李:DNSCrypt,略懂英文的人,都應該猜到這工具用什麼原理去防止各類DNS污染的情況,這是利用加密技術,令DNS整個解析過程,不會被第三者干擾,從而確保用家瀏覽正確的網站,而不是被個別人士所騎劫的網站。
其實所謂的DNS污染,是利用很多現存DNS技術的保安漏洞去達致,只不過中國當局比起眾多黑客高級一些地方在於,黑客不可能改變各大電訊公司的DNS主機紀錄,但中國當局具備改變電訊公司紀錄的政治能力。但只要互聯網用家可以繞過中國電訊公司的DNS主機,仍然可以避過DNS污染的襲擊。
而DNSCrypt是OpenDNS公司推出的小工具,令整個DNS解析過程,可以在加密的情況下,直接由OpenDNS的主機負責,這樣就有效避過中國的DNS污染,對大部分用戶而言,這也是最簡單直接的方法,因為並不需要什麼高深技術知識,只要把軟件安裝,然後執行便成事。
DC:那這隻軟件可以支援什麼平台?又怎樣安裝?
李:由於DNSCrypt仍然在測試階段,所以只限使用Windows和Mac的桌面電腦才可以安裝使用。只要去OpenDNS的網站去下載便可以,我們這集翻牆問答會提供片段,示範如何在Windows下安裝使用DNSCrypt,歡迎大家留意收看。
至於平板電腦以及智能手機,這可能要耐心等一下,因為平板電腦和智能手機的應用軟件,涉及軟件商店的審批程序,而要開發相關的軟件亦有一定技術難度。這一如大部分翻牆軟件,現時仍然未有平板電腦和智能手機相應版本一樣。
由於這隻軟件,遲早會引起中國當局的注意,因此,本人要再一次不厭其煩提醒各位聽眾,請翻牆前往OpenDNS的主機下載軟件,不要在中國國內的網站下載所謂綠色版之類,隨時這些版本被當局,或不懷好意的黑客加了木馬也不知,那就得不償失。
DC:有些DNS代理,或涉及特別埠口的軟件,在個別Wi-Fi路由器,或在咖啡室之類的公共路由器使用上都可能有問題,或要作出特別設定。那DNSCrypt又有沒有這類問題?
李:DNSCrypt使用的加密技術,由於未算是一種互聯網公認技術標準,所以在部分路由器,特別家用Wi-Fi路由器,或餐廳、機場等用的公共路由器,必須作出改動才能使用自如。
DNSCrypt有一個選項,可以容許用家使用TCP443埠口來做加密解析,因為大部分路由器以及防火牆,都會視TCP443埠口的通訊是SSL通訊而不作攔截或封鎖,基本上,你在外面用的時候,選擇這個選項就對。當然,這選項的缺點是速度比較慢。但相信隨著DNSCrypt軟件和技術本身日趨成熟,這問題應該可以慢慢獲得解決。
DNSCrypt容許用家,在OpenDNS加密的解析主機未能夠為你提供服務時,自動改用原本DHCP指派的DNS主機,但在中國的特殊情況下,我們不建議使用這個選項,因為這有違你安裝DNSCrypt的原意。始終中國安裝DNSCrypt的人,要防的並非一般的黑客,而是由整個國家機器。能夠儘量使用DNSCrypt的解析,就應該堅持使用DNSCrypt,除非中國當局干擾DNSCrypt至一個一般人無法使用這技術的程度,這又作別論了。
DC:多謝你李建軍,在下周同樣時間,我們會繼續有翻牆問答,回應各位有關翻牆的問題,並介紹各類新出的翻牆技術,歡迎各位下周繼續收聽這個節目。如果你對翻牆問題有任何疑問,亦可以聯絡我們,我們會盡力在節目中,為各位一一作答。再會。