告别DNS劫持,一文读懂DoH_smartdns doh-程序员宅基地

技术标签: dns  网络安全  

如果评选一个差评服务器榜单,除去育碧高居榜首外,一定也少不了 Nintendo Switch 让人头秃的联网服务。尽管任天堂已经架设了香港 CDN 服务器用于加速,但是更新安装的速度也没有什么大幅改变。一般这种时候大家都会选择更改 DNS 来提高 NS 下载速度。

DNS(域名系统)是工作生活中很常见的名词,用户只需要在浏览器中输入一个可识别的网址,系统便会在很短的时间内找到相应的 IP 地址。在解析过程中,DNS 会访问各种名称服务器,从这些名称服务器中获取存储着的与 URL 对应的数字地址。截止到现在,DNS 已经发展了几十年,虽然使用广泛,却很少引起人们对其安全性的关注。

从安全角度来看,请求传输时通常不进行任何加密,任何人都可以读取的 DNS 其实是不安全的。这意味着网络罪犯可以很容易地使用自己的服务器拦截受害者的 DNS,将用户的请求跳转到钓鱼网站上,这些网站发布恶意软件,或在正常网站上投放大量广告吸引用户,这种行为我们称之为 DNS 劫持。为了减少这类情况的发生,业界专家目前在挣扎讨论基于 HTTPS 的 DNS(DoH)的可行性选择。那么什么是通过 HTTPS 的 DNS,它可以使 Internet 更安全吗?我们一起来看看吧。

为什么需要通过 HTTPS 的 DNS?

在日常上网中,如果用户输入无法解析的网址(例如,由于输入错误),则某些 Internet 提供商(ISP)会故意使用 DNS 劫持技术来提供错误消息。一旦 ISP 拦截了此内容,就会将用户定向到自己的网站,在该网站宣传自己或第三方的产品。虽然这并不违法,也不会直接损害用户,但是该类重定向仍会让用户反感。因此,单独使用 DNS 协议并不是非常可靠的。

而 DoH (DNS over HTTPS)即使用安全的 HTTPS 协议运行 DNS ,主要目的是增强用户的安全性和隐私性。通过使用加密的 HTTPS 连接,第三方将不再影响或监视解析过程。因此,欺诈者将无法查看请求的 URL 并对其进行更改。如果使用了基于 HTTPS 的 DNS ,数据在传输过程中发生丢失时,DoH 中的传输控制协议(TCP)会做出更快的反应。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qAK3Q0sJ-1618970980894)(https://upload-images.jianshu.io/upload_images/80097-3b1f1c34c208a8e2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

目前,DoH 尚未成为 Internet 上的全球标准,大多数连接仍依赖基本的 DNS。到目前为止,仅 Google 和 Mozilla 两家公司涉足了这一领域。Google 现正在与部分用户一起测试该功能。此外,还有用于移动设备的应用程序,这些应用程序也可以通过 DoH 进行网上冲浪。Android Pie 也提供了通过网络设置启用基于 HTTPS 的 DNS 选项。

Firefox DoH 配置

通过 HTTPS 的 DNS 如何工作?

通常一些域名解析会直接从用户的客户端进行,相应的域名信息被保存在浏览器或路由器的缓存中。而期间传输的所有内容都需要通过 UDP 连接,因为这样可以更快速地交换信息。但是我们都知道,UDP 既不安全也不可靠。使用该协议时,数据包可能会随时丢失,因为没有任何机制可以保证传输的可靠性。

而 DoH 依赖于 HTTPS,因此也依赖于 TCP,一种在 Internet 上使用频率更高的协议。这样既可以对连接进行加密, TCP 协议也可以确保完整的数据传输。另外,使用了基于 HTTPS 的 DNS,通信始终通过 443 端口进行,并在 443 端口传输实际的网络流量(例如,访问网站)。因此,外人无法区分 DNS 请求和其他通信,这也保障了更高级别的用户隐私。

DoH 的优点和缺点

DoH 的优点是显而易见的,该技术提高了安全性并保护了用户隐私。与传统的 DNS 相比,DoH 提供了加密措施。它利用 HTTPS 这种行业通用的安全协议,将 DNS 请求发往 DNS 服务器,这样运营商或第三方在整个传输过程中,只能知道发起者和目的地,除此以外别的什么都知道,甚至都不知道我们发起了 DNS 请求。

