要理解加密DNS,首先得知道DNS是什么。
DNS 的全称是域名系统,你可以把它想象成互联网的“电话簿” 或“导航地图”。
你输入的www.google.com (域名 - 人类容易记忆)
网络实际连接的142.251.42.206 (IP地址 - 机器识别的数字)
DNS服务器的工作就是帮你把“域名”翻译成“IP地址”,没有DNS,你就无法通过网址访问任何网站。
在很长一段时间里,DNS查询默认是不加密 的,使用的大多是UDP协议,这就像你通过明信片寄出一封信,上面写着:“请问谷歌的地址是多少?”,然后邮局(DNS服务器)把回信(IP地址)也用明信片寄回来。
这种不加密的方式带来了三大问题:
1、隐私泄露:
谁在窥探? 你的网络服务商、公共WiFi的提供者、网络路径上的任何监听者,都能清楚地看到你正在访问哪些网站。
泄露什么? 即使你访问的网站本身是HTTPS加密的(他们看不到你的聊天内容或密码),但他们知道你访问了example.com、health-website.com 或sensitive-site.org,这些信息足以构建你的个人画像。
2、DNS劫持/篡改:
中间人攻击恶意攻击者可以截获你的DNS查询,并返回一个错误的IP地址。
后果你本想访问真实的网上银行,却被引导到了一个精心伪造的钓鱼网站,导致账号密码被盗。
3、网络审查与干扰:
* 运营商或防火墙可以根据DNS查询来屏蔽特定网站,或者将你的查询引导到他们指定的页面(比如广告页面或警告页面)。
加密DNS服务器 就是解决了上述问题的DNS服务器,它使用加密协议来传输你的DNS查询和响应,确保整个过程是私密和完整的。
核心特点:
加密传输你的查询内容(你要访问的网站名)在传输过程中被加密,就像把明信片装进了密封的信封里,中间人只能看到你在和某个DNS服务器通信,但不知道具体内容。
数据完整性防止响应在传输途中被篡改。
身份验证确保你正在与真实的、可信的DNS服务器通信,而不是一个冒名顶替者。
目前最主流的有两种:
1、DNS over TLS
原理在DNS查询的外部包裹了一层TLS加密层,也就是为网站提供HTTPS加密的同一种技术。
端口使用专门的853端口。
特点因为它使用独立端口,网络管理员可以很容易地识别和管理它。
2、DNS over HTTPS
原理将DNS查询和响应伪装成普通的HTTPS流量。
端口使用标准的HTTPS端口(443)。
特点由于它和正常的网页浏览流量混在一起,更难被网络中间设备识别和阻断,隐私性更强,但也因此有时会被网络管理策略所限制。
1、增强隐私保护:防止你的浏览记录被网络服务商或其他第三方轻易窥探。
2、提升安全性:有效抵御DNS劫持和中间人攻击,让你更安全地访问网站。
3、避免DNS污染:在某些网络环境下,可以避免被强制跳转到广告或警告页面。
设置非常简单,通常有以下几种方式:
1、在操作系统中设置(推荐):
安卓在“网络和互联网” -> “私人DNS”中设置。
iOS/macOS在Wi-Fi设置中,点击已连接的Wi-Fi,配置DNS服务器。
Windows在网络适配器属性中设置。
常见公共加密DNS服务器地址
Cloudflare1.1.1.1 和1.0.0.1
Google8.8.8.8 和8.8.4.4
Quad99.9.9.9 (注重安全,会屏蔽恶意网站)
阿里云223.5.5.5 和223.6.6.6
CNNIC1.2.4.8 和210.2.4.8
2、在浏览器中设置:
* 一些浏览器(如Firefox、Chrome)有内置的加密DNS功能,可以优先使用DoH。
3、使用支持加密DNS的App:
* 例如1.1.1.1 App,它可以强制你设备上的所有流量都通过Cloudflare的加密DNS。
不能隐藏你的IP地址加密DNS只保护你的“查询内容”(域名),但你的IP地址对你要访问的网站和服务器仍然是可见的,它不等于VPN。
可能被干扰在某些严格管控的网络中,运营商可能会主动阻断与知名公共DNS服务器的连接,强制你使用他们自己的DNS。
信任转移你只是将信任从你的网络服务商转移到了你所选择的加密DNS提供商(如Cloudflare或Google),你需要相信这些提供商不会滥用你的查询数据。
加密DNS服务器 是一种通过加密技术保护你域名查询隐私和安全的新型DNS服务,它像是给你的“网络导航请求”加上了一个防偷窥、防篡改的保险箱,是当今互联网环境下保护个人数字隐私的一项基础且重要的措施,强烈推荐所有用户启用它。
文章摘自:https://idc.huochengrm.cn/js/18399.html
评论