DNSCrypt工具加密从客户端计算机到OpenDNS服务器的DNS通信

域名服务提供商OpenDNS发布了一个用于加密DNS流量的开源工具，以保护用户计算机和公司服务器之间的网络连接。OpenDNS在12月6日表示，DNSCrypt工具旨在保护纯文本DNS流量，保护用户免受中间人攻击。DNS协议充当Web的电话簿，将域名翻译成实际IP站点托管服务器的地址。有了DNS，用户不必记住数字地址。

安全专家早就警告过，DNS基础设施很脆弱，需要保护。Comodo首席执行官兼首席安全架构师米勒夫阿杜勒哈尤格鲁最近告诉eWEEK，该架构的“固有弱点”意味着攻击者可以拦截用户并将其重定向到恶意网站，或者通过中间人攻击窃听用户活动。

F5 Networks最近的一份报告发现，域名系统攻击是组织面临的最常见的攻击类型。报告称，它们也是最难辩护的，对企业影响最大。

OpenDNS首席执行官David Ulevitch在博客中宣布了DNSCrypt工具。他说，“不幸的是，DNS总是有一些固有的弱点，因为它是以纯文本格式传输的。

据Ulevitch称，虽然为确保DNS的安全性做了一些努力，但在“最后一公里”(客户端计算机与互联网服务提供商或DNS提供商之间的连接)方面，并没有做很多工作。URI写道，“最后一英里”是“窥探、篡改和劫持交通”等“坏事”最有可能发生的时候。对于中间人攻击来说，它也是“成熟的”，尤其是如果用户在咖啡店的不安全网络上。

Ulevitch表示，加密所有DNS流量是一个根本性的改进，可以提高安全性，因为它可以防止任何窃听互联网活动的人看到用户正在访问的网站或修改流量。DNSCrypt使用椭圆曲线加密技术对客户端服务器和OpenDNS服务器之间的流量进行加密。

安全研究员雅各布阿佩尔鲍姆(Jacob Appelbaum)表示，DNSCrypt将有效地使大多数形式的DNS审查过时，并阻止试图实施审查的监控系统。

据乌里维奇称，DNSCrypt是“非常强大的第一步”，并不打算取代DNSSEC，后者是一种旨在验证和核实域名的安全协议。

许多注册服务商正在部署DNSSEC来防止域名篡改。它使用公钥密码对网站的DNS记录进行数字“签名”，以防止篡改和缓存中毒。DNSSEC提供了一种方法来验证DNS记录中列出的服务器实际上是域所有者指定的服务器。

该公司在DNSCrypt的常见问题页面上写道：“即使世界上每个人都使用DNSSEC，加密所有DNS流量的需求也不会消失。”

该公司建议DNSCrypt类似于安全套接字层，因为它加密DNS通信的方式与SSL包装HTTP通信的方式相同。根据常见问题，域名系统加密将包装域名系统流量，而DNSSEC将签署和验证一部分流量。

目前只适用于Mac OS X的OpenDNS也发布了DNSCrypt的源代码。据Ulevitch称，这仍然是一个“技术预览”，公司将根据需要更新代码。

标签：