使用DNSCrypt解決DNS汙染問題

2021-09-20 14:54:18 字數 2804 閱讀 8608

在開始寫這篇文章之前,先要普及乙個知識中國長城防火牆

(英文名:great firewall of china)好偉大的樣子,是xx專門用來對網民進行網路封鎖,閉關鎖國的的工具。最近一批google.com, youtube.com, facebook.com, dropbox.com等一批國外知名**,均無法正常訪問,就是拜其所賜。它所實現的主要遮蔽技術有ip封鎖,關鍵字過濾,網域名稱劫持與汙染以及https證書過濾四種。本文主要通過dnscrypt技術反其dns劫持與汙染。

先了解一下什麼是dns劫持和dns汙染,其實兩者並不是乙個概念。大家都知道主機之間的通訊通過ip來標識對方主機,但是ip不容易記憶,後來提出了網域名稱的概念,比如www.baidu.com, 網域名稱與ip之間就是通過dns解析聯絡起來,實現了網域名稱與ip之間的對映。這份對映關係儲存在dns伺服器上。

什麼是dns劫持

dns劫持一般發生在某些網路運營商身上,dns劫持就是劫持了dns伺服器,獲取dns伺服器的控制權。通過某些手段修改這些網域名稱的目的解析ip位址。dns劫持通過篡改dns伺服器上的資料,給使用者返回乙個錯誤的查詢結果來實現的。

什麼是dns汙染

dns汙染症狀:目前一些被禁止訪問的**很多就是通過dns汙染實現的,例如youtube、facebook、dropbox等**。

對於dns汙染,普通使用者是不能夠通過簡單地設定國外dns伺服器就能解決的。需要用到這篇所講的重點:dnscrypt-proxy,我通過這種方式解決了對dropbox的訪問封鎖。

先看下谷歌dns伺服器(8.8.8.8)對www.dropbox.com的解析情況

電信dns伺服器(114.114.114.114)對www.dropbox.com的解析情況

www.dropbox.com均被解析到59.24.3.173這個ip, 這是乙個南韓ip,使用站長

ping工具

檢測一下,全部超時,我只擷取其中的一部分,如果伺服器不通或禁ping,則全部超時。

無論我們是從谷歌伺服器還是電信伺服器拿到的資料報,在到手之前均被長城防火牆進行篡改。為了防止這份資料被篡改,我們需要借助dnscrypt這款工具保證我們的dns查詢資料報不被篡改。

dnscrypt

是opendns發布的加密dns工具,可加密dns流量,阻止常見的dns攻擊,如重放攻擊、觀察攻擊、時序攻擊、中間人攻擊和解析偽造攻擊。dnscrypt支援mac os和windows 以及linux,是防止dns汙染的絕佳工具。我在mac os與centos上均做了嘗試。

mac oslinux上的安裝非常簡單,按照專案主頁的文件一步一步操作即可。

mac os 可使用brew工具一鍵安裝

brew install dnscrypt-proxy
linux安裝

#安裝依賴


cd /usr/local/src/


wget ""tar -xzvf libsodium-*.tar.gzcd libsodium-*


./configure


make


make install


ldconfigecho /usr/local/lib > /etc/ld.so.conf.d/usr_local_lib.confcd /usr/local/src/


wget ""bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf -cd dnscrypt-proxy-*


./configure


make


make install
dnscrypt_proxy的用法可以通過man 8 dnscrypt_proxy查詢

在啟動之前,需要注意一項,因為dnscrypt_proxy作為查詢**是對通訊加密的,這也要求目的dns伺服器也要支援,專案主頁提供乙份

可用列表

啟動指令碼

最後我們可以看到建立了本機53埠與目的主機443埠的鏈結;按照官網的提示,如果我們安裝成功,當我們執行dig txt debug.opendns.com,會看到debug.opendns.com. 0 in txt "dnscrypt enabled (......)"這樣的輸出。

恭喜,我們成功了,下一步我們只需要把本機的dns伺服器指向到這台**即可

再來檢視下www.dropbox.com的解析情況

訪問一下 

使用DNSCrypt解決DNS汙染問題

dnscrypt是opendns發布的加密dns工具,可加密dns流量,阻止常見的dns攻擊,如重放攻擊 觀察攻擊 時序攻擊 中間人攻擊和解析偽造攻擊。dnscrypt支援mac os和windows,是防止dns汙染的絕佳工具。dnscrypt使用類似於ssl的加密連線向dns伺服器拉取解析,所以...

DNSCrypt防止DNS竊聽

中間人劫持攻擊已經屢見不鮮了,惡意攻擊者可以竊聽路由和交換機,對你目前的操作一清二楚。除了ssl tsl加密通訊的竊聽難度較高外,其他的訪問位址,內容等攻擊者都可以瞭如指掌。dns抓包是了解你訪問位址的乙個重要途徑,然而dns是基於udp,幾乎是公開透明的通訊。為了防止dns被攻擊者抓包從而獲取我們...

使用DNSCrypt解決Dropbox汙染問題

b dx sohu.com 背景知識 防火長城 gfw keyword dnscrypt dns汙染問題 dropbox無法同步 gfw 起因 昨天dropbox的網域名稱突然被dns汙染,而且dropbox網域名稱也進了黑名單keyword,導致dropboxclient無法使用。凝視 我的dro...