Linux下配置DNScrypt避免DNS污染

关于DNScrypt

DNSCrypt是OpenDNS发布的加密DNS工具，可加密DNS流量，阻止常见的DNS攻击，如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt支持Mac OS，Linux和Windows，是防止DNS污染的绝佳工具。

官方网站 https://dnscrypt.org/

在Mac OS和Windows下，官方为DNSCrypt提供了GUI版应用配置起来较为简单。这里要介绍的是如何在Linux使用命令行配置DNSCrypt来避免DNS污染问题。Linux下高可用的DNSCrypt可从这里下载，官方仓库(在这里)也是从这个仓库fork来的，差别不详，感兴趣的童鞋可以查看仓库日志。此外官方还维护了一个资源库，包含了黑名单、DNS表和最新的源码及应用（戳这里前往）。

安装DNSCrypt

安装DNSCrypt可以通过源码安装，也可以直接使用编译好的应用程序（下载）。具体过程无大差别，这里以源码安装为例说明：

cd ~ 

wget https://download.dnscrypt.org/dnscrypt-proxy/LATEST.tar.gz -O dnscrypt-latest.tar.gz

tar zxvf dnscrypt-latest.tar.gz && cd dnscrypt-proxy

./autogen.sh 

./configure

make -j4 && sudo make install

默认DNSCrypt被安装到/usr/local下，除非./configure时设置了安装路径。安装DNSCrypt新增的文件包括：

/usr/local/bin/hostip    # dns 查询测试工具

/usr/local/sbin/dnscrypt-proxy     # dnscrypt 主程序

/usr/local/etc/dnscrypt-proxy.conf    # dnscrypt 配置文件

/usr/local/include/dnscrypt/     # dnscrypt 头文件

/usr/local/share/dnscrypt-proxy/dnscrypt-resolver.csv    # 可用DNS解析服务器列表

/usr/local/lib/dnscrypt-proxy/   # dnscrypt 库

（下面的内容对使用源码安装和使用预编译的二进制文件安装相同）

---

安装完成后，执行一下命令开启DNScrypt：

dnscrypt-proxy  -a 127.0.0.12  -R cisco

注释： -a表示本地监听端口，-R表示远程服务器。该命令需要root权限。

同样如果使用配置文件的话可通过如下命令开启dnscrypt：

dnscrypt-proxy /path/to/dnscrypt-proxy.conf 

配置文件建议使用安装时自带的版本（即/usr/local/etc/dnscrypt-proxy.conf 对源码安装），修改前注意备份。主要设置内容包括ResolverName、Daemonize、User、PidFile、ResolversList、LocalAddress，LogFile和QueryLogFile等几项，具体说明参见配置文件自身说明即可。

建议操作：

1、新建系统用于dnscrypt，并设置配置文件User项为dnscrypt，这是因为DNScrypt需要以系统用户身份运行

sudo useradd -d /var/run/dnscrypt --system dnscrypt 

sudo chown dnscrypt /run/dnscrypt

2、在配置文件中设置进行如下设置：

ResolverName random

ResolversList /usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv

Daemonize no  #测试通过后可修改为 yes

PidFile /run/dnscrypt/dnscrypt-proxy.pid

User dnscrypt

LocalAddress 127.0.0.1:53 #ip设置为本地ip均可127.0.0.*，127.0.1.*，端口不建议修改

测试是否生效可：1)设置网络IP获取模式为DHCP address only并设置DNS server为127.0.0.12，同LocalAddress； 2）使用hostip命令测试dns查询是否正常，hostip -r 127.0.0.12 www.baidu.com；  3）访问https://www.opendns.com/welcome/ 该网页会测试是否在使用openDNS，因为开启DNScrypt时设置远程服务器为cisco为openDNS官方服务器地址名称，因此这里测试结果应为通过。使用其他服务器时，测试显示不通过。

至此，通过安装DNScrypt、开启DNScrypt、设置网络DNS服务器设备已经能够在dns加密环境下上网。但如果每次开机都要手动设置DNScrypt，每次更换网络都要设置dns的话实在太麻烦。我们可以通过将DNScrypt设置为系统服务，并设置网络dns解析服务器为本地即可。

