DNSCrypt 使用类似于 SSL 的加密连接向 DNS 服务器拉取解析,所以能够有效对抗 DNS 劫持、DNS 污染以及中间人攻击。
如果能够有效对抗攻击,那不是也有很大的可能被攻击污染?但现实中却相对很稳定,想知道它具体是怎么工作的。
常见的:
guest (port 53) <--> dns server
因为没有加密,所以很容易被污染;题主提到的,以前看过,好像是opendns 搞的,原理大致这个样子:
guest (port 53) <---> local listening (port 443) <---> dns server
本地运行一个程序,然后拦截所有查询,加密并通过443 端口转发查询,域名服务器收到数据,返回加密的查询结果,最后本地程序把解析结果返回给对应的程序。这样做固然安全,但是加载速度会慢上3倍左右吧。(http://www.ruanyifeng.com/blog/2014/09/ssl-latency.html)
dns 污染几乎不可能了,除非动用中间人攻击;不过因为数据包都很小,而且频次高,这种行为模式很容易被探查,进而屏蔽服务器ip。
曾经,还有高人用53 端口蹭网破解计费系统,想来也是一段传奇啊。
其中有把DNS换成了其他端口。