在我看来，普通用户不应该花任何时间考虑 DNS 攻击。

首先，它只是不会以值得如此关注的规模发生。当网络钓鱼攻击、勒索软件和密码猜测猖獗时，用户最好将他们仅有的一点安全动机用于防止这些攻击。

其次，涉及恶意 DNS 服务器的攻击实际上意味着您正在连接到流氓接入点。如果您将 TLS 用于尽可能多的事情，那么无论如何您都可以大大减轻在这种情况下可能造成的损害。对于不通过 TLS 的任何事情，问题最好由应用程序的开发人员共同解决，而不太可能通过鼓励用户切换到其他方式来解决。

因此，在实践中，我真的会说它归结为“对所有事物都使用 TLS”，它将用户与如此多的攻击面隔离开来，坦率地说，在这方面仍然存在坚持是荒谬的。虽然并不完美，但至少大大增加了大多数攻击场景的难度，严重阻碍了大多数非针对性攻击。

作为最终用户，您实际上不会关心 DNSSEC。DNSSEC 要求域的所有者设置他们的权威名称服务器来签署他们的响应。您不能使用 DNSSEC 保护不支持 DNSSEC 的域。

另一方面，DNSCurve 旨在保护您的机器和受信任的递归名称服务器之间的 DNS 查询。DNSCurve 威胁模型并没有真正解决您连接到流氓的递归名称服务器的可能性。

那么，作为普通用户，您应该怎么做呢？

1. 您应该将您的机器/路由器指向由您信任的运营商运营的 DNSSEC 验证递归名称服务器，
2. 您应该使用 DNSCurve 连接到这个受信任的名称服务器，
3. 您应该记住，如果递归名称服务器被证明不值得信任，无论是由于恶意还是无能，它们可能会破坏您的名称解析

参与的第一条规则是在不使用 VPN 的情况下永远不要使用公共 DNS。别的什么，只会给你一种虚假的安全感。

TLS可以缓解这种情况，它比普通的 HTTP 好得多，但是，周围有很多非加密活动。

我会dnscrypt在它上面使用 VPN+ 来防止 DNS 泄漏。

在家里，我会更进一步，并且会使用dnscrypt：
1）避免 ISP 将我所有的 DNS 请求注册为“元数据”；
2) 避免他们拦截和修改我的 DNS 请求。

（我实际上正在这样做）。

我什至会更进一步，并会说您应该在 Windows 中的 Mac 中使用 VPN 配置规则来定义按需 VPN，这样您的 VPN 连接不会被拆除，并且您当前的连接突然（部分）泄漏到正常连接。

进一步评论 DNS 请求。明明白白地使用 DNS 是自找麻烦。例如，在我们的公司 VPN 中，我拦截任何 DNS 服务器的 DNS 请求（对于具有固定 DNS 配置的人），并将它们重定向到我们的 DNS 以减少有关它们无法解析内部站点的故障单。任何公共 wifi 都可以/流氓 wifi 点可以并且会这样做。