前言

在開始寫這篇文章之前，先要普及一個知識中國長城防火墻（英文名：Great Firewall of China）好偉大的樣子，是XX專門用來對網(wǎng)民進行網(wǎng)絡封鎖，閉關鎖國的的工具。最近一批google.com, youtube.com, facebook.com, dropbox.com等一批國外知名網(wǎng)站，均無法正常訪問，就是拜其所賜。它所實現(xiàn)的主要屏蔽技術有IP封鎖，關鍵字過濾，域名劫持與污染以及HTTPS證書過濾四種。本文主要通過DNScrypt技術反其dns劫持與污染。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設,湘鄉(xiāng)企業(yè)網(wǎng)站建設,湘鄉(xiāng)品牌網(wǎng)站建設,網(wǎng)站定制,湘鄉(xiāng)網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,湘鄉(xiāng)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

先了解一下什么是DNS劫持和DNS污染，其實兩者并不是一個概念。大家都知道主機之間的通信通過ip來標識對方主機，但是IP不容易記憶，后來提出了域名的概念，比如www.baidu.com, 域名與IP之間就是通過DNS解析聯(lián)系起來，實現(xiàn)了域名與IP之間的映射。這份映射關系存儲在DNS服務器上。

什么是DNS劫持

DNS劫持一般發(fā)生在某些網(wǎng)絡運營商身上，DNS劫持就是劫持了DNS服務器，獲取DNS服務器的控制權。通過某些手段修改這些域名的目的解析IP地址。DNS劫持通過篡改DNS服務器上的數(shù)據(jù)，給用戶返回一個錯誤的查詢結果來實現(xiàn)的。

DNS劫持癥狀：在某些地區(qū)的用戶在成功連接寬帶后，首次打開任何頁面都指向ISP提供的“電信互聯(lián)星空”、“網(wǎng)通黃頁廣告”等內容頁面。還有就是曾經(jīng)出現(xiàn)過用戶訪問Google域名的時候出現(xiàn)了百度的網(wǎng)站。這些都屬于DNS劫持

應對DNS劫持，只需要在網(wǎng)絡配置中把DNS服務器地址配置成國外的DNS服務器地址就可以解決，比如谷歌提供的DNS服務器地址：8.8.8.8 8.8.4.4

什么是DNS污染

DNS污染是一種讓一般用戶由于得到虛假目標主機IP而不能與其通信的方法，是一種DNS緩存投毒***（DNS cache poisoning）。其工作方式是：由于通常的DNS查詢沒有任何認證機制，而且DNS查詢通?；诘腢DP是無連接不可靠的協(xié)議，因此DNS的查詢非常容易被篡改，通過對UDP端口53上的DNS查詢進行***檢測，一經(jīng)發(fā)現(xiàn)與關鍵詞相匹配的請求則立即偽裝成目標域名的解析服務器（NS，Name Server）給查詢者返回虛假結果。

DNS污染癥狀：目前一些被禁止訪問的網(wǎng)站很多就是通過DNS污染實現(xiàn)的，例如YouTube、Facebook、DropBox等網(wǎng)站。

對于DNS污染，普通用戶是不能夠通過簡單地設置國外DNS服務器就能解決的。需要用到這篇所講的重點：DnsCrypt-proxy，我通過這種方式解決了對Dropbox的訪問封鎖。

先看下谷歌DNS服務器(8.8.8.8)對www.dropbox.com的解析情況

電信DNS服務器(114.114.114.114)對www.dropbox.com的解析情況

www.dropbox.com均被解析到 59.24.3.173 這個IP, 這是一個韓國IP，使用站長ping工具檢測一下,全部超時，我只截取其中的一部分，如果服務器不通或禁ping，則全部超時。

無論我們是從谷歌服務器還是電信服務器拿到的數(shù)據(jù)包，在到手之前均被長城防火墻進行篡改。為了防止這份數(shù)據(jù)被篡改，我們需要借助DNSCrypt這款工具保證我們的dns查詢數(shù)據(jù)包不被篡改。

DNSCrypt是OpenDNS發(fā)布的加密DNS工具，可加密DNS流量，阻止常見的DNS***，如重放***、觀察***、時序***、中間人***和解析偽造***。DNSCrypt支持Mac OS和Windows 以及Linux，是防止DNS污染的絕佳工具。我在Mac OS與Centos上均做了嘗試。

安裝DNSCrypt-proxy

在Mac OS 與 Linux 上的安裝非常簡單，按照項目主頁的文檔一步一步操作即可。

Mac Os 可使用brew工具一鍵安裝

brew install dnscrypt-proxy 

Linux安裝

#安裝依賴
cd /usr/local/src/
wget "https://download.libsodium.org/libsodium/releases/libsodium-0.5.0.tar.gz"tar -xzvf libsodium-*.tar.gzcd libsodium-*
./configure
make
make install

ldconfigecho /usr/local/lib > /etc/ld.so.conf.d/usr_local_lib.confcd /usr/local/src/
wget "http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.4.0.tar.bz2"bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf -cd dnscrypt-proxy-*
./configure
make
make install

啟動dnscrypt_proxy

dnscrypt_proxy的用法可以通過man 8 dnscrypt_proxy查詢

在啟動之前，需要注意一項，因為dnscrypt_proxy作為查詢代理是對通信加密的，這也要求目的dns服務器也要支持，項目主頁提供一份可用列表

啟動腳本

最后我們可以看到建立了本機53端口與目的主機443端口的鏈接；按照官網(wǎng)的提示，如果我們安裝成功，當我們執(zhí)行dig txt debug.opendns.com，會看到debug.opendns.com. 0 IN TXT "dnscrypt enabled (......)"這樣的輸出。

恭喜，我們成功了，下一步我們只需要把本機的dns服務器指向到這臺代理即可

再來查看下www.dropbox.com的解析情況

訪問一下https://www.dropbox.com

網(wǎng)頁題目：使用DNSCrypt解決DNS污染問題
文章分享：http://sd-ha.com/article18/ggchgp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、品牌網(wǎng)站設計、網(wǎng)站內鏈、品牌網(wǎng)站建設、網(wǎng)站建設、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)