https dns
总述
DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成,传统的DNS协议在传输过程中不进行加密,容易受到DNS劫持和DNS污染等攻击,导致用户隐私泄露和数据安全风险,为了解决这些问题,DNS over HTTPS(DoH)应运而生,本文将详细介绍DoH的概念、工作原理、优缺点以及如何在各种设备上配置DoH。
DoH的基本概念
什么是DoH?
DNS over HTTPS(DoH)是一种通过HTTPS协议进行DNS解析请求的技术,旨在提高DNS查询的安全性和隐私性,通过使用加密的HTTPS连接,DoH可以防止原始DNS协议中用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击),从而保护用户隐私。
DoH的意义
安全性:通过加密的HTTPS协议,防止DNS劫持和DNS污染。
隐私保护:避免第三方监视和篡改用户的DNS请求。
快速反应:在数据传输过程中发生丢失时,DoH中的传输控制协议(TCP)会做出更快的反应。
DoH的工作原理
DoH与传统DNS的区别
传统的DNS请求通常使用UDP协议,未加密且容易被拦截和篡改,而DoH则利用HTTPS协议,通过TCP端口443进行加密传输,使DNS请求与其他HTTPS流量难以区分,从而提供更高的安全性和隐私性。
DoH的工作过程
1、客户端发起请求:用户在浏览器中输入一个域名。
2、加密传输:客户端通过HTTPS协议将DNS请求发送到支持DoH的DNS服务器。
3、服务器解析:DNS服务器接收到请求后,进行域名解析。
4、返回结果:解析结果通过HTTPS协议加密返回给客户端。
5、客户端处理:客户端收到解析结果后,访问对应的IP地址。
DoH的优缺点
优点
增强安全性:通过加密传输,防止DNS劫持和污染。
保护隐私:避免第三方监视和篡改DNS请求。
兼容性好:主流浏览器和操作系统已广泛支持DoH。
缺点
延迟增加:由于HTTPS协议需要多次数据来回传递才能完成协议初始化,DoH的域名解析耗时较传统DNS协议显著增加。
复杂性增加:需要配置支持DoH的DNS服务器和客户端,增加了一定的使用复杂度。
DoH的配置方法
Windows 10/11系统配置
先决条件
系统版本必须为Windows 10 Build 19628版及以上版本,暂时低于该版本的系统均不支持DoH加密。
步骤
1、打开注册表编辑器:以管理员身份运行regedit。
2、导航至以下路径:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters。
3、新建DWORD值:右键点击右侧空白处新建DWORD值,命名为EnabledAutoDoh,双击该项然后将其键值由默认值修改为2并保存。
4、重启计算机:保存成功后重启计算机。
5、设置DNS:
打开网络连接设置,选择属性Internet Protocol Version 4 (TCP/IPv4)。
设置DNS为如下数值:
Cloudflare:首选:1.1.1.1,备用:1.0.0.1
Google:首选:8.8.8.8,备用:8.8.4.4
Quad9:首选:9.9.9.9,备用:149.112.112.112
Chrome浏览器配置
1、打开设置:点击右上角的菜单按钮,选择“设置”。
2、进入隐私设置:选择“隐私设置和安全性”,然后点击“使用安全DNS”。
3、自定义DNS:系统默认的几个都不好用,建议使用自定义DNS,参数如图所示。
4、设置完成后:即可在Chrome里防止DNS污染。
Firefox浏览器配置
1、打开设置:点击右上角的菜单按钮,选择“选项”。
2、进入网络设置:选择“常规”“网络设置”。
3、启用基于HTTPS的DNS:勾选“启用基于HTTPS的DNS”,建议使用自定义DNS,参数如图所示。
4、设置完成后:即可在Firefox里防止DNS污染。
Android系统配置
1、打开设置:进入“连接设置”。
2、找到私密DNS/私人DNS/加密DNS设置。
3、启用并设置DoH:根据需求设置合适的DoH DNS服务器。
4、谷歌安卓Chrome浏览器也支持设置DoH,具体步骤可参考相关文档。
iPhone配置
目前iPhone并没有通用的加密DNS设置方法,只能通过各个DNS服务商提供的APP来实现,例如下载安装Cloudflare提供的1.1.1.1应用,运行之后,在界面上选择“切换到仅DNS模式”即可支持DoH。
常见支持DoH的公共DNS服务器
国内
腾讯:https://doh.pub/dnsquery
阿里巴巴:https://dns.alidns.com/dnsquery
360:https://doh.360.cn/dnsquery
国外
Cloudflare:https://1.1.1.1/dnsquery
Google Public DNS:https://dns.google/dnsquery
Open DNS:https://doh.opendns.com
QUAD9 DNS:https://dns.quad9.net/dnsquery
DoH与DoT的比较
DoH(DNS over HTTPS)
端口:使用HTTPS的443端口。
优点:DNS查询和响应与其他HTTPS流量完全一样,很难进行监视和识别。
缺点:由于基于HTTPS,协议初始化耗时较长。
DoT(DNS over TLS)
端口:使用853端口。
优点:专用端口,即使请求和响应本身都已加密,但具有网络可见性的任何人都可以发现来回的DoT流量。
缺点:更容易被网络管理员监视和阻止。
相关问题与解答
问题1:如何测试是否成功开启DoH?
回答:可以使用Windows 10自带的Packetmon工具来分析网络流量,验证配置DoH后的流量状态,具体步骤如下:
1、打开PowerShell,重置网络流量分析:pktmon filter remove。
2、过滤普通DNS服务器的53端口流量:pktmon filter add p 53。
3、开始记录数据:pktmon start etw m realtime。
4、高级设置:如果需要测试自定义DNS服务器,请使用以下命令添加模板:netsh dns add encryption server=<yourserver’sIPaddress> dohtemplate=<yourserver’sDoHURItemplate>。
问题2:DoH是否会对网络性能产生影响?
回答:是的,DoH会对网络性能产生一定影响,由于HTTPS协议需要多次数据来回传递才能完成协议初始化,DoH的域名解析耗时较传统DNS协议会显著增加,加密和解密过程也会消耗一定的计算资源,用户在选择是否使用DoH时需要权衡安全性和性能之间的关系。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/86508.html
