OpenDNS 發表了他們新工具 – DNSCrypt的預覽版。將它吹捧成是網路私密性和安全性的巨大進步。立意很簡單,就是加密使用者在查詢DNS過程中的全部流量。這是個很好的想法,但我覺得他們並沒有真正解決問題。
根據OpenDNS所說,這是世上第一支真正實作DNSCurve的 程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊 協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但 問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就 可能可以看到其他的網路流量。
如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域 (TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和 DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」
DNSCrypt還有一個有趣的副作用,就是會將更多的流量導到OpenDNS網路去。他們已經將客戶端程式的原始碼開放出來,但他們目前只有實作一台有在運作中的伺服器。如果你會擔心你的ISP竊聽你的DNS封包,你難道不會擔心OpenDNS去做一樣的事情嗎?
結論
不幸的是,只用加密去包裝現有的通訊協定並不總是可以解決問題。我同意這樣會讓DNS通訊本身變得更安全。然而,增加的私密性只對DNS有用。其他的通訊協定還是和以前一樣會洩漏資訊。
如果你想要確保你所收到的DNS回應並沒有被篡改過,可以看看DNSSEC。如果你擔心有人會竊聽你的封包,然後追蹤你的網路活動,可以考慮使用Tor或其他VPN / 代理服務.
相关帖子: http://briteming.blogspot.com/2013/03/installing-dnssec-tools.html
-------------------------------------------------
其实所谓的DNS污染,是利用很多现存DNS技术的保安漏洞去达致,只不过中国当局比起众多黑客高级一些地方在于,黑客不可能改变各大电讯公司的 DNS主机纪录,但中国当局具备改变电讯公司纪录的政治能力。但只要互联网用家可以绕过中国电讯公司的DNS主机,仍然可以避过DNS污染的袭击。
而DNSCrypt是OpenDNS公司推出的小工具,令整个DNS解析过程,可以在加密的情况下,直接由OpenDNS的主机负责,这样就有效避 过中国的DNS污染,对大部分用户而言,这也是最简单直接的方法,因为并不需要什么高深技术知识,只要把软件安装,然后执行便成事。
DC:那这只软件可以支援什么平台?又怎样安装?
李:由于DNSCrypt仍然在测试阶段,所以只限使用Windows和Mac的桌面电脑才可以安装使用。只要去OpenDNS的网站去下载便可以,我们这集翻墙问答会提供片段,示范如何在Windows下安装使用DNSCrypt,欢迎大家留意收看。
至于平板电脑以及智能手机,这可能要耐心等一下,因为平板电脑和智能手机的应用软件,涉及软件商店的审批程序,而要开发相关的软件亦有一定技术难度。这一如大部分翻墙软件,现时仍然未有平板电脑和智能手机相应版本一样。
由于这只软件,迟早会引起中国当局的注意,因此,本人要再一次不厌其烦提醒各位听众,请翻墙前往OpenDNS的主机下载软件,不要在中国国内的网站下载所谓绿色版之类,随时这些版本被当局,或不怀好意的黑客加了木马也不知,那就得不偿失。
DC:有些DNS代理,或涉及特别埠口的软件,在个别Wi-Fi路由器,或在咖啡室之类的公共路由器使用上都可能有问题,或要作出特别设定。那DNSCrypt又有没有这类问题?
李:DNSCrypt使用的加密技术,由于未算是一种互联网公认技术标准,所以在部分路由器,特别家用Wi-Fi路由器,或餐厅、机场等用的公共路由器,必须作出改动才能使用自如。
DNSCrypt有一个选项,可以容许用家使用TCP443埠口来做加密解析,因为大部分路由器以及防火墙,都会视TCP443埠口的通讯是SSL 通讯而不作拦截或封锁,基本上,你在外面用的时候,选择这个选项就对。当然,这选项的缺点是速度比较慢。但相信随著DNSCrypt软件和技术本身日趋成 熟,这问题应该可以慢慢获得解决。
DNSCrypt容许用家,在OpenDNS加密的解析主机未能够为你提供服务时,自动改用原本DHCP指派的DNS主机,但在中国的特殊情况下, 我们不建议使用这个选项,因为这有违你安装DNSCrypt的原意。始终中国安装DNSCrypt的人,要防的并非一般的黑客,而是由整个国家机器。能够 尽量使用DNSCrypt的解析,就应该坚持使用DNSCrypt,除非中国当局干扰DNSCrypt至一个一般人无法使用这技术的程度,这又作别论了.
