DNS 被广泛认为是互联网的电话簿,它将域名转换为计算机可读的信息,例如 IP 地址。每当您在地址栏中输入一个域名时,DNS 会自动将其转换为相应的 IP 地址。浏览器使用这些信息从源服务器检索数据并加载网站。
然而,网络不法分子经常窥探 DNS 流量,因此加密对于保护网络浏览的私密和安全至关重要。
目前主流的加密方式有以下几种:
1. DNS-over-TLS
DoT使用传输层安全(TLS)加密 DNS 查询,确保您的 DNS 查询端到端加密,从而防止中间人攻击
- DNS 查询会发送到 DNS-over-TLS 解析器,而非未加密的解析器。解析器会代表您解密 DNS 查询,并将其发送到权威 DNS 服务器。
- DoT 默认使用 TCP 853 端口。连接时,客户端和解析器会进行数字握手。客户端通过加密的 TLS 通道将 DNS 查询发送到解析器。
- DNS 解析器处理查询,找到相应的 IP 地址,并通过加密通道将响应发送回客户端。
- 客户端接收加密响应,解密后使用 IP 地址连接到所需的网站或服务。
2. DNS-over-HTTPS
HTTPS 是现在用于访问网站的安全版 HTTP。与 DNS-over-TLS 相同,DNS-over-HTTPS也会在信息发送到网络之前进行加密。
虽然工作原理类似,但是 DoH 和 DoT 之间存在一些基本差异:
- DoH 通过 HTTPS 发送所有加密查询,而不是直接创建 TLS 连接来加密流量。
- DoH 使用 443 端口进行通信,难以与普通 Web 流量进行区分。DoT 使用 853 端口,这就更容易识别和阻断。
- 由于利用了现有的 HTTPS 基础设施,DoH 已经被广泛采用于主流 Web 浏览器,如 Mozilla Firefox 和 Google Chrome。而 DoT 更常用于操作系统和专用 DNS 解析器中(如 OpenWRT 插件),而不是直接集成到 Web 浏览器中。
DoH 被广泛应用主要原因是它更容易集成到现有的 Web 浏览器中,而且更重要的是,它与常规 Web 流量无缝融合,这让它更难被阻断。
3. DNS-over-QUIC
与上述 DNS 加密协议相比,DNS-over-QUIC(DoQ)比较新。它是一种新兴的安全协议,可通过传输协议发送 DNS 查询和响应。
如今,大多数互联网流量依赖于传输控制协议(TCP)或用户数据报协议(UDP),DNS 查询通常使用 UDP 发送。QUIC 协议被引入以克服 TCP/UDP 的一些缺点,并有助于减少延迟和提高安全性。
QUIC 由 Google 开发,旨在提供比传统协议(如 TCP 和 TLS)更好的性能,安全性和可靠性。 QUIC 结合了 TCP 和 UDP 的特点,同时还集成了类似于 TLS 的内置加密。
DoQ 协议比较新,它比上述协议多了几个优势:
- DoQ 的性能高,减少了总延迟并改善了连接时间,从而实现更快的 DNS 解析。这最终意味着网站向您提供服务的速度会更快。
- 与 TCP 和 UDP 相比,DoQ 更具抗数据包丢失能力,它可以恢复丢失的数据包,而无需完全重传。这一点与基于 TCP 的协议不同。
- 使用 QUIC 进行连接迁移也更容易。QUIC 在单个连接中封装了多个流,减少了连接所需的往返次数,从而提高了性能。在切换 Wi-Fi 和蜂窝网络时,也非常有用。
尽管与其他协议相比,尚未实现 QUIC 的广泛应用,但 Apple、Google 和 Meta 等公司已经开始使用 QUIC,并创建自己的版本(例如,Microsoft 为 SMB 流量使用的 MsQUIC),这为未来的发展奠定了基础。
配置和使用
目前国内提供的加密DNS相对较少,只有阿里云提供了用户端的加密DNS,其主要针对于企业和GOV用户开发,收费相对较高,目前国内免费并且相对好用的就是景天易安的“神绫DNS”,解析速度和安全性都是相对较高的(BUT域名感觉好随意)。在使用过程中甚至还能阻止一些广告。值得尝试一下:
下面是复制官网的配置文档中的一部分,官方的内容还是比较全的,这些可以参考一下配置过程
官方地址:景天易安“神绫”域名服务系统配置教程
Android/HarmonyOS
- Android 9 /HarmonyOS原生支持 DNS-over-TLS。 要进行配置,请转到 设置 → 网络和互联网 → 高级 → 私有 DNS,然后在那里输入
dns.yuguan.xyz以完成配置并连接到服务器。
Windows
- 通过开始菜单或 Windows 搜索功能打开控制面板。
- 点击进入「网络和 Internet」后,再次点击进入「网络和共享中心」
- 在窗口的左侧点击「更改适配器设置」。
- 选择您正在连接的网络设备,右击它并选择「属性”」。
- 在列表中找到「Internet 协议版本 4 (TCP/IPv4)」,选择并再次点击「属性」。
- 选择「使用下面的 DNS 服务器地址」,并输入
39.101.132.122以连接到服务器。
MacOS
- 点击苹果图标,进入「系统首选项」。
- 点击「网络」。
- 选择在列表中的第一个连接,并点击「高级」。
- 选择「DNS」选项卡,并输入
39.101.132.122
Linux
- 使用vim或者nano打开
/etc/resolv.conf文件 - 将
nameserver xxx.xxx.xxx.xxx中的IP地址修改为39.101.132.122 - 保存文件即可
iOS/MacOS(DoH)
- 复制下载链接:https://www.yuguan.xyz/Downloads/jingtiandoh.mobileconfig
- 通过Safari浏览器访问链接,并下载文件。
- iOS进入“设置”,点击“已下载描述文件”;MacOS双击下载配置文件。
- 安装文件
地址
下面是景天易安DNS的服务地址,根据实际需要复制使用即可
- 主服务器:
39.101.132.122 - DoQ服务器:
quic://dns.yuguan.xyz:853 - DoT服务器:
tls://dns.yuguan.xyz:853 - DoH服务器:
https://dns.yuguan.xyz/dns-query