设置DNSCrypt为本地服务并更新系统dns表

添加系统启动项

首先在/etc/init.d/下新建dnscrypt-proxy文件：

sudo touch /etc/init.d/dnscrypt-proxy

该文件内容如下：

（使用手动设置）

#!/bin/sh

### BEGIN INIT INFO

# Provides:          dnscrypt-proxy

# Required-Start:    $local_fs $network

# Required-Stop:    $local_fs

# Default-Start:    2 3 4 5

# Default-Stop:      0 1 6

# Short-Description: dnscrypt-proxy

# Description:      dnscrypt-proxy secure DNS client

### END INIT INFO

PATH=/usr/sbin:/usr/bin:/sbin:/bin

case "$1" in

start)

echo "Starting dnscrypt-proxy"

mkdir -p /run/dnscrypt

/usr/local/sbin/dnscrypt-proxy \

--daemonize \

--user=dnscrypt \

--local-address=127.0.0.12 \

--resolver-address=176.56.237.171 \

--provider-name=2.dnscrypt-cert.resolver1.dnscrypt.eu \

--provider-key=67C0:0F2C:21C5:5481:45DD:7CB4:6A27:1AF2:EB96:9931:40A3:09B6:2B8D:1653:1185:9C66 \

--pidfile=/run/dnscrypt/dnscrypt-proxy.pid

/usr/local/sbin/dnscrypt-proxy \

--daemonize \

--user=dnscrypt \

--local-address=127.0.0.13 \

--resolver-address=77.66.84.233 \

--provider-name=2.dnscrypt-cert.resolver2.dnscrypt.eu \

--provider-key=3748:5585:E3B9:D088:FD25:AD36:B037:01F5:520C:D648:9E9A:DD52:1457:4955:9F0A:9955 \

--pidfile=/var/run/dnscrypt/dnscrypt-proxy.pid

;;

stop)

echo "Stopping dnscrypt-proxy"

pkill -f dnscrypt-proxy

;;

*)

echo "Usage: /etc/init.d/dnscrypt-proxy {start|stop}"

exit 1

;;

esac

exit 0

（使用配置文件设置）

#!/bin/sh

PATH=/usr/sbin:/usr/bin:/sbin:/bin

case "$1" in

start)

echo "Starting dnscrypt-proxy"

mkdir -p /run/dnscrypt

/usr/local/sbin/dnscrypt-proxy \

/usr/local/etc/dnscrypt-proxy.conf

;;

stop)

echo "Stopping dnscrypt-proxy"

pkill -f dnscrypt-proxy

;;

*)

echo "Usage: /etc/init.d/dnscrypt-proxy {start|stop}"

exit 1

;;

esac

exit 0

并赋予该文件可执行权限： 

sudo chmoe +x /etc/init.d/dnscrypt-proxy

然后将dnscrypt-proxy加入系统启动项，使其作为系统服务进程运行：

 sudo update-rc.d dnscrypt-proxy defaults

更新DNS服务器列表

在 /etc/resolvconf/resolv.conf.d/base 文件后追加 nameserver 127.0.0.12, 然后更新dns服务器

sudo /etc/init.d/resolvconf restart

当前系统网络使用的dns解析服务器可通过 cat /etc/resolv.conf 查看。

如果修改/etc/resolvconf/resolv.conf.d/base不能更新（我是这个情况），可新建/etc/resolvconf/resolv.conf.d/tail并将内容追加到该文件。

重启查看效果

设置完后重启电脑看是否正常，具体如下：

ps aux | grep dns

若输出有dnscrypt-proxy则DNScrypt正常启动服务。也可通过

top -u dnscrypt

查看。

使用 cat /etc/resolv.conf 再检测一下dns当前设置。

最重要的是要通过hostip测试，运行 hostip -r #LocalhostAddr# www.baidu.com 能正常返回IP则说明一切正常。