根據OpenDNS所說,這是世上第一支真正實作DNSCurve的 程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊 協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但 問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就 可能可以看到其他的網路流量。
如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域 (TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和 DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」
DNSCrypt還有一個有趣的副作用,就是會將更多的流量導到OpenDNS網路去。他們已經將客戶端程式的原始碼開放出來,但他們目前只有實作一台有在運作中的伺服器。如果你會擔心你的ISP竊聽你的DNS封包,你難道不會擔心OpenDNS去做一樣的事情嗎?
結論
不幸的是,只用加密去包裝現有的通訊協定並不總是可以解決問題。我同意這樣會讓DNS通訊本身變得更安全。然而,增加的私密性只對DNS有用。其他的通訊協定還是和以前一樣會洩漏資訊。
如果你想要確保你所收到的DNS回應並沒有被篡改過,可以看看DNSSEC。如果你擔心有人會竊聽你的封包,然後追蹤你的網路活動,可以考慮使用Tor或其他VPN / 代理服務.
相关帖子: http://briteming.blogspot.com/2013/03/installing-dnssec-tools.html
-------------------------------------------------
DC:
又到了翻墙问答的时间。相信好多听众,都受到DNS污染问题困扰,由于中国当局在DNS上做手脚,令翻墙难度提高了不少。除了过往介绍过的HOSTS文件
编辑之外,最近OpenDNS推出了一个叫DNSCrypt的新工具,据闻在解决DNS污染问题上颇有帮助,不知这是怎样的工具?
李:DNSCrypt,略懂英文的人,都应该猜到这工具用什么原理去防止各类DNS污染的情况,这是利用加密技术,令DNS整个解析过程,不会被第三者干扰,从而确保用家浏览正确的网站,而不是被个别人士所骑劫的网站。其实所谓的DNS污染,是利用很多现存DNS技术的保安漏洞去达致,只不过中国当局比起众多黑客高级一些地方在于,黑客不可能改变各大电讯公司的 DNS主机纪录,但中国当局具备改变电讯公司纪录的政治能力。但只要互联网用家可以绕过中国电讯公司的DNS主机,仍然可以避过DNS污染的袭击。
而DNSCrypt是OpenDNS公司推出的小工具,令整个DNS解析过程,可以在加密的情况下,直接由OpenDNS的主机负责,这样就有效避 过中国的DNS污染,对大部分用户而言,这也是最简单直接的方法,因为并不需要什么高深技术知识,只要把软件安装,然后执行便成事。
DC:那这只软件可以支援什么平台?又怎样安装?
李:由于DNSCrypt仍然在测试阶段,所以只限使用Windows和Mac的桌面电脑才可以安装使用。只要去OpenDNS的网站去下载便可以,我们这集翻墙问答会提供片段,示范如何在Windows下安装使用DNSCrypt,欢迎大家留意收看。
至于平板电脑以及智能手机,这可能要耐心等一下,因为平板电脑和智能手机的应用软件,涉及软件商店的审批程序,而要开发相关的软件亦有一定技术难度。这一如大部分翻墙软件,现时仍然未有平板电脑和智能手机相应版本一样。
由于这只软件,迟早会引起中国当局的注意,因此,本人要再一次不厌其烦提醒各位听众,请翻墙前往OpenDNS的主机下载软件,不要在中国国内的网站下载所谓绿色版之类,随时这些版本被当局,或不怀好意的黑客加了木马也不知,那就得不偿失。
DC:有些DNS代理,或涉及特别埠口的软件,在个别Wi-Fi路由器,或在咖啡室之类的公共路由器使用上都可能有问题,或要作出特别设定。那DNSCrypt又有没有这类问题?
李:DNSCrypt使用的加密技术,由于未算是一种互联网公认技术标准,所以在部分路由器,特别家用Wi-Fi路由器,或餐厅、机场等用的公共路由器,必须作出改动才能使用自如。
DNSCrypt有一个选项,可以容许用家使用TCP443埠口来做加密解析,因为大部分路由器以及防火墙,都会视TCP443埠口的通讯是SSL 通讯而不作拦截或封锁,基本上,你在外面用的时候,选择这个选项就对。当然,这选项的缺点是速度比较慢。但相信随著DNSCrypt软件和技术本身日趋成 熟,这问题应该可以慢慢获得解决。
DNSCrypt容许用家,在OpenDNS加密的解析主机未能够为你提供服务时,自动改用原本DHCP指派的DNS主机,但在中国的特殊情况下, 我们不建议使用这个选项,因为这有违你安装DNSCrypt的原意。始终中国安装DNSCrypt的人,要防的并非一般的黑客,而是由整个国家机器。能够 尽量使用DNSCrypt的解析,就应该坚持使用DNSCrypt,除非中国当局干扰DNSCrypt至一个一般人无法使用这技术的程度,这又作别论了.
