Linux下配置DNScrypt避免DNS污染

关于DNScrypt

DNSCrypt是OpenDNS发布的加密DNS工具,可加密DNS流量,阻止常见的DNS攻击,如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt支持Mac OS,Linux和Windows,是防止DNS污染的绝佳工具。

官方网站 https://dnscrypt.org/

在Mac OS和Windows下,官方为DNSCrypt提供了GUI版应用配置起来较为简单。这里要介绍的是如何在Linux使用命令行配置DNSCrypt来避免DNS污染问题。Linux下高可用的DNSCrypt可从这里下载,官方仓库(在这里)也是从这个仓库fork来的,差别不详,感兴趣的童鞋可以查看仓库日志。此外官方还维护了一个资源库,包含了黑名单、DNS表和最新的源码及应用(戳这里前往)。

安装DNSCrypt

安装DNSCrypt可以通过源码安装,也可以直接使用编译好的应用程序(下载)。具体过程无大差别,这里以源码安装为例说明:

cd ~ 

wget https://download.dnscrypt.org/dnscrypt-proxy/LATEST.tar.gz -O dnscrypt-latest.tar.gz

tar zxvf dnscrypt-latest.tar.gz && cd dnscrypt-proxy

./autogen.sh 

./configure

make -j4 && sudo make install

默认DNSCrypt被安装到/usr/local下,除非./configure时设置了安装路径。安装DNSCrypt新增的文件包括:

/usr/local/bin/hostip    # dns 查询测试工具

/usr/local/sbin/dnscrypt-proxy     # dnscrypt 主程序

/usr/local/etc/dnscrypt-proxy.conf    # dnscrypt 配置文件

/usr/local/include/dnscrypt/     # dnscrypt 头文件

/usr/local/share/dnscrypt-proxy/dnscrypt-resolver.csv    # 可用DNS解析服务器列表

/usr/local/lib/dnscrypt-proxy/   # dnscrypt 库

(下面的内容对使用源码安装和使用预编译的二进制文件安装相同)


安装完成后,执行一下命令开启DNScrypt:

dnscrypt-proxy  -a 127.0.0.12  -R cisco

注释: -a表示本地监听端口,-R表示远程服务器。该命令需要root权限。

同样如果使用配置文件的话可通过如下命令开启dnscrypt:

dnscrypt-proxy /path/to/dnscrypt-proxy.conf 

配置文件建议使用安装时自带的版本(即/usr/local/etc/dnscrypt-proxy.conf 对源码安装),修改前注意备份。主要设置内容包括ResolverName、Daemonize、User、PidFile、ResolversList、LocalAddress,LogFile和QueryLogFile等几项,具体说明参见配置文件自身说明即可。

建议操作:

1、新建系统用于dnscrypt,并设置配置文件User项为dnscrypt,这是因为DNScrypt需要以系统用户身份运行

sudo useradd -d /var/run/dnscrypt --system dnscrypt 

sudo chown dnscrypt /run/dnscrypt

2、在配置文件中设置进行如下设置:

ResolverName random

ResolversList /usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv

Daemonize no  #测试通过后可修改为 yes

PidFile /run/dnscrypt/dnscrypt-proxy.pid

User dnscrypt

LocalAddress 127.0.0.1:53 #ip设置为本地ip均可127.0.0.*,127.0.1.*,端口不建议修改

测试是否生效可:1)设置网络IP获取模式为DHCP address only并设置DNS server为127.0.0.12,同LocalAddress; 2)使用hostip命令测试dns查询是否正常,hostip -r 127.0.0.12 www.baidu.com;  3)访问https://www.opendns.com/welcome/ 该网页会测试是否在使用openDNS,因为开启DNScrypt时设置远程服务器为cisco为openDNS官方服务器地址名称,因此这里测试结果应为通过。使用其他服务器时,测试显示不通过。

至此,通过安装DNScrypt、开启DNScrypt、设置网络DNS服务器设备已经能够在dns加密环境下上网。但如果每次开机都要手动设置DNScrypt,每次更换网络都要设置dns的话实在太麻烦。我们可以通过将DNScrypt设置为系统服务,并设置网络dns解析服务器为本地即可。

