本文为 regou.me 原创,转载请保留此行
各种链接被重置是很烦人的,比如谷歌上进行搜索时,可能会出现“连接被重置”啥的,这是ISP的DNS污染(什么是DNS污染DNS cache poisoning )造成的即使你修改了DNS服务器,仍然会被污染
OpenDNS公布了DNSCrypt ,即DNS加密,来阻止ISP或Hackers来污染你的DNS
下载客户端
- 如果你是MacOS,那么已经有现成的客户端了。
- 如果你是Windows,先去下载“DnsCrypt-Winservicemgr” (版本号可能已经变化)解压并运行就行了,全图形界面,很简单。前提是你得知道你上网用得网卡是哪个
- 如果你是Linux,我们这里重点说一说Ubuntu下的 DNScrypt的安装与设置:
1.在 https://github.com/opendns/dnscryptproxy/downloads里下载你对应的系统版本,比如我用的是是Ubuntu 64位,那么就下载“dnscrypt-proxy_0.9_amd64.deb” (版本号可能已经变化)下载完成后,双击安装
2.打开命令行 输入命令来查看帮助:
可以看到帮助里有很多参数的设置,这里,我们全部用默认的,除了 -t 参数(即tcp-port=)
或
这样就将我们的DNS加密服务启动了(关闭这个终端以关闭),但是这个DNS服务是我们的
本机,所以,我们要将自己的DNS指向我们的本机
设置DNS指向
客户端下载完成后,下面来修改DNS指向LocalHost
Ubuntu 、MacOS的话打开右上角的Network-Manager,编辑链接,然后在IPv4设置里设置
DNS为127.0.0.1就行了。注意设置好了以后,要断开再链接;
Windows是在“控制面板\网络和 Internet\网络连接”里找到所使用的网卡,在里面的
IPv4设置里指定DNS服务器为127.0.0.1
下载类似ForceSSL的强制https的插件(Opera用户推荐“Swiss Knife”插件)。
好了,现在试试Google Plus、Facebook吧!注意如果是那些“本来就不能正常的网站”一定得是https模式哦!
还有一种不加密的方案,就是一个叫
- pdnsd
的软件包,安装很简单
然后选择”Manual”
修改配置文件
perm_cache=16384;
cache_dir="/var/cache/pdnsd";
run_as="pdnsd";
server_ip = 127.0.0.1; // Use eth0 here if you want to allow other
// machines on your network to query pdnsd.
status_ctl = on;
paranoid=on;
/* 注意取消掉前面的双斜杠注释符号! 在这里设置查询方法为TCP
设定为 tcp_udp则在TCP查询无效的情况下使用常规的UDP协议查询*/
query_method=tcp_only; // pdnsd must be compiled with tcp
// query support for this to work.
min_ttl=15m; // Retain cached entries at least 15 minutes.
max_ttl=1w; // One week.
timeout=10; // Global timeout option (10 seconds).
}
/* 修改成自己希望使用的DNS服务器地址,原本为根DNS列表 */
server {
label="Google-Public";
ip = 8.8.8.8
, 8.8.4.4;
ping_timeout = 300; // Test every half hour.
}
source {
owner=localhost;
file="/etc/hosts";
}
rr {
name=localhost;
reverse=on;
a=127.0.0.1;
owner=localhost;
soa=localhost,root.localhost,42,86400,900,86400,86400;
}
编辑
以启用pdnsd
START_DAEMON=yes
# auto-mode, overrides /etc/pdsnd.conf if set [see /usr/share/pdnsd/]
AUTO_MODE=
# optional CLI options to pass to pdnsd(8)
START_OPTIONS=
最后启用pdnsd服务即可:
启用完毕后,也是要将本机的DNS改成127.0.0.1
______________________________________________
5月2日跟新
推荐大家用
- Unbound,支持TCP DNS也支持DNSSEC认证
大家自己去Unbound的配置说明页去看看
收留下我的配置,注意:Unbound的配置文件格式要求很高,冒号后面必须得有且只有一个空格
prefetch: yes
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
tcp-upstream: yes
forward-zone:
name: "."
forward-addr: 8.8.4.4
forward-addr: 8.8.8.8
forward-addr: 208.67.222.222
forward-addr: 208.67.220.220
forward-addr: 2001:470:20::2
forward-addr: 74.82.42.42
forward-addr: 2001:4860:4860::8888
#以上这么多条是我收集的可信任的DNS公共服务器,没IPv6的,把ipv6的dns注释掉
forward-zone:
name: "cn"
forward-host: 218.2.135.1
#你们城市的DNS,因为.cn域名就不用认证了此片段可以不使用
li
不知道为什么我觉得ubuntu下的中文字体有些变扭 有时候显示的一大一小的。装了UBUNTU但是还是没熟悉啊!!!
