描述
DNSCrypt-Proxy 是一款旨在提高 DNS(域名系统)解析的安全性和隐私性的工具。它充当 DNS 客户端,加密用户设备与兼容 DNS 服务器之间的 DNS 查询,防止如间谍活动、伪造(DNS 欺骗)或数据篡改等攻击。
主要特点
- DNS 查询加密:
- 使用基于 Salsa20 或 Curve25519 等算法的加密来保护 DNS 查询,防止互联网服务提供商、黑客或其他人拦截数据。
- 确保 DNS 响应是合法的,并来自配置的 DNS 服务器。
- 身份验证:
- 使用加密签名来验证 DNS 响应的完整性和来源,防止伪造攻击。
- 多协议支持:
- 除了 DNSCrypt,还支持 DoH (通过 HTTPS 的 DNS) 和 DoT (通过 TLS 的 DNS),这都是现代安全 DNS 协议。
- 允许配置自定义 DNS 服务器,如 Cloudflare(1.1.1.1)、Google Public DNS 或其他支持这些协议的服务器。
- 灵活性和个性化:
- 可以配置为使用封锁列表(blocklists)阻止恶意域、广告或跟踪器。
- 支持基于特定规则的条件查询转发。
- 允许使用匿名 DNS 服务器以增强隐私性。
- 本地缓存:
- 将 DNS 响应缓存以提高解析速度并减少对 DNS 服务器的负担。
- 轻量高效模式:
- 占用资源少,适合低功耗设备,如路由器或物联网设备。
如何工作?
- DNSCrypt-Proxy 安装在用户设备或路由器上。
- 它拦截应用程序或操作系统发出的所有 DNS 查询。
- 查询被加密并发送到兼容 DNSCrypt、DoH 或 DoT 的 DNS 服务器。
- 服务器安全地响应,DNSCrypt-Proxy 将响应交付给请求的应用程序。
优点
- 隐私: 防止 ISP 或第三方监视您访问的网站。
- 安全性: 保护免受 DNS 缓存中毒等攻击。
- 灵活性: 可以为不同用途配置,从基本安全到阻止不想要的内容。
- 免费和开源: 向所有人开放,拥有一个活跃的社区维护该项目。
缺点
- 依赖于兼容服务器: 不是所有 DNS 服务器都支持 DNSCrypt,尽管 DoH 和 DoT 被更广泛接受。
- 初始配置: 对于非技术用户可能较复杂,特别是在配置封锁列表或高级规则时。
- 性能: 加密可能引入一些延迟,尽管本地缓存可以缓解这一点。