DNSCrypt简明教程

知乎 · · 596 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

当我们输入 Google.com 之后,浏览器是需要将 Google.com 翻译成IP,然后才能建立TCP连接的。而将域名翻译成IP地址, 就是DNS服务器的事情,但是有一个小问题,DNS是明文的。

也就是说,尽管你使用了HTTPS,由于在建立TLS连接之前,你得先查询域名所对应的IP,因此,还是可以通过监控你的DNS来推测你准备 访问什么流量,更坏一点的情况,可以给你伪造一个响应,返回错误的地址,这种情况就叫做“DNS污染”。

所以我们需要使用DNSCrypt来加密我们的DNS通信:

$ sudo apt install -y dnscrypt-proxy

然后编辑 /etc/dnscrypt-proxy/dnscrypt-proxy.toml,将最后的 static 改成你想要的DNS服务器,你可以在 这里 选择你喜欢的(一般来说就是你试试访问快的),然后填进去,例如:

[static]
  [static.'cloudflare']
  stamp = 'sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk'

接着启动 dnscrypt-proxy

$ sudo systemctl start dnscrypt-proxy
$ sudo systemctl enable dnscrypt-proxy

到这里还不行,因为你没有配置使用该DNS。如果你使用的是NetworkManager,那么就编辑文件 /etc/NetworkManager/conf.d/rc-manager.conf

[main]
rc-manager=resolvconf

然后编辑 /etc/resolvconf.conf

# Configuration for resolvconf(8)
# See resolvconf.conf(5) for details

resolv_conf=/etc/resolv.conf
# If you run a local name server, you should uncomment the below line and
# configure your subscribers configuration files below.
name_servers=127.0.0.1

接着重启 NetworkManager

$ sudo systemctl restart NetworkManager
如果你使用了libvirt来管理虚拟机,你会发现虚拟机会断网,重启host即可。

内网DNS咋办?

使用 dnscrypt-proxy 固然爽,但是有个小问题,就是如果是在公司里,很有可能就有内网DNS,这就很蛋疼了, dnscrypt-proxy 有一个解决方案,那就是使用 cloaking rules,编辑 /etc/dnscrypt-proxy/dnscrypt-proxy.toml,把 cloaking_rules 这一行 注释掉,然后编辑 /etc/dnscrypt-proxy/cloaking-rules.txt 这个文件,在后面添加你的DNS,例如:

# my customized dns
www.one-domain.com x.x.x.x
*.your-domain.com x.x.x.x

其实我想要方案是匹配域名,然后把这些域名的DNS指向另一个DNS,这样会方便些,不过似乎 dnscrypt-proxy 还不支持。

还有一个方案就是把 fallback_resolver 改成公司所提供的DNS。

本文来自:知乎

感谢作者:知乎

查看原文:DNSCrypt简明教程

关注本站微信公众号(和以上内容无关)InfraPub ,扫码关注:InfraPub

596 次点击  ∙  1 赞  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传