只是网页是这样吧?
我的正常啊。会不会是你中文语言包没装全?
您好,我想问该如何让DNScrypt和Unbound同时运行?我看了DNScrypt官方的介绍说DNScrypt和Unbound互不冲突且互为补充的,可是我在我的电脑上就不能同时开启两个服务,是不是还需要额外的配置?Thank you
这两个服务都企图监听127.0.0.1:53而导致的冲突,两服务不能同时运行。
可是官网有说互为补充么?我觉得DNSCrypt已经采用了TCP DNS了,而Unbound有TCP DNS 和 DNSSEC DNSCrypt(需要配置),我猜即使要互补可能是TCP 加密的OpenDNS,然后接收的信息用DNSSEC验证……Unbound开启server key后,能代替DNSCrypt,所以没必要都开啊。
André, boa tarde. É tranquilo beber e dirigir por lá? Sabe qual o limite permitido? Estou indo em novembro agora e estarei de carro taum&eacbte;m. Problema é visitar estas cervejarias e não poder beber nada Obrigado, Henrique
It’s great to find sooemne so on the ball
您好,谢谢!我看了应该是DNScrypt和DNSSEC互为补充,因为Unbound支持DNSSEC, 所以我把它理解为了互为补充 🙂 Unbound能支持DNSSEC这个我知道,但是您说Unbound能代替DNScrypt这我倒是不知道,其实DNScrypt已经有很多功能了,只是我觉得还不够,起码它不支持DNS Cache 和DNSSEC, 所以我一直希望能用Unbound或DNSSEC Trigger 来与之互补,您方才说Unbound能代替DNScrypt,那就更方便了,以后我只需开Unbound 就行了,只是我菜鸟一个,不知该如何操作,所以想请您帮帮忙,谢谢啦!顺祝新年快乐!(如若方便的话可加我QQ, 在邮箱里 🙂
看unbound.conf 的配置文档 http://unbound.net/documentation/unbound.conf.html
搜索到”ssl-service-key”这一项,
上面说如果服务器支持DNS的加密,则可以开启它来启用DNS加密,但是我不知道OpenDNS的两个key,所以没有实践过。
过年也忙着各种折腾啊,握个手,另新年快乐!
Köszönöm szépen, bár a fotót csak kaptam. Viszont csaknem mindig ezt a tésztát használom a mézesekhez, pedig elég sok mézes receptem vaeÃ.œdvözlettnl: Marica
ä½ èªªå¾—å°,見éŽæœ‰äººç´”粹為åå°è€Œåå°,å°äº‹å¯¦å»ä¸æ„Ÿèˆˆè¶£。èªè˜æœ‰ä½ç•¶è€å¸«çš„網å‹,知é“å¸ç”Ÿèªªå…四是支è¯æœƒç‰‡é¢ä¹‹è©žå¾Œ,åˆ°åœ–æ›¸é¤¨æŠŠç•¶å¹´å¤§å…¬æ–‡åŒ¯æ˜Žå ±çš„microfilm å½±å°çµ¦å¸ç”Ÿçœ‹,ä»–çš„å¸ç”Ÿæ˜¯é«˜ä¸ç”Ÿ,看完感到有點ä¸çŸ¥æ‰€æŽª,å› ç‚ºä¸çŸ¥é“原來是真的,就算那å¸ç”Ÿè¦ºå¾—當年的人抵æ»,至少他ä¸èƒ½å¦èª,天安門沒有æ»éŽäºº。我想,çµ¦äººçœ‹å‰ªå ±,是目å‰è¼ƒç†æƒ³çš„方法。æŒæ›²çš„確需è¦æ–°è¡€,我å°《自由花》,《ä¸åœ‹å¤¢》,å°ç£çš„《æ·å²çš„å‚·å£》最感動,但我最想有些hip hop 或rock è½ä¸‹å”±ä¸‹,å…ˆå¤ ç†±è¡€。
Idag kom världens underbaraste tidning "nerdimpande" i brevlådan. Har för mig att du skulle berosa denna framöver. När berikar du oss?/kram
写得真是太好了,我要保存下来当作条记,随时检察。
好久没来看博主的文章了,说的很有原理,点赞一下!