一,DNS安全协议
1,概述
DoH和DoT能够加密DNS查询流量,使运营商无法直接查看或修改DNS查询内容。
DNSSEC是一套用于确保DNS数据真实性和完整性的安全扩展协议。它通过添加数字签名来验证DNS记录的来源,确保数据在传输过程中未被篡改。
2,Doh与DoT
(1)DNS over TLS (DoT)
①工作原理:
- 使用TLS协议加密DNS查询
- 使用专门的853端口
- 直接在TLS层面加密DNS通信
②主要特点:
- 使用独立端口,便于网络管理
- Android系统默认支持
- 更容易被网络管理员识别和管理
(2)DNS over HTTPS (DoH)
①工作原理:
- 通过HTTPS协议加密DNS查询
- 使用443端口(标准HTTPS端口)
- DNS查询被包装在HTTPS流量中
②主要特点:
- 提供更好的隐私保护
- 可以绕过网络限制,防止DNS欺骗和缓存污染
- 隐藏在普通HTTPS流量中,更难被检测和封锁
3,DNSSEC
(1)工作原理:
- 使用公钥加密技术对DNS数据进行签名
- 建立信任链,从根区开始验证
- 通过RRSIG记录存储数字签名
- 使用DNSKEY记录存储公钥
(2)特点:
- 提供DNS数据源身份认证,确保数据完整性
- 提供认证式否定应答
- 不提供数据加密和可用性保护
(3)应用:
- 防止DNS缓存投毒和欺骗攻击
- 验证DNS记录的真实性,保证解析安全
(4)与DoH/DoT的区别
| 特性 | DNSSEC | DoH/DoT |
|---|---|---|
| 保护范围 | 解析器到权威服务器 | 客户端到解析器 |
| 安全重点 | 数据真实性 | 传输加密 |
| 实现方式 | 数字签名 | TLS加密 |
| 部署难度 | 较高 | 较低 |
二,DoT和DoH服务器推荐
1,国内直连服务
由于排版问题,完整内容请参考下述链接或者本文链接
详细数据请参考:DNS 服务器大全 国内/国外公共DNS服务器地址(Ipv4/Ipv6)大全
https://dns.icoa.cn/
同时感谢下述服务:安卓系统DoT DNS食用指南、 国内目前可用的DoH
2,私人部署DNS
(1)特点
优点:功能更丰富,提供例如去广告等自定义服务
缺点:延迟可能较高,且存在服务器不稳定的问题
有些会提供付费服务,请慎重考虑
(2)部分网址
| 名称 | 官网 |
|---|---|
| 18bit DNS | https://www.18bit.cn/index.html |
| XLXBJ DNS | XLXBJDNS |
| 果冻域名解析 | https://dns.66a.net/ |
| 冷莫 DNS | https://dns-cdn.trli.club/ |
(3)自建DNS
如果拥有个人服务器,可考虑自行部署AdGuardHome
项目地址:
三,DoT和DoH应用
1,浏览器中应用
在 Edge 和 Chrome 浏览器使用 DoH 和 DoT DNS
(PS:浏览器高级版本已经默认开启了,可以在 edge://settings/?search=dns 或 chrome://settings/security?search=dns 中直接进行设置)
出现 您的浏览器由所属组织管理情况可参考下述内容
2,在Andorid应用
- 在手机设置中搜索DNS
- 点击
私人DNS,并选择指定DNS服务器 - 将上述DoT地址填入
DNS服务器地址中
