传统的 DNS 有什么问题?
DNS是一套非常非常古老的协议,最早可追溯到1983年,自从1987年协议定稿之后,没有发生什么变化,被一直沿用至今。开发DNS协议的时候,互联网还是新兴事物,因此大家根本没顾虑到信息的安全性和保密性。传统的DNS查询和响应通过UDP或TCP发送而不加密,这很容易受到窃听和欺骗,包括基于DNS的网络审查,称为DNS污染。
继续刚才的比喻:你在村口遇到的可能是假的王大爷;你遇到的大爷会带你去错误的门牌号;王大爷给你指路时会被其他人听到。你打开网易,登录自己的邮箱,你看到地址栏的网址是 mail.163.com 没错,于是信心满满地输入你的用户名和密码,殊不知你登录的其实是黑客设立的假网站……
开启 DNSCrypt-proxy
DNSCrypt-proxy 是一款开源的、灵活的 DNS 代理,支持现代加密DNS协议,如 DNSCrypt v2 和 DNS-over-HTTPS,并支持 DNSCrypt 与基于 TLS 1.3 的 DNS-over-HTTPS(DoH)。