crower

Как средство борьбы с MITM-атакой (перехват DNS-запроса и выдача подложного ответа).
sudo apt-get install dnscrypt-proxy
Поставил на порт 8053.

Можно ещё в /etc/tor/torrc прописать "DNSPort <port>" и к нему привязаться.
Вот только после перезагрузки оказалось что dnscrypt-proxy автоматом не поднялся, и луковая часть со своей задачей не справилась. Первый до перезагрузки работал потому что поднимал вручную. В общем, надо было сделать systemctl enable dnscrypt-proxy. А вот с луковым разрешением адресов не понятно. Нужный адрес определился не правильно и браузер попал куда не надо. Если бинд обращался к тору за определением адреса и получил неправильный, то каков был механизм получения им неправильного адреса? Удивительно что если есть правильный адрес, то луковая маршрутизация работает правильно. То есть https до нужного хоста доходит, а запрос на определение его адреса — нет. Если же бинд после неудачной попытки определить адрес через dnscrypt не стал обращаться ко второму форвардеру, то тут мысль останавливается: через кого тогда вообще адреса были получены, если больше форвардеров не прописано?

В общем, работает — и ладно.

PS. dnssec включен, но увы — далеко не у всех зоны подписаны.