当您使用 HTTPS 或 SSL 时,。 当您使用 VPN 时,(通常)。 有时,即使使用 HTTPS 和 VPN,DNS 请求(或者您的计算机将“lifehacker.com”转换为您的计算机可以理解的数字(例如“199.27.72.192”)的方式也完全未加密,让您容易受到欺骗和入侵-中间人攻击。DNS加密可以锁定它。 就是这样。
为什么您可能想要加密您的 DNS
日常用户可能想要加密其 DNS 的原因有多种。 首先,如果您认为自己是安全的,但仍然收到来自 ISP 的安全警报或警告,或者与黑客或网络钓鱼尝试作斗争,那么您的安全工具可能并不像他们声称的那样无懈可击。 例如,许多 VPN 提供商承诺提供端到端安全性,但会左右“泄漏”DNS 请求。 第二,DNS 窥探和DNS 服务器配置不当已成为受欢迎的 攻击向量最近(参见卡明斯基漏洞),作为监视人员(或公司)并收集敏感数据的一种方式。
当您的系统发生“DNS 泄漏”时,即使您已连接到 VPN 或匿名网络(例如托尔,每次您访问新网站、连接到新服务器或启动新的互联网连接应用程序时,都会继续查询 ISP 的 DNS 服务器。 最终,这意味着即使您的流量已加密,您的 ISP(或者更糟糕的是,任何窥探您互联网连接“最后一英里”(即您的计算机和 ISP 之间的网络)的人)都可以清楚地看到您连接到的所有内容您正在上网以及您在网络上访问的每个网站。
有些黑客只会收集这些信息,但最糟糕的黑客实际上会收集这些信息,然后用它来进行攻击中间人攻击,攻击者只是位于您和最终目的地之间,并沿途收集数据——密码、cookie,甚至足够的加密数据,最终破解您的加密(如果它很弱)。 在某些情况下,攻击者实际上会冒充您正在连接的服务,以便在您发现问题之前收集尽可能多的数据。 要了解有关 DNS 泄漏的更多信息,查看 DNSLeakTest.com 的解释,如果您想了解您的 VPN 是否泄漏 DNS 请求,您可以在同一站点上进行测试。 DNSLeakTest.com 也有您可以尝试其他一些修复一个有漏洞的VPN。
公平地说,对 DNS 进行加密是许多人可能不需要追求的安全级别。 但是,如果您经常处理敏感材料、远程工作并需要确保所有流量的安全,或者前往可能被窥探的地方,那么加密您的 DNS 是一个好主意。 如果您需要真正的匿名或隐私,即使是来自您的 ISP,您可能需要考虑它。 如果您只是在舒适的家中上网冲浪,这对您来说可能不是问题。 结合和,加密的 DNS 可以将您的安全性提升到一个新的水平,特别是当您需要隐私、匿名和安全时。
DNSCrypt 如何保护您
DNS加密是人们的一个业余项目开放DNS,我们已经,,,甚至更正错误输入的 URL。 它是一款简单的软件,您可以安装在 Mac、Windows 或 Linux 系统上,当与 OpenDNS 结合使用以进行家庭 DNS 解析时,即使是漏洞最严重的 VPN 也会变得更加安全。
OpenDNS 的方法是,DNS 加密对于安全使用互联网来说就像 HTTPS 对于网上冲浪一样重要。 他们解释说:
与 SSL 将 HTTP Web 流量转换为 HTTPS 加密 Web 流量的方式相同,DNSCrypt 将常规 DNS 流量转换为加密 DNS 流量,从而防止窃听和中间人攻击。 它不需要对域名或其工作方式进行任何更改,它只是提供一种安全加密我们的客户和数据中心 DNS 服务器之间通信的方法。 然而,我们知道仅靠声明在安全领域是行不通的,因此我们开放了 DNSCrypt 代码库的源代码,并且可以在 GitHub 上获取。
DNSCrypt 有潜力成为自 SSL 以来互联网安全领域最具影响力的进步,显着提高每个互联网用户的在线安全和隐私。
通过加密 DNS 请求,DNSCrypt 可确保您的互联网连接的每个部分都是安全的,即使它已经受到 VPN 的保护。 有关该应用程序及其工作原理的更多信息,请查看OpenDNS 的 DNSCrypt 页面。
从哪里获取 DNSCrypt
DNSCrypt 是开源的,安装包可供使用直接从 OpenDNS 下载。 该项目已维护在 GItHub,因此,如果您在寻找下载时遇到困难,您可以随时在那里找到它们。 官方仅支持 OS X 和 Windows,但开发社区位于DNSCrypt.org拥有更多操作系统的安装说明,包括基于 Linux 和 BSD 的系统、越狱的 iOS 设备和已 root 的 Android 设备。
官方的 Windows 和 Mac DNSCrypt 应用程序的工作方式都类似于 VPN 服务,您可以在需要增强安全性时打开和关闭它们。 您可以将它们安装为在启动时运行的服务,但我们建议您先尝试这种方式,然后再决定让它们一直打开,以防遇到问题或性能问题。 安装后(安装后您必须重新启动,因为应用程序正在对您的系统进行网络级更改),使用 DNSCrypt 应该像选中“启用 DNSCrypt”和“始终使用 OpenDNS”框一样简单。 执行此操作会将您的系统配置为对所有 DNS 请求使用 OpenDNS(如果尚未使用)并对这些请求进行加密。
如果您在路由器上使用 OpenDNS,并且您家中的所有计算机都指向您的路由器进行 DNS,则您仍然可以使用 DNSCrypt。 如果您的路由器运行的是最新版本DD-WRT或者番茄打开固件(两者 ),或者如果您的路由器支持开箱即用的 OpenDNS,则 DNSCrypt 可能已经存在,隐藏在 DNS 设置中。 启用它,一切就都准备好了。 如果它不存在,或者您的 DD-WRT 或 Tomato 版本太旧,这个论坛帖子将帮助您安装它。
请务必记住,DNS 加密只是保护您的互联网连接免受威胁的另一种方法。 大多数使用 DNS 作为攻击媒介的攻击都是针对组织和企业,或者拥有有用数据或创造性敌人的个人。 即使不是您,这也是为您的计算机或家庭网络添加额外安全层的好方法。 它易于安装,对您透明,并且如果您非常重视安全性,那么它会非常有用。
