大家觉得 DNS 有没有必要走加密的协议呢？

DNS 还有加密协议？求科普。。。

@onice 想一种加密策略

DNSCrypt

我指的是通用的那种，让加密成为标准

用户服务双端还是必要走加密的，这个可以参考飞机的运作方式，短时间内适合个人玩玩。

我觉得需要解决的最大问题依旧是 CDN 最近地址以及验证这两个问题。

不是单纯的传输，放在 OPENWRT 上似乎有些不适合？

@junzki 很久没更新了吧？

在不影响速度的前提下很有必要。
须知你的每个访问，党国都会给你记下来的

@helihuo 要想一个轻量级的加密方案。

目前就 2 种办法，一个 dnscrypt ，这是 opendns 搞得，但 server 端没开源，公开节点很容易封，中国有个强人自己按协议搞了一个 dnscrypt wrapper ，可以在自己 vps 上安装，这个太强了，

还有一个办法是 ss-tunnel ，安装在 openwrt 上，

就像 HTTP 过渡到 HTTPS 那样

不走加密就等着被污染被欺骗被 ISP 强♂插♂广告吧

有必要，而且是非常有必要。

@googlebot 我前几天刚搭建一个 wrapper ，真 TM 好用！不用担心污染了

53 端口， UDP 协议，特征太明显，连接不可靠。这点在移动，铁通宽带尤其明显。
暂时用 TCP 协议+本地缓存可以很好的解决。

标准协议有 DNSSEC ，但是递归不支持的话没用

协议过渡就别想了， 50 年内都不一定看得到。如果是做服务开发的可以考虑 http dns

这其实不是一个技术问题，因为 DNS 是网络内容的入口，如果做成端到端加密意味着访问无法优化，递归会被拖死，一些商业模式也会受到挑战。 DNSSEC 只设计成防篡改但不防侦听就是考虑到这一点，这应该是业内共识。只不过国内现在都玩坏了，催生出这样的一个需求。

@johnjiang85 DNSSEC 并不加密，而是保证 Integrity & Authenticity

@lixingcong 可以分享一下吗

@hzqim 53 端口应该是以前的事情了，现在新的 DNS 协议都是随机借口的，不然的话 off-path attacker 可以用 Kaminsky Attack 来 blind spoofing.

感觉可以看一下这片 paper

@fzss 同求分享。谢谢！

有啊， DNS over TLS ，是个标准，已经基本可用了 https://datatracker.ietf.org/doc/draft-ietf-dprive-dns-over-tls/

有必要，还有必要使用证书。