V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

终于能彻底的解决 dns 劫持了。

  •  
  •   zhizhongzhiwai · 164 天前 · 3523 次点击
    这是一个创建于 164 天前的主题,其中的信息可能已经有所发展或是发生改变。
    不知道以前的前辈是不是在论坛里发过 这个软件,如果重复发了。请自行忽略。


    解决 DNS 劫持的方案: dnscrypt

    在 windows 上我用的是 simplednscrypt 。

    具体实现原理,我就不解释了。大概意思是:常用的 dns a 记录的格式为 a.com 1.1.1.1, 简单来说,就是替换成 a.com 1.1.1.1 sign

    在 window 上安装后,竟然发现很多网站不用代理都能打开了。
    第 1 条附言  ·  164 天前
    竟然有人说我是骗人的。 哈哈。
    上图: https://s23.postimg.org/59zoemyrf/dns.png


    具体在解释下原理,我以为大家对 dns 协议都比较懂, 看来我需要解释下,下面的解释,只求你能听懂, 不代表绝对的技术准确。

    以前的 dns 解析的方式: 客户端请求 a.com, dns 服务器讲存储的记录 a.com 1.1.1.1 返回给客户端。

    dnscrypt 的方式: 客户端请求 a.com, dnscrypt 服务器讲 a.com 1.1.1.1 sign(dnscrypt token, a.com, 1.1.1.1)="sign" 返回给客户端, 客户端开始校验 sign 。 每个 dnscrypt 的 token 都是公开的, 实际上是非对称的算法。 这样就能防止 dns 修改了。
    第 2 条附言  ·  159 天前
    如果你觉得各种设置比较麻烦, 直接用 yandex 浏览器, 俄罗斯最大的搜索引擎厂商 yandex 提供的。

    浏览器内置 dnssrypt 支持, 看看人家对安全的重视程度。 哎
    29 回复  |  直到 2017-03-14 15:51:47 +08:00
        1
    BlackBerry   164 天前
    学习了,能贴一下你的配置吗?
        2
    laincat   164 天前 via iPhone
    虽然有些能访问了,然而速度。。。
        3
    anubu   164 天前
    速度和 cdn 也能解决吗
        4
    zhizhongzhiwai   164 天前
    @BlackBerry 配置能看得懂中文就可以, 我选择的是香港的那个解析节点。 速度还不错。
        5
    zhizhongzhiwai   164 天前
    @anubu
    选择香港的那个解析节点。 还是挺快的。

    为了安全,只能稍微牺牲速度了。
        6
    yoke123   164 天前
    朋友 怎么用 一脸懵逼
        7
    ScotGu   164 天前
    这是在 DNS 上写上静态的 A 记录解析?
    那和本机改 HOST 表有什么不同?
        8
    lenovo   164 天前
    r#3 @anubu 分流解析能解决部分
    https://github.com/CNMan/unbound.conf
        9
    artandlol   164 天前
    一直使用自用 hosts
    现在感觉可以抛弃了 ths
    装完打不开的看这里:
    This software targets .NET 4.6.
    It also requires Visual C++ Redistributable for Visual Studio 2015 x86.
        10
    v1024   164 天前 via iPhone
    朋友,你先搜一搜嘛,这也不是什么新项目了,然而被你的标题骗进来...
        11
    zhizhongzhiwai   164 天前
    @v1024
    被我骗进来的?
    我是绝对能用的。
        12
    zhizhongzhiwai   164 天前
    @ScotGu
    改 host 表示最直接的方式了。 但是维护起来麻烦大。

    你可以理解为 dnscrypt 返回的 a 记录, 多增加了一个 签名。 客户端可以根据 a 记录的数据和 dnscrypt 的 publickey 生成签名,然后和 dnscrypt 服务器返回的签名进行对比。从而保证这个 a 记录不会被修改。
        13
    hei1000   164 天前 via Android
    只能 Windows 用?那对不用 Windows 的没卵用,移动端呢?
        14
    artandlol   164 天前
    @zhizhongzhiwai 这个确实不是什么新鲜的东西
    早在 ss 出来那会就在讨论了 还有的也自己造了轮子
    只是这个便捷点
    用一些捷径 hosts 不用维护的 :)
        15
    mrcola   164 天前 via Android
    相比 PDNSD 走 TCP 呢
        16
    smallfount   164 天前
    为了 DNS 专门起了根 Tunnel 的飘过.......
        17
    lbp0200   164 天前
    我最近在找查询备案的接口,已备案网站一律直连,谁能提供点思路?
        18
    cos   164 天前
    dnscrypt 老早就开发出来了,你怎么才发现这个宝。。。。。在路由器上将它与 dnsmasq 搭配使用,非常爽。
        19
    Khlieb   164 天前 via Android
    @hei1000 SimpleDNSCrypt 只是针对 Windows 做的一个前端, dnscrypt 本身是跨平台的,有些开发者还在 OSX 和 Linux 做这个的前端,移动端麻烦的多。
        20
    t6attack   164 天前
    缺点之一,很多大网站 IP 被解析到离你最远的服务器。
        21
    Khlieb   164 天前 via Android
    @yoke123 Bing 搜索 SimpleDNSCrypt
        22
    weyou   164 天前 via Android
    如果选择国外 dns 解析的话, cdn 会被解析到国外
        23
    jacy   164 天前
    这类副作用太大,我还是喜欢用运营商 dns+自定义名单 dnsmasq
        24
    iCyMind   164 天前
    自定义名单 + dnsmasq
    谁用谁知道
        25
    lfk0000   164 天前
    用过一段时间,各种丢 css
    改回默认了,我这边的联通还算良心也没啥劫持
        26
    uzumaki   163 天前 via Android
    上海电信表示,光猫内置,你这些都是辣鸡
        27
    qq234il   160 天前
    个人觉得 dnscrypt mac 端的比 win 端的更加好用而且方便
        28
    kaesi0   153 天前
    我就想问 SimpleDNSCrypt 怎么能最小化 @zhizhongzhiwai
        29
    01802   102 天前
    @kaesi0 本身安装选系统服务,然后直接关掉就好,不用开着的。只是换 dns 时开一下
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   717 人在线   最高记录 2607   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 61ms · UTC 00:04 · PVG 08:04 · LAX 17:04 · JFK 20:04
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1