在開始寫這篇文章之前,先要普及乙個知識中國長城防火牆
(英文名:great firewall of china)好偉大的樣子,是xx專門用來對網民進行網路封鎖,閉關鎖國的的工具。最近一批google.com, youtube.com, facebook.com, dropbox.com等一批國外知名**,均無法正常訪問,就是拜其所賜。它所實現的主要遮蔽技術有ip封鎖,關鍵字過濾,網域名稱劫持與汙染以及https證書過濾四種。本文主要通過dnscrypt技術反其dns劫持與汙染。
先了解一下什麼是dns劫持和dns汙染,其實兩者並不是乙個概念。大家都知道主機之間的通訊通過ip來標識對方主機,但是ip不容易記憶,後來提出了網域名稱的概念,比如www.baidu.com, 網域名稱與ip之間就是通過dns解析聯絡起來,實現了網域名稱與ip之間的對映。這份對映關係儲存在dns伺服器上。
什麼是dns劫持
dns劫持一般發生在某些網路運營商身上,dns劫持就是劫持了dns伺服器,獲取dns伺服器的控制權。通過某些手段修改這些網域名稱的目的解析ip位址。dns劫持通過篡改dns伺服器上的資料,給使用者返回乙個錯誤的查詢結果來實現的。
什麼是dns汙染
dns汙染症狀:目前一些被禁止訪問的**很多就是通過dns汙染實現的,例如youtube、facebook、dropbox等**。
對於dns汙染,普通使用者是不能夠通過簡單地設定國外dns伺服器就能解決的。需要用到這篇所講的重點:dnscrypt-proxy,我通過這種方式解決了對dropbox的訪問封鎖。
先看下谷歌dns伺服器(8.8.8.8)對www.dropbox.com的解析情況
電信dns伺服器(114.114.114.114
)對www.dropbox.com
的解析情況
www.dropbox.com
均被解析到59.24.3.173
這個ip, 這是乙個南韓ip,使用站長
ping工具
檢測一下,全部超時,我只擷取其中的一部分,如果伺服器不通或禁ping,則全部超時。
無論我們是從谷歌伺服器還是電信伺服器拿到的資料報,在到手之前均被長城防火牆進行篡改。為了防止這份資料被篡改,我們需要借助dnscrypt這款工具保證我們的dns查詢資料報不被篡改。
dnscrypt
是opendns發布的加密dns工具,可加密dns流量,阻止常見的dns攻擊,如重放攻擊、觀察攻擊、時序攻擊、中間人攻擊和解析偽造攻擊。dnscrypt支援mac os和windows 以及linux,是防止dns汙染的絕佳工具。我在mac os與centos上均做了嘗試。
在mac os
與linux
上的安裝非常簡單,按照專案主頁的文件一步一步操作即可。
mac os 可使用brew工具一鍵安裝
brew install dnscrypt-proxylinux安裝
#安裝依賴cd /usr/local/src/
wget ""tar -xzvf libsodium-*.tar.gzcd libsodium-*
./configure
make
make install
ldconfigecho /usr/local/lib > /etc/ld.so.conf.d/usr_local_lib.confcd /usr/local/src/dnscrypt_proxy的用法可以通過wget ""bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf -cd dnscrypt-proxy-*
./configure
make
make install
man 8 dnscrypt_proxy
查詢
在啟動之前,需要注意一項,因為dnscrypt_proxy作為查詢**是對通訊加密的,這也要求目的dns伺服器也要支援,專案主頁提供乙份
可用列表
啟動指令碼
最後我們可以看到建立了本機53埠與目的主機443埠的鏈結;按照官網的提示,如果我們安裝成功,當我們執行dig txt debug.opendns.com
,會看到debug.opendns.com. 0 in txt "dnscrypt enabled (......)"
這樣的輸出。
恭喜,我們成功了,下一步我們只需要把本機的dns伺服器指向到這台**即可
再來檢視下www.dropbox.com
的解析情況
訪問一下
使用DNSCrypt解決DNS汙染問題
dnscrypt是opendns發布的加密dns工具,可加密dns流量,阻止常見的dns攻擊,如重放攻擊 觀察攻擊 時序攻擊 中間人攻擊和解析偽造攻擊。dnscrypt支援mac os和windows,是防止dns汙染的絕佳工具。dnscrypt使用類似於ssl的加密連線向dns伺服器拉取解析,所以...
DNSCrypt防止DNS竊聽
中間人劫持攻擊已經屢見不鮮了,惡意攻擊者可以竊聽路由和交換機,對你目前的操作一清二楚。除了ssl tsl加密通訊的竊聽難度較高外,其他的訪問位址,內容等攻擊者都可以瞭如指掌。dns抓包是了解你訪問位址的乙個重要途徑,然而dns是基於udp,幾乎是公開透明的通訊。為了防止dns被攻擊者抓包從而獲取我們...
使用DNSCrypt解決Dropbox汙染問題
b dx sohu.com 背景知識 防火長城 gfw keyword dnscrypt dns汙染問題 dropbox無法同步 gfw 起因 昨天dropbox的網域名稱突然被dns汙染,而且dropbox網域名稱也進了黑名單keyword,導致dropboxclient無法使用。凝視 我的dro...