标签:dnscrypt dns加密 opendns linux bind dns污染
首先我先贴俩图,看看现象
我解析下敏感域名
巧了,我瞎蒙的随便一个国外地址都特么是DNS ?
当然不是,因为祖国的出口伫立着一套高端设备,,,, 不说了,敏感了!
此法的基本思路是避免DNS污染和DNS劫持。(不关心原理的同学请跳过此段)众所周知,GFW的一大凶器是在DNS上做文章。关于DNS污染和DNS劫持的区别,请参考这篇文章。概括地说,DNS劫持是通过DNS服务器返回虚假的IP地址实现的,我们只需将本机使用的DNS服务器改成8.8.8.8等国外服务器即可。但这种方法无法避免DNS污染,因为DNS查询默认使用UDP协议,而墙可以干扰我们与DNS服务器的通信。今天介绍的dnscrypt-proxy,则开设本地的DNS服务器,对DNS请求进行加密(墙无法干扰加密后的请求),从国外的DNS服务器获取正确的IP地址后反馈回来,是为DNS代理的基本原理。
但这也就决定了,此法不可能成为通用的翻墙方法,因为GFW对于有些网站是直接通过IP地址屏蔽的。
平台:RHEL 6.6 x64 (CentOS)
dns服务器:Bind Server
yum源并没有dnscrypt-proxy,所以只能编译安装了
首先下载 dnscrypt-proxy
下载地址http://download.dnscrypt.org/dnscrypt-proxy/ (巧,这也被qiang了)
另外需要安装 libsodium依赖库 (我这里选择的是libsodium-0.5.0-mingw.tar.gz)
下载地址http://download.libsodium.org/libsodium/releases/
wget http://download.libsodium.org/libsodium/releases/libsodium-0.5.0-mingw.tar.gz tar xf libsodium-0.5.0-mingw.tar.gz cd cd libsodium-0.5.0 CFLAGS="-O3 -fPIC" ./configure make && make install ldconfig
依赖库装好了,下面来安装 dnscrypt
上传dnscrypt-proxy-1.4.0.tar.gz至服务器
tar xf dnscrypt-proxy-1.4.0.tar.gz cd dnscrypt-proxy-1.4.0 cd src/libevent-modified/ CFLAGS="-O3 -fPIC" ./configure make && make install cd .. cd .. ./configure make -j 2 && make install
安装好了
dnscrypt-proxy -h //显示帮助信息可用选项 -a --local-address=... //监听的本地地址[端口] (不指定端口默认监听在53端口) -d --daemonize //后台运行(不提示错误信息) -R --resolver-name=... //选定的国外加密解析服务器 -T --tcp-only //仅以TCP协议运行(默认监听在udp tcp上) -k //手动指定密钥串 -V --version //版本信息
常用就这几个选项 更多详细帮助 man dnscrypt-proxy
运行 dnscrypt-proxy 提示有错误,但是请注意这一条
这个文件中有默认的已经支持dnscrypt查询的公共dns opendns也在其中。
我们来查看下这个文件 dnscrypt-resolvers.csv
第一行定义的是列标题,每个字段用逗号隔开,每一行开头就是 resolver_name
用法如下
dnscrypt-proxy --resolver-name=resolver_name --local-address=127.0.0.1:40 --daemonize dnscrypt-proxy -R resolver_name -a 127.0.0.1:40 -d //简写,监听在本地udp tcp40端口,远端加密dns选用resolver_name
然后如果需要局域网开启加密访问,记得在iptables开启相应端口
最后在其他电脑上查询一下看是否生效,
dig www.youtube.com @*.*.*.* -p 3535 ; <<>> DiG 9.10-P2 <<>> www.youtube.com @*.*.*.* -p 3535 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32356 ;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.youtube.com. IN A ;; ANSWER SECTION: www.youtube.com. 86400 IN CNAME youtube-ui.l.google.com. youtube-ui.l.google.com. 900 IN CNAME youtube-ui-china.l.google.com. youtube-ui-china.l.google.com. 180 IN A 173.194.72.138 youtube-ui-china.l.google.com. 180 IN A 173.194.72.102 youtube-ui-china.l.google.com. 180 IN A 173.194.72.100 youtube-ui-china.l.google.com. 180 IN A 173.194.72.113 youtube-ui-china.l.google.com. 180 IN A 173.194.72.101 youtube-ui-china.l.google.com. 180 IN A 173.194.72.139 ;; Query time: 872 msec ;; SERVER: *.*.*.*#3535(223.255.7.250) ;; WHEN: Sun Jan 11 99:29:00 ?D1ú±ê×?ê±?? 2015 ;; MSG SIZE rcvd: 205
解析是对了,但是并不代表 FQ 所以,这主要是搭配其他工具来实现FQ 。
本文出自 “Professor哥” 博客,谢绝转载!
bind + DNSCrypt 实现安全加密转发,避免DNS污染
标签:dnscrypt dns加密 opendns linux bind dns污染
原文地址:http://professor.blog.51cto.com/996189/1601753