设置DNSCrypt为本地服务并更新系统dns表

添加系统启动项

首先在/etc/init.d/下新建dnscrypt-proxy文件:

sudo touch /etc/init.d/dnscrypt-proxy

该文件内容如下:

(使用手动设置)

#!/bin/sh

### BEGIN INIT INFO

# Provides:          dnscrypt-proxy

# Required-Start:    $local_fs $network

# Required-Stop:    $local_fs

# Default-Start:    2 3 4 5

# Default-Stop:      0 1 6

# Short-Description: dnscrypt-proxy

# Description:      dnscrypt-proxy secure DNS client

### END INIT INFO

PATH=/usr/sbin:/usr/bin:/sbin:/bin

case "$1" in

start)

echo "Starting dnscrypt-proxy"

mkdir -p /run/dnscrypt

/usr/local/sbin/dnscrypt-proxy \

--daemonize \

--user=dnscrypt \

--local-address=127.0.0.12 \

--resolver-address=176.56.237.171 \

--provider-name=2.dnscrypt-cert.resolver1.dnscrypt.eu \

--provider-key=67C0:0F2C:21C5:5481:45DD:7CB4:6A27:1AF2:EB96:9931:40A3:09B6:2B8D:1653:1185:9C66 \

--pidfile=/run/dnscrypt/dnscrypt-proxy.pid

/usr/local/sbin/dnscrypt-proxy \

--daemonize \

--user=dnscrypt \

--local-address=127.0.0.13 \

--resolver-address=77.66.84.233 \

--provider-name=2.dnscrypt-cert.resolver2.dnscrypt.eu \

--provider-key=3748:5585:E3B9:D088:FD25:AD36:B037:01F5:520C:D648:9E9A:DD52:1457:4955:9F0A:9955 \

--pidfile=/var/run/dnscrypt/dnscrypt-proxy.pid

;;

stop)

echo "Stopping dnscrypt-proxy"

pkill -f dnscrypt-proxy

;;

*)

echo "Usage: /etc/init.d/dnscrypt-proxy {start|stop}"

exit 1

;;

esac

exit 0

(使用配置文件设置)

#!/bin/sh

PATH=/usr/sbin:/usr/bin:/sbin:/bin

case "$1" in

start)

echo "Starting dnscrypt-proxy"

mkdir -p /run/dnscrypt

/usr/local/sbin/dnscrypt-proxy \

/usr/local/etc/dnscrypt-proxy.conf

;;

stop)

echo "Stopping dnscrypt-proxy"

pkill -f dnscrypt-proxy

;;

*)

echo "Usage: /etc/init.d/dnscrypt-proxy {start|stop}"

exit 1

;;

esac

exit 0

并赋予该文件可执行权限: 

sudo chmoe +x /etc/init.d/dnscrypt-proxy

然后将dnscrypt-proxy加入系统启动项,使其作为系统服务进程运行:

 sudo update-rc.d dnscrypt-proxy defaults

更新DNS服务器列表

在 /etc/resolvconf/resolv.conf.d/base 文件后追加 nameserver 127.0.0.12, 然后更新dns服务器

sudo /etc/init.d/resolvconf restart

当前系统网络使用的dns解析服务器可通过 cat /etc/resolv.conf 查看。

如果修改/etc/resolvconf/resolv.conf.d/base不能更新(我是这个情况),可新建/etc/resolvconf/resolv.conf.d/tail并将内容追加到该文件。

重启查看效果

设置完后重启电脑看是否正常,具体如下:

ps aux | grep dns

若输出有dnscrypt-proxy则DNScrypt正常启动服务。也可通过

top -u dnscrypt

查看。

使用 cat /etc/resolv.conf 再检测一下dns当前设置。

最重要的是要通过hostip测试,运行 hostip -r #LocalhostAddr# www.baidu.com 能正常返回IP则说明一切正常。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,463评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,868评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,213评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,666评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,759评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,725评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,716评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,484评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,928评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,233评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,393评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,073评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,718评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,308评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,538评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,338评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,260评论 2 352

推荐阅读更多精彩内容