|
|
本帖最后由 hello_limin 于 2020-1-9 11:30 编辑
OpenWrt 18.06.6  它来了,昨晚上九点钟上线,我等会儿补张图康康
-
-
-
说在前面的话,引用如下,
三年前,我写了一篇文章《在 OS X 上 避免 DNS 泄露》来谈如何保护你的隐私,并避免 DNS 泄露,那时候主要用的技术是 dnscrypt——实际上后来我就放弃了这个方案,原因是公共服务器受干扰严重,配置复杂延迟高。现在三年过去了,我们来看看最新的 DoT 和 DoH,实际上就是 DNS over TLS 和 DNS over HTTPS
那些 DNS 加密方案
实际上我们早就已经谈过,DNS 是明文传输所有内容的,设计之初就没考虑安全这回事,甚至是抢答的,你问 A www.logcg.com 是哪个 IP 地址,A 还没来得及回复, B 抢答说 127.0.0.1 !于是,你就信了。
这也是如今 gfw 墙网站的常用手段,也是 DNS 污染的原理。总之,dnscrypt 出现了,但它使用了一个自定的协议,并配置需要互相交换密钥,这导致了很多麻烦。如今,又有了两个全新的 DNS 加密(显然也就反污染了),这次我们就来谈谈,他俩到底哪里不同。
DNS over TLS
TLS 加密实际上就是我们上网的 HTTPS 所用加密了,安全性得到了很好的保障——这东西如果失效了,那整个互联网估计也就完蛋了。
DoT 使用 853 端口,使用 TCP 进行传输——基本上可以理解为加密版本的普通 DNS 了。
现如今,DoT 已经有了相当成熟的客户端,使用 brew install stubby 即可安装,再使用 sudo brew services start stubby 就能启动了,stubby 推荐使用默认配置,已经集成了多个可信的 DoT 服务器。我这边测试查询速度为最慢 1 秒……是的,你还是需要一个前置的 DNS 缓存服务,比如 dnsmasq,这里我就直接用 Surge 充当了。
一些未来的疑惑
DoT 看起来很美妙,几乎是完成了我们对加密 DNS 的一切幻想,但有一点还是应当注意,在中国这样的国家,DoT 一旦流行起来,那么它对然不能再被污染,但却很容易被封禁——因为它有一个固定的独立端口,虽然别人不知道你在访问什么网站了,但却能够知道你在用 DoT ,干脆直接干扰你 TCP 包不就行了?
(当然,DoT 也是可以专门占用 443 端口就是了)
DNS over HTTPS
总之,混淆才是王道,虽然这样会让网管很头疼,但在严重审查的地区,还是值得一试的。尽管现在人们对于 DoH 的态度还颇有争议,但还是有很多互联网机构支持了它——直接使用 HTTP/2 或者 HTTPS 协议进行请求,这下你就很难专门把 DNS 流量单独分离出来进行干扰了。
尤其对于自建 DNS 服务器来说,甚至可以直接隐藏在网站之后!
我个人的搞法如图,可以参照修改,其他别的地方留空或保持默认就好,另外的
可搭配路由器自带的 Dnsmasq 使用 借助其 DNS 缓存提升查询速度
LuCI 中定位至「网络」 - 「DHCP/DNS」在其「基本设置」-「DNS 转发」 处填写127.0.0.1#1023
LuCI 中定位至「网络」 - 「DHCP/DNS」在其「HOSTS和解析文件」中勾选 「忽略解析文件」
然后点击页面右下角的「保存并应用」即可。
-
-
-
-
-
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|
/1 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
