首先我先贴俩图，看看现象

我解析下敏感域名

巧了，我瞎蒙的随便一个国外地址都特么是DNS ？

当然不是，因为祖国的出口伫立着一套高端设备，，，，   不说了，敏感了！

此法的基本思路是避免DNS污染和DNS劫持。（不关心原理的同学请跳过此段）众所周知，GFW的一大凶器是在DNS上做文章。关于DNS污染和DNS劫持的区别，请参考这篇文章。概括地说，DNS劫持是通过DNS服务器返回虚假的IP地址实现的，我们只需将本机使用的DNS服务器改成8.8.8.8等国外服务器即可。但这种方法无法避免DNS污染，因为DNS查询默认使用UDP协议，而墙可以干扰我们与DNS服务器的通信。今天介绍的dnscrypt-proxy，则开设本地的DNS服务器，对DNS请求进行加密（墙无法干扰加密后的请求），从国外的DNS服务器获取正确的IP地址后反馈回来，是为DNS代理的基本原理。

但这也就决定了，此法不可能成为通用的×××方法，因为GFW对于有些网站是直接通过IP地址屏蔽的。

平台：RHEL 6.6 x64 （CentOS）

dns服务器：Bind Server

yum源并没有dnscrypt-proxy，所以只能编译安装了

首先下载 dnscrypt-proxy

下载地址http://download.dnscrypt.org/dnscrypt-proxy/  （巧，这也被qiang了）

另外需要安装 libsodium依赖库 （我这里选择的是libsodium-0.5.0-mingw.tar.gz）

下载地址http://download.libsodium.org/libsodium/releases/

wget http://download.libsodium.org/libsodium/releases/libsodium-0.5.0-mingw.tar.gz
tar xf libsodium-0.5.0-mingw.tar.gz
cd cd libsodium-0.5.0
CFLAGS="-O3 -fPIC" ./configure
make  &&  make install
ldconfig

依赖库装好了，下面来安装 dnscrypt

上传dnscrypt-proxy-1.4.0.tar.gz至服务器

tar xf dnscrypt-proxy-1.4.0.tar.gz
cd dnscrypt-proxy-1.4.0
cd src/libevent-modified/
CFLAGS="-O3 -fPIC" ./configure
make && make install
cd ..
cd ..
./configure
make -j 2 && make install

安装好了

 dnscrypt-proxy -h   //显示帮助信息可用选项-a  --local-address=...   //监听的本地地址[端口] （不指定端口默认监听在53端口）-d   --daemonize        //后台运行（不提示错误信息）-R  --resolver-name=...  //选定的国外加密解析服务器-T  --tcp-only         //仅以TCP协议运行（默认监听在udp tcp上）-k                        //手动指定密钥串-V    --version          //版本信息

常用就这几个选项   更多详细帮助 man  dnscrypt-proxy

运行 dnscrypt-proxy 提示有错误，但是请注意这一条

这个文件中有默认的已经支持dnscrypt查询的公共dns  opendns也在其中。

我们来查看下这个文件  dnscrypt-resolvers.csv

第一行定义的是列标题，每个字段用逗号隔开，每一行开头就是 resolver_name

用法如下

dnscrypt-proxy --resolver-name=resolver_name --local-address=127.0.0.1:40 --daemonize
dnscrypt-proxy -R resolver_name -a 127.0.0.1:40 -d   //简写，监听在本地udp tcp40端口，远端加密dns选用resolver_name

不加-d参数 默认是前台运行

然后如果需要局域网开启加密访问，记得在iptables开启相应端口

最后在其他电脑上查询一下看是否生效，

dig www.youtube.com @*.*.*.* -p 3535
; <<>> DiG 9.10-P2 <<>> www.youtube.com @*.*.*.* -p 3535
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32356
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.youtube.com.               IN      A
;; ANSWER SECTION:
www.youtube.com.        86400   IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 900    IN      CNAME   youtube-ui-china.l.google.com.
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.138
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.102
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.100
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.113
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.101
youtube-ui-china.l.google.com. 180 IN   A       173.194.72.139
;; Query time: 872 msec
;; SERVER: *.*.*.*#3535(*.*.*.*)
;; WHEN: Sun Jan 11 99:29:00 ?D1ú±ê×?ê±?? 2015
;; MSG SIZE  rcvd: 205

解析是对了，但是并不代表 FQ  所以，这主要是搭配其他工具来实现FQ 。