCRYPT服務器的Docker映像,這是部署DNSSEC驗證,啟用DNSCRYPT的最簡單的方法. 它包括預配置的未結合服務器,DNSCRYPT-WRAPPER,以及執行密鑰旋轉和監督所需的所有腳本.

另一個選擇是DNSDIST,高度DNS-,DOS和濫用的Loadbalancer. 它的人生目標是將流量路由到最佳服務器,在分流或阻止濫用流量的同時向合法用戶提供最高的性能.

與 – Enable-dnscrypt編譯時,DNSDIST可以充當DNScrypt服務器 .

未綁定,驗證,遞歸和緩存DNS解析器也可以用作DNSCRYPT服務器,並與 – Enable-dnscrypt一起編譯 .

參考 DNSCRYPT選項 截面不綁定.conf(5)配置選項.

部署

DNScrypt通常使用一對DNS代理部署:客戶端代理和服務器代理.

DNScrypt的客戶端是常規DNS客戶可以連接到的代理. 您可以不使用ISP的DNS設置,而只能配置網絡設置以使用127.0.0.1或您配置的dnscrypt客戶端的任何IP地址和端口. 客戶端代理將常規DNS查詢轉換為已驗證的DNS查詢,將其轉發到運行服務器DNScrypt代理服務器的服務器,驗證響應,並將其轉發給客戶端,如果它們似乎是真實的.

DNScrypt的服務器端接收客戶端代理髮送的DNS查詢,將其轉發到受信任的DNS解析器上,並在將其轉發到客戶端代理之前簽署其收到的響應.

DNSCRYPT協議使用UDP和TCP端口443,與標準DNS端口相比,路由器和ISP過濾的可能性較小.

本地網絡通常是針對主動攻擊(例如DNS欺騙)的最脆弱的網絡細分市場. DNScrypt服務器可以在路由器上運行,以及現代的DNS解析器. 然後,客戶可以運行DNScrypt的客戶端代碼,利用路由器DNS解析器.

| -----最容易受到攻擊------- | |  - 最容易受到修改 -  | DNScrypt客戶端DNSCRYPT服務器筆記本電腦/工作站/電話/平板電腦--------> Home Router ---------------> ISP -------- -> Internet | --------- ---由DNScrypt保證---------------- | | --------------由DNSSEC固定-------------------------------- ------------------

另外,公司,組織和個人正在運行支持DNSCRYPT協議的公共DNS解析器. 這些可以用作路由器上運行DNScrypt服務器和DNS解析器的替代方案.

為了獲得最大的保護,DNScrypt客戶端可以在每個客戶端設備上運行:

| -----最容易受到攻擊------- | |  - 最容易受到修改 -  | DNSCRYPT客戶端DNSCRYPT服務器筆記本電腦/Workstation/Phone/Tablet Tablet --------> Home Router ---------> ISP ------------> Internet -------> ---> public DNS解析器| --------------------------------- -------------------------------------------------- -------------------------------------------------- ----------------------------------------- --------- ----------------------------------------- | | ---由DNSSEC保證--- | | ---最容易受到記錄的影響--- |

或者,如果您完全信任本地網絡,則DNScrypt客戶端可以在路由器上運行:

| -----最容易受到攻擊------- | |  - 最容易受到修改 -  | DNSCRYPT客戶端DNSCRYPT服務器筆記本電腦/Workstation/Phone/Tablet Tablet --------> Home Router ---------> ISP ------------> Internet -------> ---> public DNS resolver |------------------ Secured by DNSCrypt ------------- -------| | ---由DNSSEC保證--- | | ---最容易受到記錄的影響--- |

最後,您可以在遠程,值得信賴的網絡上運行自己的DNSCRypt服務器,以完全控制解析器的操作和記錄:

| -----最容易受到攻擊------- | |  - 最容易受到修改 -  | DNSCRYPT客戶端DNSCRYPT服務器筆記本電腦/Workstation/Phone/Tablet Tablet --------> Home Router ---------> ISP ------------> Internet -------> --->私人DNS解析器| --------------------------------- -------------------------------------------------- -------------------------------------------------- ------ -------------------------------------------- ------ | | ---由DNSSEC保證--- |

請注意,DNScrypt不是VPN的替代品,因為它僅對DNS流量進行身份驗證,並且不會阻止第三方DNS解析器記錄您的活動. 根據設計,HTTPS和HTTP/2中使用的TLS協議洩漏了純文本的主機名,因此DNScrypt不足以隱藏此信息.

將DNScrypt與DNS緩存結合使用

為了獲得最佳性能,推薦的運行DNScrypt的方法是將其作為本地DNS緩存的轉發器,例如Unbound或PowerDNS Recursor.

緩存解析器可以通過將查詢轉發到多個上游DNScrypt客戶端代理,並配置為不同的提供商,可以提供高可用性。.

DNScrypt-Proxy實例和緩存解析器只要他們聽不同的IP地址或不同的端口,就可以在同一台計算機上安全地運行.

如果您的DNS緩存未綁定,您只需要編輯未結合的.conf文件並在服務器部分末尾添加以下行:

do-not Query-localhost:無前區:名稱:”.“前進:127.0.0.1@40前向addr:127.0.0.1@41

如果您使用不同的IP地址而不是不同的端口,則不需要第一行. 向前ADDR線指示地址和DNSCRYPT客戶端的端口用於上游解析器.

然後,啟動兩個客戶端代理,聆聽不同的本地端口(在此示例中40和41).

請注意以下事實:某些解析器不支持DNS安全擴展(DNSSEC).

如果配置未結合以與不支持DNSSEC的上游服務器結合使用DNSSEC驗證,則查詢將失敗. 僅使用支持DNSSEC的DNSCRYPT解析器,或通過在其配置中評論自動trust-cannor-file線,在未結合的情況下禁用DNSSEC支持。.

局部緩存解析器也對將CDN或內部域的查詢轉發到特定的解析器也非常有用.

開發人員的DNScrypt

協議規範可用,可以在任何產品中免費實施.

運行啟用DNSCRYPT的解析器的個人和組織也可能具有捐贈鏈接. 請在他們自己的網站上查看.

如果您定期使用它們,您的貢獻也將幫助他們繼續免費提供優質的服務.