使用DNSSEC和DNSCurve，可以验证 DNS 响应是否包含区域所有者配置的权威服务器所服务的内容。注册商和父区域所有者也可以生成有效的 DNSSEC 签名。但没有其他人可以。

在一个完美的世界里，一切都将使用 DNSSEC 或 DNSCurve 进行签名，每个人都将在每台设备上运行一个验证解析器，提供几乎端到端的安全性。

不幸的是，这种情况并非如此。

通常的情况是本地路由器有一个内置的缓存解析器，所有连接到它的设备都使用它。

但是，本地网络通常是最容易受到 DNS 欺骗的网段。因此，最好在路由器上进行 DNSSEC/DNSCurve 验证，但它并不能防止与您在同一网络上的某人注入虚假 DNS 响应。这就是 DNSCrypt 可以提供帮助的地方。

DNSCrypt通常使用一对 DNS 代理进行部署：客户端代理和服务器代理。DNSCrypt 的客户端是常规 DNS 客户端可以连接到的代理。它将常规 DNS 查询转换为经过身份验证的 DNS 查询，将它们转发到运行服务器 DNSCrypt 代理的服务器，验证响应，如果它们看起来是真实的，则将它们转发给客户端。DNSCrypt 的服务器端接收客户端代理发送的 DNS 查询，将它们转发给受信任的 DNS 解析器，并在将收到的响应转发给客户端代理之前对其进行签名。

DNSCrypt 服务器可以与现代 DNS 解析器一起在路由器上运行。然后，客户端可以利用路由器 DNS 解析器运行 DNSCrypt 的客户端代码。

    |----- 最容易受到攻击 ------| |-- 最容易受到审查 --|

         dnscrypt 客户端 dnscrypt 服务器
笔记本电脑/工作站/手机/平板电脑 --------> 家庭路由器 --------> ISP --------> 互联网

    |--------- 由 DNSCrypt 保护 ----------| |------------- 由 DNSSEC 保护 --------------|

或者，公司、组织和个人正在运行支持 DNSCrypt 协议的公共 DNS 解析器。这些可以用作在路由器上运行 DNSCrypt 服务器和 DNS 解析器的替代方案。如果您的 ISP 正在进行基于 DNS 的审查，这是一种绕过它的方法（但在这种情况下，请记住，您使用的第 3 方 DNS 解析器仍然可以记录您的所有查询）。

您只需要使用一个 DNSCrypt 客户端，例如dnscrypt-proxy或Pcap_DNSProxy. 这将确保您收到的响应与您最初使用的第 3 方 DNS 解析器发送的响应相同。但是，这些响应可能不是正确的。这只是这些服务决定发送给您的内容，不一定是您查询的区域所有者发布的内容。

一些 VPN 服务运行自己的 DNS 解析器，可通过 DNSCrypt 访问，以减轻 DNS“泄漏”。由于您已经信任他们为您的所有流量建立隧道，因此不会受到伤害。

DNSCrypt 客户端可以在每个客户端设备上运行：

    |----- 最容易受到攻击 ------| |-- 最容易受到审查 --|

         dnscrypt 客户端 dnscrypt 服务器
笔记本电脑/工作站/手机/平板电脑 --------> 家庭路由器 --------> ISP ----------> 互联网 -------->公共 DNS 解析器

    |------------------------------------ 由 DNSCrypt 保护 ------------ --------------------------------|
                                                                              |--- 由 DNSSEC 保护 ---|
                                                                     |--- 最容易被记录 ---|

或者，如果您完全信任本地网络，则 DNSCrypt 客户端可以在路由器上运行：

    |----- 最容易受到攻击 ------| |-- 最容易受到审查 --|

                                        dnscrypt 客户端 dnscrypt 服务器
笔记本电脑/工作站/手机/平板电脑 --------> 家庭路由器 --------> ISP ----------> 互联网 -------->公共 DNS 解析器

                                            |----------------- 由 DNSCrypt 保护 --------------------------------|
                                                                              |--- 由 DNSSEC 保护 ---|
                                                                     |--- 最容易被记录 ---|

最后，您可以在远程、受信任的网络上运行您自己的 DNSCrypt 服务器，以获得对审查的最佳保护，同时完全控制解析器记录的内容：

    |----- 最容易受到攻击 ------| |-- 最容易受到审查 --|

        dnscrypt 客户端 dnscrypt 服务器
笔记本电脑/工作站/手机/平板电脑 --------> 家庭路由器 --------> ISP ----------> 互联网 -------->私有 DNS 解析器

    |------------------------------------ 由 DNSCrypt 保护 ------------ --------------------------------|
                                                                              |--- 由 DNSSEC 保护 ---|

那么，你需要哪一个？

它们是互补的，解决不同的问题。

如果您正在运行自己的缓存解析器，让它们支持 DNSSEC 和 DNSCurve 验证是一件好事。不幸的是，截至今天，使用 DNSCurve 签名的域数量接近于零，而 DNSSEC 签名区域的数量增长非常缓慢。

对于所有未签名的区域，DNSCrypt 无法保护所有内容，但它至少可以保护您的客户端设备和 DNS 解析器之间的少数跃点，这总比没有好。它还运行在与常规 DNS 流量不同的端口上（443 而不是 53），这足以绕过某些内容过滤器。

但是，如果您主要关心的是隐私，那么您需要的是 VPN。

DNSCrypt 部分基于 DNSCurve，但它们的用途不同。

DNSCrypt 加密存根解析器（您的工作站、浏览器等）和递归器（如您的 ISP 提供的服务和 OpenDNS）之间的流量。它为您的工作站和解析服务提供机密性和完整性。

DNSCurve 位于另一个位置 - 在递归器（如 OpenDNS）和权威机构（如 ns1.google.com，如您的 webhoster 为您运行的 DNS）之间。它在旅程的那一段提供机密性和完整性。