DoH 的加密措施可防止窃听或拦截 DNS 查询,但这也会带来了一些潜在的风险。多年以来实施的一些互联网安全措施都要求 DNS 请求过程可见。例如,家长控制需要依靠运营商为一些用户阻止访问某些域名。执法部门可能希望通过 DNS 数据来跟踪罪犯,并且许多组织都会使用安全系统来保护其网络,这些安全系统也会使用 DNS 信息来阻止已知的恶意站点。引入 DoH 可能会严重影响上述这些情况。因此,目前 DoH 还处于自主配置的时期。用户需要清楚谁可以看到数据,谁可以访问数据以及在什么情况下可以访问。

DoH 与 DoT

除了基于 HTTPS 的 DNS 外,目前还有另一种用于保护域名系统的技术:基于 TLS 的 DNS(DoT)。这两个协议看起来很相似,它们也都承诺了更高的用户安全性和隐私性。但是这两项标准都是单独开发的,并且各有各的 RFC 文档。DoT 使用了安全协议 TLS,在用于 DNS 查询的用户数据报协议(UDP)的基础上添加了 TLS 加密。DoT 使用 853 端口,DoH 则使用 HTTPS 的 443 端口。

由于 DoT 具有专用端口,因此即使请求和响应本身都已加密,但具有网络可见性的任何人都可以发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应在某种程度上伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的。

关于 DoT 和 DoH 究竟哪个更好?这个还有待商榷。不过从网络安全的角度来看,DoT 可以说是更好的。它使网络管理员能够监视和阻止 DNS 查询,这对于识别和阻止恶意流量非常重要。另一方面,DoH 查询隐藏在常规 HTTPS 流量中。这意味着,若不阻止所有其他的 HTTPS 流量,就很难阻止它们。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36774378/article/details/115936776

智能推荐

freeRTOS学习 — 事件标志组,很好用哦!!!_freertos里成功标志位用什么好-程序员宅基地

文章浏览阅读1.4k次。freeRTOS中还有一种可以用于任务之间同步的手段 — 事件标志组。_freertos里成功标志位用什么好

cad命令栏怎么调出来_中望CAD菜单栏和功能栏都消失怎么办-程序员宅基地

文章浏览阅读4.9k次。在我们使用中望CAD的时候,有时候会发现菜单栏和功能栏都消失不见了,这时候我们很多操作习惯可能就可能无法实现,当遇到这个问题我们该怎么办了?首先,我使用中望CAD安装包进行重新安装,但是还是没有作用,这时候可能确认的是并非软件问题,而是我们操作中出现的问题。第二,我们可以选择的方法有两种,第一就是用命令行输入命令去解决,第二就是使用我们常用的鼠标去进行操作。(1)用命令行的方法:1、在中望CAD..._中望cad命令栏不见了

xmysql:可为MySql生成REST API的神奇命令_mysql x devapi-程序员宅基地

文章浏览阅读1.5w次,点赞2次,收藏14次。原文:xmysql: one command to generate REST APIs for any MySql database 作者:o1lab 翻译:Vincent为什么用这个命令?为MySql数据库快速生成REST API,而且还不遵循诸如rails、django等框架的约定,这可能是一种不太受欢迎的冒险行为。 但是也正因为如此。该命令的功能都是由node packa_mysql x devapi

【java web毕业设计】 基于opencv与SVM的车牌识别系统_车牌识别 毕业设计 web-程序员宅基地

文章浏览阅读68次。基于opencv与SVM的车牌识别系统用python3+opencv3做的中国车牌识别,包括算法和客户端界面,只有2个文件,surface.py是界面代码,predict.py是算法代码,界面不是重点所以用tkinter写得很简单。python3.7.3opencv4.0.0.21numpy1.16.2TkinterPIL5.4.1算法思想来自于网上资源,先使用图像边缘和车牌颜色定位车牌,再识别字符。由于训练样本有限,测试时会发现,车牌字符识别,可能存在误差,尤其是第一个中文字符出现的误差概率较大_车牌识别 毕业设计 web

