DNS 域名解析安全升级:揭秘 DoH 和 DoT 加密协议

DNS(域名解析系统,Domain Name System)的作用是将域名转换为对应的 IP 地址,帮助我们不用记住复杂的网站主机 IP 地址,就能访问网站等网络资源。

然而,传统的 DNS 协议通过明文传输,无法隐藏自己访问的域名,存在安全隐患,比如DNS劫持、网络监听等,这些威胁不仅会泄露用户隐私,还影响到DNS的稳定性和可靠性。

为了应对这些安全隐患,DNS安全层技术应运而生,其中DoH(DNS over HTTPS)和DoT(DNS over TLS)是两种常用的技术。

下面来详细了解一下DoH和DoT加密协议是什么意思,各有什么特点,使用哪个更好等。

一,为了便于理解,先了解一下 DNS 的工作过程

当在浏览器中输入一个域名时,DNS的查询过程就开始了,基本步骤如下:

  1. 用户请求:用户在浏览器中输入域名,例如 baiyunju.cc
  2. 本地DNS解析器:浏览器向本地DNS解析器发起请求,查找 baiyunju.cc 对应的主机 IP 地址。如果在本地DNS缓存中找到了对应的记录,就直接使用该 IP 地址进行访问。
  3. 逐级查询:如果本地没有找到,无法直接解析该域名,就会向上一级域名服务器发起查询请求,直到找到能够解析该域名的服务器,获取正确的 IP 地址(域名服务器就像一个电话簿,保存了网络中所有主机的域名和对应IP地址)。
  4. 返回查询结果:域名服务器将查询到的IP地址返回给本地DNS解析器,本地DNS解析器再将结果返回给操作系统和浏览器,就可以打开网页了。

在上面解析过程中,如果采用传统的明文传输方式进行 DNS 查询,那么我们所访问的域名就会被泄露,可能会引发一系列安全隐患,如DNS劫持、网络监听等。

二,DNS 加密协议 DoH 和 DoT 是什么意思?

由于传统的DNS协议存在安全隐患,为了提升DNS的安全性,多种加密协议被开发出来,如DoH(DNS over HTTPS)、DoT(DNS over TLS)等。这些协议通过加密DNS查询过程,保护用户的隐私和安全。

  1. DoH:全称 DNS over HTTPS,基于 HTTPS 的 DNS 查询,通过HTTPS加密协议传输DNS查询。它可以将DNS请求混淆在其他HTTPS流量中,很难被第三方识别和拦截。
  2. DoT:全称 DNS over TLS,基于 TLS 的 DNS 查询,通过TLS加密协议传输DNS查询。它使用TCP端口853进行传输,提供了较高的安全性。

简单来说,就是当你使用DoH或DoT时,你的设备和DNS服务器之间的所有通信都会被加密,任何第三方都无法轻易窥探或篡改你的DNS查询,不仅保护了数据隐私和安全,也有效防止了中间人攻击和DNS劫持。

三,DoH 和 DoT 哪个更好?二者有什么区别?应该使用哪一个?

考虑 DoH(DNS over HTTPS)和DoT(DNS over TLS)哪个更好,实际上是权衡它们各自的优势和适用场景。以下是对二者的详细比较和使用建议:

(一)、DoH与DoT的区别

  1. 协议基础的区别
    • DoH:基于HTTPS协议对DNS查询进行加密。HTTPS是一种流行的、安全的HTTP协议,它使用SSL/TLS协议把数据加密起来,这样就能确保数据传输的安全性。例如,在浏览器地址栏中可以看到本网站 baiyunju.cc 也启用了HTTPS加密。
    • DoT:基于TLS(传输层安全协议)对DNS查询进行加密。TLS 是现在互联网上最常用的安全加密协议之一,它使用证书和加密机制来保证通信安全。
  2. 端口使用的区别
    • DoH:使用HTTPS的默认端口443。这让DNS查询不容易被识别出来,增加了网络流量的混淆性。
    • DoT:使用专用的853端口进行DNS查询和响应的加密传输,不过这容易被针对853端口进行监控或屏蔽。
  3. 封装方式的区别
    • DoH:将DNS解析请求封装在HTTP协议的GET命令中,并通过JSON等编码方式发送。这种方式能让DoH更好地融入HTTP生态圈,利用HTTP的缓存、重定向、代理等功能。
    • DoT:直接在数据流层面进行加密传输,不需要额外的HTTP格式封装,因此更加简洁高效。
  4. 普及程度与支持情况的区别
    • DoH:已经形成RFC标准化文档,并受到主流浏览器的青睐。例如Edge、Google Chrome等浏览器都内置了DoH的支持。
    • DoT:普及程度相对较低,需要在DNS服务器上进行额外的配置和支持。不过,随着技术的不断发展,DoT的支持也在逐渐增加。

