DNS over HTTPS(DoH)是一个免费的协议标准,用于通过超文本传输协议安全(HTTPS)传输DNS请求(和决议)。它是传输DNS的安全替代方案,而不是纯文本,因为DOH对数据进行加密。这项技术旨在保护内容免受未经授权的访问或操纵,并保护互联网用户的隐私。在这篇文章中,我们还学习了如何在Firefox、Google Chrome、Microsoft Edge和Opera中启用DNS over HTTPS。
了解DNS over HTTPS是如何工作的,以及该标准的优点和缺点。
内容显示
通过HTTPS的DNS是如何工作的?
域名系统(DNS)将可读的URL与神秘的IP地址联系起来,是基于IP的网络最重要的服务之一–因为有意义的名字比光秃秃的数字列更容易记住。
应用层面的域名系统通常根据自然语言来解析主机名称,并提供相关的IP地址。比如说。当你在浏览器中调用一个URL(例如:www.google.com)时,会自动向DNS发出请求,以确定网络服务器的IP地址(在我们的例子中,这将是142.250.192.174)。根据这一信息,浏览器就会调用该网站。如果没有DNS,每次你想访问一个网站时,都必须在浏览器中输入地址。
此外,DNS允许服务器的IP地址相对无风险地被改变。如果用户只处理一个DNS名称,相关IP地址的变化基本上不会被注意到。这方面的一个可能的应用是用IPv6取代传统的IP地址。此外,单个DNS名称也可以分配给几个IP地址–其结果将是通过DNS进行简单的负载平衡(负载平衡)。
该数据库。域名资源记录
DNS数据库是以资源记录的形式组织的。每个单独的主机和顶级域都可以与这些记录中的几个相联系。一个资源记录由五个条目组成。
Domain_name:条目所指的域的名称。
存活时间。该记录的有效期,以秒为单位。该值表明,在数据必须从总是当前的 “权威记录 “中再次更新之前,该记录可以在缓存(”缓存记录”)中被缓存多长时间。
类。对于有关互联网的信息,该类总是被设置为 “IN”。其他字段是可能的,但很少使用。
类型。指定记录的类型,如 “A “代表IPv4地址,”AAAA “代表IPv6地址,或 “NS “代表名称服务器。
值。记录的值取决于记录的 “类型”,可以采用各种数值,包括数字、域名或ASCII字符串。
然而,也有一个陷阱。对DNS服务器的查询是以纯文本传输的。这意味着,原则上,在你的设备和名称服务器之间的路径上,你可以看到你想访问的网站。这很容易被黑客和网络犯罪分子发现,以实现操纵(例如,重定向到另一个页面或DDoS攻击)。
数据被隐藏在HTTPS流量中
这就是DNS over HTTPS的作用。顾名思义,这使用了HTTPS协议,该协议默认运行在443端口。由于这在大多数网络中是开放的,因此不会出现由于防火墙封锁或类似的问题。
因此,DNS流量通过加密连接运行到(具有DoH功能的)DNS服务器,即所谓的DoH解析器。为此,DoH使用面向连接的通信,并在建立后发送HTTPS数据包,其中反过来包含实际的DNS请求。因此,数据被隐藏在实际的HTTPS流量中。解析器也是加密响应的。
通过使用HTTPS,几乎任何网络服务器现在都能够回答DNS查询(当然,前提是它支持DoH)。此外,它应该在未来提供关于被请求网站的所有链接和使用的页面的信息。这样,当你在网页上移动时,就不需要再进行DNS查询。
HTTPS的DNS也有一个缺点
大多数 “正常 “的互联网用户可能甚至不知道DNS是如何工作的,也不知道它到底需要做什么。对于所有这些人来说,DoH无疑是安全方面的一个巨大收获。管理员和精通技术的家庭用户很可能对整个事情看法不一。
特别是在公司,DoH的影响有时甚至会导致严重的困难。通常情况下,系统管理员使用本地DNS服务器和基于DNS的软件来过滤和监控本地流量。这主要是为了防止员工访问未经授权或危险的内容。然而,有了DoH,员工就能绕过过滤器,也能访问被阻止的内容。
而且,在DoH,你的隐私安全并没有百分之百的保证。虽然数据在客户端和解析器之间的途中是双向加密的,但供应商也有其他选择(关键词 “TLS握手 “和 “SNI”),他们可以通过这些选择追踪你访问网站的历史。
因此,还有一种DOH的替代方案,即DOT(DNS over TLS)协议,然而,两者的加密标准是一样的,只是在加密和传输的方法上有所不同。
哪些浏览器已经支持DoH?
