当使用VPN时，是否有指向Dnscrypt的点？

Question

如果计算机已经通过VPN连接到internet，那么加密DNS查询有意义吗？来自DNScrypt：

DNSCrypt是一种对DNS客户端和DNS解析器之间的通信进行身份验证的协议。它可以防止DNS欺骗。它使用加密签名来验证响应是否来自选择的DNS解析器，并且没有被篡改。大多数操作系统都有实现，包括Linux、OSX、Android、iOS、BSD和Windows。DNSCrypt不隶属于任何公司或组织，是一种使用高度安全、非NIST加密技术的文档协议，它的参考实现是开源的，并且是在非常开放的许可下发布的。请注意，DNSCrypt不是虚拟专用网的替代品，因为它只对DNS流量进行身份验证，并不能防止"DNS泄漏“或第三方DNS解析器记录您的活动。

我在想，如果一个VPN泄露了很多，那么它肯定是毫无用处的。

Answer 1

这取决于你在努力实现什么。

如果您试图防止DNS泄漏，DNSCrypt不是您所需要的。DNSCrypt的目的是防止DNS欺骗，这是完全不同的。你可以把它想象成“隐私对中间人物”。

DNSCrypt是一种对DNS客户端和DNS解析器之间的通信进行身份验证的协议。它可以防止DNS欺骗。...并没有阻止"DNS泄漏“，或者第三方DNS解析器记录您的活动。

如果您想验证您的VPN没有泄漏DNS，您应该查看它的配置。通常有一个选项在默认情况下可能不会被检查。您可以在这里测试它，例如https://www.dnsleaktest.com/

对于DNSCrypt来说，它是否适合你是由你来决定的。如果你不认为这是过度杀戮，那就去做吧。

最后，这都取决于您的VPN服务器/提供者以及您对其配置的信任程度。

Answer 2

还有一点。随着Windows10的出现，dns泄漏已经成为一个问题，因为windows选择了最快的dns解析器.

我注意到，当我使用虚拟专用网(CyberGhost)时，我的流量应该通过他们的DNS --但是--在使用DNS泄漏时，它向我展示了我的isp的dns。

我联系了我的VPN，他们没有注意说所有的东西都是好的和绿色的。

Windows 10非常智能，即使为网络适配器提供了静态dns解析器，它也会忽略这一点，并选择本地dns及其更快的dns。

我使用DNSCrypt代理解决了这个问题。由于它将dns请求发送回同一台计算机(127.0.0.1)，windows认为它是最快的路由，并从那里处理dns-crypt请求。

现在DNS泄漏没有显示我的本地dns地址。

使用此方法的两种方法：

1)仅在广域网适配器DNSCrypt上使用该做。

2)在分接头适配器和广域网适配器DNSCrypt上使用但毫无意义，因为VPN对流量进行加密。

Answer 3

那得看情况。安全配置的DNScrypt服务器和客户端确实确保零DNS泄漏。Dnscrypt加密DNS通信。这意味着在往返下游DNScrypt服务器的途中不能查看或成功篡改它。DNSCRYPT服务器还删除任何可向上游发送的标识数据，并经常提供“不转发到外部/上游DNS服务器(递归)”。

从我收集到的信息来看，DNSCrypt本身可能并不是100%安全的。安全性取决于首选的DNSCRYPT服务器获得的结果的质量，因为服务器本身没有受到损害。针对这一缺陷，DNSSEC验证了从上游到下游的整个指挥链，并在域级实现，因此无法伪造。因为这是一个必须在每个域上启用的特性，而且由于很少有域实现了DNSSEC，这使得DNSSEC基本上是多余的，直到采用增加为止。经过几个月的使用，我只找到了一个由DNSSEC真正“验证”的模糊域。DNSSEC开销也明显增加了延迟。出于这两个原因，我停止使用它。

由于DNSCRYPT确保DNS零泄漏，每个查询都经过加密和签名，从技术上讲，您可以使用专用的DNSCRYPT/DNSSEC服务器进行DNS查询，并使用专用VPN处理数据通信，将DNS和数据分成两个单独的流。分割流可能会增强安全性；或者更少，它完全依赖于VPN提供者和DNSCRYPT提供程序。一些DNSCRYPT服务器使用Google作为上游和或配套(安全浏览/ adblock)服务器，您将在DNS泄漏测试中看到这一点。因此，在假设任何事情之前，请确保您是测试和观察。请记住，如果为DNSCRYPT和任何其他Stub解析器(如DNSMASQ )启用日志记录，您的系统(S)上将有更多的DNS日志可访问。日志记录是VPN用户确保其提供者没有这样做的主要因素之一。至于安全性方面，将DNSCRYPT与VPN一起使用可以提高您的安全性，因为您可以选择实现自己的区块列表，以确保在VPN上避免恶意软件域和跟踪器。

总之，使用VPN DNS会将攻击面直接放置在它们的一侧，并使设备的完整性受到可能的DNS泄漏；(在openvpn配置中添加指令块外DNS可以解决这一问题)，使用DNScrypt可以在您的侧带来更多的攻击面，但可以防止DNS泄漏，主机封锁列表可以成倍地减少对恶意软件的暴露。无论哪种方式，您的记录都与您选择的提供者和设备的完整性一样是私有的，无论如何，情况总是如此。

我不是专家，我非常希望这一领域的专家能有更多的见解。