告别DNS劫持,一文读懂DoH
若是评选一个差评服务器榜单,除去育碧高居榜首外,必定也少不了 Nintendo Switch 让人头秃的联网服务。尽管任天堂已经架设了香港 CDN 服务器用于加速,可是更新安装的速度也没有什么大幅改变。通常这种时候你们都会选择更改 DNS 来提升 NS 下载速度。html
DNS(域名系统)是工做生活中很常见的名词,用户只须要在浏览器中输入一个可识别的网址,系统便会在很短的时间内找到相应的 IP 地址。在解析过程当中,DNS 会访问各类名称服务器,从这些名称服务器中获取存储着的与 URL 对应的数字地址。截止到如今,DNS 已经发展了几十年,虽然使用普遍,却不多引发人们对其安全性的关注。浏览器
从安全角度来看,请求传输时一般不进行任何加密,任何人均可以读取的 DNS 实际上是不安全的。这意味着网络罪犯能够很容易地使用本身的服务器拦截受害者的 DNS,将用户的请求跳转到钓鱼网站上,这些网站发布恶意软件,或在正常网站上投放大量广告吸引用户,这种行为咱们称之为 DNS 劫持。为了减小这类状况的发生,业界专家目前在挣扎讨论基于 HTTPS 的 DNS(DoH)的可行性选择。那么什么是经过 HTTPS 的 DNS,它可使 Internet 更安全吗?咱们一块儿来看看吧。缓存
为何须要经过 HTTPS 的 DNS?
在平常上网中,若是用户输入没法解析的网址(例如,因为输入错误),则某些 Internet 提供商(ISP)会故意使用 DNS 劫持技术来提供错误消息。一旦 ISP 拦截了此内容,就会将用户定向到本身的网站,在该网站宣传本身或第三方的产品。虽然这并不违法,也不会直接损害用户,可是该类重定向仍会让用户反感。所以,单独使用 DNS 协议并非很是可靠的。安全
而 DoH (DNS over HTTPS)即便用安全的 HTTPS 协议运行 DNS ,主要目的是加强用户的安全性和隐私性。经过使用加密的 HTTPS 链接,第三方将再也不影响或监视解析过程。所以,欺诈者将没法查看请求的 URL 并对其进行更改。若是使用了基于 HTTPS 的 DNS ,数据在传输过程当中发生丢失时,DoH 中的传输控制协议(TCP)会作出更快的反应。服务器
目前,DoH 还没有成为 Internet 上的全球标准,大多数链接仍依赖基本的 DNS。到目前为止,仅 Google 和 Mozilla 两家公司涉足了这一领域。Google 现正在与部分用户一块儿测试该功能。此外,还有用于移动设备的应用程序,这些应用程序也能够经过 DoH 进行网上冲浪。Android Pie 也提供了经过网络设置启用基于 HTTPS 的 DNS 选项。网络
经过 HTTPS 的 DNS 如何工做?
一般一些域名解析会直接从用户的客户端进行,相应的域名信息被保存在浏览器或路由器的缓存中。而期间传输的全部内容都须要经过 UDP 链接,由于这样能够更快速地交换信息。可是咱们都知道,UDP 既不安全也不可靠。使用该协议时,数据包可能会随时丢失,由于没有任何机制能够保证传输的可靠性。测试
而 DoH 依赖于 HTTPS,所以也依赖于 TCP,一种在 Internet 上使用频率更高的协议。这样既能够对链接进行加密, TCP 协议也能够确保完整的数据传输。另外,使用了基于 HTTPS 的 DNS,通讯始终经过 443 端口进行,并在 443 端口传输实际的网络流量(例如,访问网站)。所以,外人没法区分 DNS 请求和其余通讯,这也保障了更高级别的用户隐私。网站
DoH 的优势和缺点
DoH 的优势是显而易见的,该技术提升了安全性并保护了用户隐私。与传统的 DNS 相比,DoH 提供了加密措施。它利用 HTTPS 这种行业通用的安全协议,将 DNS 请求发往 DNS 服务器,这样运营商或第三方在整个传输过程当中,只能知道发起者和目的地,除此之外别的什么都知道,甚至都不知道咱们发起了 DNS 请求。加密
DoH 的加密措施可防止窃听或拦截 DNS 查询,但这也会带来了一些潜在的风险。多年以来实施的一些互联网安全措施都要求 DNS 请求过程可见。例如,家长控制须要依靠运营商为一些用户阻止访问某些域名。执法部门可能但愿经过 DNS 数据来跟踪罪犯,而且许多组织都会使用安全系统来保护其网络,这些安全系统也会使用 DNS 信息来阻止已知的恶意站点。引入 DoH 可能会严重影响上述这些状况。所以,目前 DoH 还处于自主配置的时期。用户须要清楚谁能够看到数据,谁能够访问数据以及在什么状况下能够访问。spa
DoH 与 DoT
除了基于 HTTPS 的 DNS 外,目前还有另外一种用于保护域名系统的技术:基于 TLS 的 DNS(DoT)。这两个协议看起来很类似,它们也都承诺了更高的用户安全性和隐私性。可是这两项标准都是单独开发的,而且各有各的 RFC 文档。DoT 使用了安全协议 TLS,在用于 DNS 查询的用户数据报协议(UDP)的基础上添加了 TLS 加密。DoT 使用 853 端口,DoH 则使用 HTTPS 的 443 端口。
因为 DoT 具备专用端口,所以即便请求和响应自己都已加密,但具备网络可见性的任何人均可以发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应在某种程度上假装在其余 HTTPS 流量中,由于它们都是从同一端口进出的。
关于 DoT 和 DoH 究竟哪一个更好?这个还有待商榷。不过从网络安全的角度来看,DoT 能够说是更好的。它使网络管理员可以监视和阻止 DNS 查询,这对于识别和阻止恶意流量很是重要。另外一方面,DoH 查询隐藏在常规 HTTPS 流量中。这意味着,若不阻止全部其余的 HTTPS 流量,就很难阻止它们。
推荐阅读
- 1. HTTP劫持和DNS劫持
- 2. DNS劫持
- 3. 关于DNS劫持(一)
- 4. DNS劫持和DNS污染
- 5. Windows 10 将支持 DNS over HTTPS(DoH)
- 6. Windows 10将支持DNS over HTTPS(DoH)
- 7. DNS劫持和HTTP劫持有何区别
- 8. 内网dns劫持
- 9. dns劫持分析
- 10. kali之DNS劫持
- 更多相关文章...
- • R 绘图 - 中文支持 - R 语言教程
- • C# 文本文件的读写 - C#教程
- • JDK13 GA发布:5大特性解读
- • RxJava操作符(一)Creating Observables
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
- 1. HTTP劫持和DNS劫持
- 2. DNS劫持
- 3. 关于DNS劫持(一)
- 4. DNS劫持和DNS污染
- 5. Windows 10 将支持 DNS over HTTPS(DoH)
- 6. Windows 10将支持DNS over HTTPS(DoH)
- 7. DNS劫持和HTTP劫持有何区别
- 8. 内网dns劫持
- 9. dns劫持分析
- 10. kali之DNS劫持