在Mozilla Firefox上启用DNS-Over-HTTPS
Mozilla和安全服务提供商Cloudflare是DNS over HTTPS的推动者,这就是为什么Firefox(在2020年)也是第一个集成DoH的浏览器。
如何在FireFox中启用DNS over HTTPS?
打开Mozilla FireFox浏览器
后,打开设置页面,然后从左侧给出的菜单中选择常规。
或者,你也可以在浏览器的URL栏中粘贴,直接打开常规设置。about:preferences#general
之后,点击网络设置按钮。
然后向下滚动,选中Mozilla FireFox中通过HTTPS启用DNS选项的方框。
提示。Firefox默认通过Cloudflare解析器处理所有DoH请求。有关DNS处理的个人设置会被简单地忽略。另外,也可以使用 “自定义提供者 “选项将设置设置为另一个公共可用服务器的DoH解析器。
在谷歌浏览器中启用DNS-over-HTTPS
继火狐之后,谷歌浏览器是第二个配备DoH的浏览器。谷歌浏览器从83版开始提供HTTPS的DNS服务,适用于Windows和MacOS。我们可以在浏览器的安全设置中启用或禁用它。目前,这已经适用于Windows、Mac、Linux、Android和Chrome OS。
打开该功能后,Chrome浏览器将DNS请求发送到与以前相同的服务器,但如果它有一个支持DoH的接口,就会对流量进行加密。如果不是这种情况,请求就会被发送,而不会被加密。如果你目前的DNS服务提供商不支持DOH,那么请使用列表中的自定义服务提供商。
要快速打开设置,请使用这个URL–chrome://settings/security
在Microsoft Edge中启用DNS-over-HTTPS
虽然就像谷歌浏览器一样,DNS-over-HTTPS也将在微软Edge浏览器中启用,然而,如果你想设置一个自定义的,那么下面是要遵循的步骤。
在你的浏览器的URL框中复制-粘贴,并点击回车键。
之后向下滚动到 “使用安全DNS来指定如何查询网站的网络地址 “设置。
选择 “选择一个服务提供商 “选项,选择列出的提供商或添加你的一个提供商。
基于Chromium的浏览器的安全DNS
许多其他知名的浏览器(包括Opera或Vivaldi)都是基于Chromium及其Blink引擎的。因此,这些浏览器也可以使用HTTPS的DNS,并且可以像我们为Chrome浏览器所做的那样在各自的设置中激活。
注意:苹果在2020年底发布的iOS 14和macOS 11同时支持DoH和DoT协议。
如何使用Cloudflare检查DNS OVer HTTPS
在浏览器中启用安全DNS或DNS Over HTTPS后,我们可以检查以确认我们是否真的在安全DNS服务上。为此,Cloudflare提供了一项服务,称为 – 浏览体验安全检查。使用该链接并打开页面。在那里点击 “检查我的浏览器 “按钮。很快你就会得到结果。
常见问题
通过HTTPS的DNS(DoH)与通过TLS的DNS(DoT)有何不同?
DoT使用TLS(传输层安全)而不是HTTPS来传输请求,并要求启用853端口。这使得通信更容易被识别和阻止。
通过DoH的通信真的是完全匿名的吗?
不幸的是,DoH也不能为您的隐私提供完全的保护。对于互联网服务提供商(ISP)来说,仍然有可能记录通信中未加密的部分。
HTTP上的DNS是一个官方标准吗?
DoH是一个IETF标准或RFC草案。IETF(”互联网工程任务组”)是一个非营利组织,负责采用公共互联网标准。
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/basis/routing/202211042888.html