(二)、DoH 与 DoT 各自的优势

  1. DoH的优势
    • 能更好地隐藏DNS查询流量:由于DoH使用HTTPS的443端口,DNS查询可以混淆在其他HTTPS流量中,使得第三方更难识别和拦截。
    • 兼容性较好:DoH已经得到主流浏览器的支持,用户无需额外配置即可使用。
  2. DoT的优势
    • 性能可能更高效:DoT直接在数据流层面进行加密传输,不需要额外的HTTP格式封装,因此在某些情况下可能具有更高的性能。
    • 安全性有保障:TLS协议本身已经实现了保密性与完整性,因此DoT也具备这两项特性。

(三)、DoH 与 DoT ,应该用哪一个?

DoH和DoT各有优缺点,在选择使用DoH还是DoT时,可以考虑以下因素:

  1. 安全性需求:如果非常注重DNS查询的安全性,那么DoT和DoH都是不错的选择。它们都能通过加密传输防止第三方监视或篡改DNS解析过程。
  2. 兼容性考虑:如果希望使用的DNS加密协议能够得到广泛支持,那么DoH可能是一个更好的选择。因为DoH已经形成RFC标准化文档,并受到主流浏览器的青睐。
  3. 性能要求:如果对DNS解析性能有较高要求,可以考虑使用DoT。因为DoT直接在数据流层面进行加密传输,可能具有更高的性能。不过,需要注意的是,经过技术优化的DoH也能实现与原DNS协议相近的时延效果。

总之,DoH和DoT都是能让DNS更安全的有效手段,在选择使用哪一个时,应根据自己的具体需求和使用环境做出决策。目前来看,大部分用户选择的是DoH,毕竟Windows11系统和Edge、Google Chrome等主流浏览器内置的DNS加密就是DoH。

四,DoH 怎么用,怎么设置?

启用DoH很简单,比如Mozilla Firefox、Microsoft Edge和Google Chrome等浏览器,都内置了支持DoH的功能,只需在浏览器的设置中一键启用该功能,就可以享用到加密DNS带来的安全保障。

此外,一些操作系统和网络设备也支持手动配置DoH。例如,在Windows 11中,可以通过编辑网络DNS设置,选择自动或手动模式来填入DoH专属地址来启用该功能。

若需进一步了解正确设置 DNS 服务器地址的相关常识,例如 DNS 服务器怎么设置、DNS 劫持或欺骗如何解决、免费公共 DNS 地址有哪些,以及 DNS 缓存的清除方法等等,以提升网络使用体验和保护个人隐私信息,可参考该版块内容:

专栏丨DNS服务器地址推荐及设置方法》https://baiyunju.cc/tag/dns

更多相关文章:

《专栏丨C盘清理瘦身扩容》https://baiyunju.cc/tag/c%e7%9b%98%e6%b8%85%e7%90%86

《专栏丨电脑使用技巧》https://baiyunju.cc/tag/%e7%94%b5%e8%84%91%e6%8a%80%e5%b7%a7

《专栏丨Windows系统使用优化技巧》https://baiyunju.cc/tag/windows-xi-tong-you-hua-ji-qiao

《专栏丨Microsoft Edge浏览器使用技巧》https://baiyunju.cc/tag/microsoftedge

《专栏丨网络经验技巧》https://baiyunju.cc/tag/%e7%bd%91%e7%bb%9c%e7%bb%8f%e9%aa%8c

《专栏丨网络安全知识》https://baiyunju.cc/tag/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e7%9f%a5%e8%af%86

《专栏丨BitLocker硬盘加密》https://baiyunju.cc/tag/bitlocker

禁止转载丨原文链接:https://baiyunju.cc/11905

©禁止转载原文 欢迎分享网址 侵权必究:『白云居』 » DNS 域名解析安全升级:揭秘 DoH 和 DoT 加密协议

赞 (0)