计算机系统要素-从零开始构建现代计算机-答案_计算机系统要素:从零开始构建现-程序员宅基地

文章浏览阅读1.6k次,点赞3次,收藏16次。关于这本书的好处 豆瓣上已经有一堆人说了 我就不重复了 直接附上项目答案练习题答案全套工具这本书的PDF可以百度自己下载内容简介本书通过展现简单但功能强大的计算机系统之构建过程,为读者呈现了一幅完整、严格的计算机应用科学大图景。本书作者认为,理解计算机工作原理的最好方法就是亲自动手,从零开始构建计算机系统。通过12个章节和项目来引领读者从头开始,本书逐步地构建一个基本的硬件平台和现代..._计算机系统要素:从零开始构建现

VMware虚拟机上Ubuntu与Windows XP文件共享_vmmuyub-程序员宅基地

文章浏览阅读3.4k次。现在使用虚拟机的人越来越多,它的确给我们带来了很大的方便。但是其中总会有一些问题困扰着我们,今天我就给大家讲一讲我的一点小小的经验。关于VMware虚拟机上Ubuntu与Windows XP文件共享的问题! 我的情况:本人电脑系统为Windows XP,在该系统上装了VMware 6.0虚拟机,并在虚拟机上安装了Ubuntu 9.04。最终实现了两系统的文件共享!(其他系统大同小略) 进入正题,以下为详细步骤: 一. 首先确保你的虚拟系统正确安装了VMware-Tools,并_vmmuyub

随便推点

webstorm 扩大内存_webstorm设置内存-程序员宅基地

文章浏览阅读1.1k次。个人感知-----vs/ws对于vscode 总是很多东西操作不熟练 还是喜欢用wenstorm ,可视化能力简直不要太好!!!但是不得不承认ws真的巨慢巨卡,尤其是公司电脑配置不高的情况下 更是恼火5分钟改个bug 提代码用了半小时。面对测试及其他人的冷眼斜视,我很无奈!!!更改一下内存设置,默认值为2M多一点 ,也是太慢好不好!所以玩命加!!!只能说还有是有点点效果的 操作切换分支时没有那么卡 持续找解决办法。。。。。..._webstorm设置内存

python docx官网_Python操作docx文档-程序员宅基地

文章浏览阅读1.2k次。最近学 Python 的一部分原因是我想用Python的docx包来写一个自动化生成word报告的脚本(需求产生动力),本来是打算用rmarkdown来出报告的,其对网页版支持比较好(样式也好看),对PDF支持也不错(毕竟可以依靠latex),但是对于word的可操作性并是不很好(可能使用的比较粗糙);最后听人说Python的docx包不错,专门对于window下的word进行操作,所以尝试下对于..._python word处理 官网

Un*、Id分别突变情况下单闭环直流调速系统仿真-程序员宅基地

文章浏览阅读1.7k次,点赞2次,收藏9次。P、PI调节器在直流电机调速上的MATLAB SIMULINK仿真分析

Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】-程序员宅基地

文章浏览阅读2.1k次。Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理_scram-sha-256

cad字体修改方案分享-缺少SHX字体、替换字体_cad缺少字体如何用万能字体替换-程序员宅基地

文章浏览阅读1.3w次,点赞3次,收藏13次。本文提供了cad缺少SHX字体时的解决方案,对于饱受每次打开都被提醒更换字体的兄弟有较大帮助。_cad缺少字体如何用万能字体替换

干货分享:在Windows下使用Visual Studio搭建C语言开发环境_visual studio c语言-程序员宅基地

文章浏览阅读4.3k次,点赞5次,收藏29次。前言:本文将教大家如何使用 VIsual Studio Code 搭建 C 语言开发环境,包括使用 VS Code 如何编译和调试 C 语言程序,需要 用到的工具有 Visual Studio Code 、MinGw-w64 。1. 安装 C/C++ 插件C/C++ 是由 Microsoft 发布的支持 C/C++ 智能提示和调试等功能的插件,安装步骤如下:使用快捷键Ctrl + Shift + X呼出扩展面板在搜索框中输入:C/C++再安装由Microsoft提供的名为C/C++插._visual studio c语言

推荐文章

热门文章

相关标签