DNSCrypt工具对从客户端计算机到OpenDNS服务器的DNS通信进行加密

域名系统服务提供商OpenDNS发布了一个开放源代码工具，用于加密DNS流量，以保护用户计算机与公司服务器之间的网络连接。OpenDNS于12月6日表示，DNSCrypt工具旨在保护纯文本DNS流量并保护用户免受中间人攻击。DNS协议充当Web的电话目录，将域名转换为实际IP站点托管服务器的地址。使用DNS，用户不必记住数字地址。

安全专家长期以来一直警告说，DNS基础结构容易受到攻击，需要加以保护。Comodo首席执行官兼首席安全架构师Melih Abdulhayoglu 最近告诉eWEEK，该架构中的“固有弱点”意味着攻击者可以拦截用户并将其重定向到恶意站点，或者通过中间人攻击窃听用户活动。。

F5 Networks最近的一份报告发现，DNS攻击是组织面临的最常见的攻击类型。报告还说，它们也是最难防御且对企业影响最大的。

OpenDNS首席执行官David Ulevitch在博客中宣布DNSCrypt工具，他说：“不幸的是，DNS一直存在一些固有的弱点，因为它是以纯文本格式传输的。

根据Ulevitch的说法，尽管已经做了一些努力来确保DNS的安全，但是在“最后一英里”(客户端计算机与Internet服务提供商或DNS提供商之间的连接)上还没有进行很多工作。乌列维奇写道，“最后一英里”是“窥探，篡改和劫持流量”等“坏事”最有可能发生的时候。它对于中间人攻击也是“成熟的”，例如，如果用户在咖啡店的不安全网络上，则尤其如此。

Ulevitch说，对所有DNS流量进行加密是一项根本性的改进，它可以提高安全性，因为它可以防止窃听Internet活动的任何人看到用户正在访问的网站或修改流量。DNSCrypt使用椭圆曲线加密技术来加密客户服务器与OpenDNS服务器之间的流量。

安全研究员Jacob Appelbaum说，DNSCrypt将有效地使大多数形式的DNS审查制度过时，并阻止试图实施审查制度的监视系统。

根据Ulevitch的说法，DNSCrypt是“非常强大的第一步”，并不旨在取代DNSSEC，DNSSEC是旨在验证和验证域名的安全协议。

许多注册商都在部署DNSSEC，以防止DNS篡改。它使用公共密钥密码术对网站的DNS记录进行数字“签名”，以防止篡改和缓存中毒。DNSSEC提供了一种方法来验证DNS记录中列出的服务器实际上是域所有者指定的服务器。

该公司在DNSCrypt的FAQ页上写道：“即使世界上每个人都使用DNSSEC，对所有DNS流量进行加密的需求也不会消失。”

该公司建议DNSCrypt与安全套接字层类似，因为它以与SSL包装HTTP通信相同的方式对DNS通信进行加密。根据常见问题解答，DNSCrypt将包装DNS流量，而DNSSEC将签名并验证该流量的一部分。

目前仅适用于Mac OS X的OpenDNS还发布了DNSCrypt的源代码。根据Ulevitch的说法，它仍然是“技术预览”，该公司将根据需要更新代码。