DNS 是進入互聯(lián)網(wǎng)世界的第一步。那么 DNS 到底是什么有何作用?常常聽到的 DNS 污染和 DNS 劫持又是咋回事?DNS 加密 DoH 和 DoT 分別是什么?
 
1.DNS 是什么,有何作用?
 
1.1 DNS 的有什么作用?
 
在手機通訊錄,找到張三并按下?lián)艽蜴I,在這個過程中,手機撥打的并非張三這兩個字,而是張三背后對應(yīng)的一串手機號;在互聯(lián)網(wǎng)世界,DNS 就是域名的通訊錄,負責(zé)把網(wǎng)址解析成正確的 IP 地址。
 
DNS污染劫持DNS加密是什么意思(dns知識詳細介紹)
 
通俗來講,當(dāng)你在 Chrome 瀏覽器 打開百度搜索 www.baidu.com 這個網(wǎng)址時(張三),從 瀏覽器控制臺可以看出,你真正打開的是該網(wǎng)址對應(yīng)的 36.152.44.96 這個 IP 地址(手機號),IP 地址如此復(fù)雜很難記憶,于是就有了DNS(通訊錄)負責(zé)在瀏覽器后臺自動將網(wǎng)址轉(zhuǎn)換成IP。
 
DNS污染劫持DNS加密是什么意思(dns知識詳細介紹)
 
所以,訪問網(wǎng)站的本質(zhì)就是訪問該網(wǎng)站的 IP 地址,我們將百度搜索的 IP 地址 103.235.46.39 復(fù)制到瀏覽器地址欄打開,頁面顯示的內(nèi)容和 www.baidu.com 顯示的一摸一樣。 
 
1.2 一個網(wǎng)址可以有多個 IP 嗎?
 
當(dāng)然。就像張三可以有多個手機號碼,一個網(wǎng)址也可以綁定多個 IP 地址。我們 ping 一下 www.baidu.com 從結(jié)果中可以看到,不同的地區(qū)訪問百度搜索時,解析到的 IP 地址有很多變化。
 
1.3 為什么有的 IP 地址打不開?
 
并非所有網(wǎng)站都可以使用解析到的 IP 地址直接訪問,比如知乎(www.zhihu.com)就做了一些限制,只允許通過域名訪問而無法使用 IP 訪問。
 
2. 什么是DNS污染、DNS劫持?
 
兩者最大的區(qū)別,DNS 污染是阻斷你訪問網(wǎng)站,目的是不讓你訪問;DNS 劫持則是讓你訪問一個虛假的李鬼網(wǎng)站,或者在你訪問的網(wǎng)站上擅自插入自己的廣告,以及私自增加 DNS 緩存時間等。
 
2.1 DNS 污染
 
又稱域名服務(wù)器緩存投毒(DNS cache poisoning),是指把域名指往不正確的 IP 地址。比如張三的手機號明明是 11 位的中國電信手機號碼,通訊錄卻寫的是 10 位數(shù)的美國人赫本的手機號,跨國長途自然是打不通或者打通了也不是張三的結(jié)果。
 
2.2 DNS 劫持
 
DNS 劫持一般是提供上網(wǎng)服務(wù)的運營商所為,用戶查詢 DNS 時,返回修改后的指定 IP 地址,網(wǎng)頁無法打開或者打開的是一個假網(wǎng)站,或插入自己的廣告。
 
比如張三是賣茶葉的,你找張三想買一些茶葉,通過通訊錄打過去,結(jié)果通訊錄從中使壞,將手機號寫成了也是賣茶葉的李四,最終你以為買的茶葉是張三的,實際上茶葉是李四。
 
3. DNS 加密方式:DoH/DoT
 
3.1 DoH 和 DoT
 
傳統(tǒng) DNS 查詢數(shù)據(jù)以明文方式傳輸,容易被污染和劫持,非常的不安全;使用加密 DNS 可以避免運營商的劫持,以及使用大數(shù)據(jù)分析你所有訪問的網(wǎng)站詳情。
 
DoH 全稱 DNS Over HTTPS,使用 HTTPS 應(yīng)用層協(xié)議代替?zhèn)鹘y(tǒng)的無連接無加密的 UDP 模式,保護 DNS 數(shù)據(jù)傳輸安全,可有效避免域名被運營商劫持、DNS 緩存投毒等域名安全問題。
 
DoT 全稱 DNS over TLS,安全原理與 DoH 一樣都是使用 TLS 協(xié)議來傳輸 DNS 協(xié)議;采用固定的 853 端口,特征明顯;比 DOH 少了一層 HTTP,理論上性能略高于 DOH。
 
3.2 公共加密 DNS 服務(wù)
 
目前已有多個國內(nèi)外公共 DNS 提供加密 DNS 服務(wù),如:
 
國內(nèi)的:只能保證不劫持 國家地方聯(lián)合工程研究中心的 IPv6 公共 DNS、騰訊 DNS (DNSPod)、阿里 DNS (Alidns)云、360 安全 DNS ;

國外的:多數(shù)國內(nèi)不可用 Google Public DNS、Cloudflare DNS、Quad9 DNS、OpenDNS 等;
裝機