DNS 被广泛认为是互联网的电话簿,它将域名转换为计算机可读的信息,例如 IP 地址。每当您在地址栏中输入一个域名时,DNS 会自动将其转换为相应的 IP 地址。浏览器使用这些信息从源服务器检索数据并加载网站。
然而,网络不法分子经常窥探 DNS 流量,因此加密对于保护网络浏览私密和安全至关重要。
什么是 DNS 加密协议
DNS 查询和响应通常以明文方式传输,使得网络不法分子更容易拦截和篡改通信。DNS 加密协议旨在通过加密 DNS 查询和响应来提高网络或网站的隐私和安全性。
使用 DNS 加密协议可以增强保护措施,让黑客难以查看和篡改敏感数据或破坏您的网络连接。各种加密 DNS 提供商可以保护您的查询不受窥探。
常见 DNS 加密协议
目前可供使用的 DNS 加密协议有多种,这些加密协议可以通过在 HTTPS 协议下使用传输层安全(TLS)连接来加密流量,以防止网络侦测与监听。
1. DNSCrypt
DNSCrypt 是一种网络协议,它会加密用户计算机和名称服务器之间的所有 DNS 流量。该协议使用公钥基础架构(PKI)来验证 DNS 服务器和客户端的真实性。
- 当发起 DNS 查询时,客户端使用服务器的公钥进行加密。
- 加密的查询被发送到服务器,服务器使用其私钥解密查询。
像这样,DNSCrypt 确保客户端和服务器之间的通信始终经过身份验证和加密。
DNSCrypt 使用的是相对较旧的网络协议。由于新协议提供了更广泛的支持和更强的安全性保证,因此它基本已被 DNS-over-TLS(DoT)和 DNS-over-HTTPS(DoH)所取代。
2. DNS-over-TLS
DNS-over-TLS 使用传输层安全(TLS)加密 DNS 查询,确保您的 DNS 查询端到端加密,从而防止中间人(MITM)攻击。
- DNS 查询会发送到 DNS-over-TLS 解析器,而非未加密的解析器。解析器会代表您解密 DNS 查询,并将其发送到权威 DNS 服务器。
- DoT 默认使用 TCP 853 端口。连接时,客户端和解析器会进行数字握手。客户端通过加密的 TLS 通道将 DNS 查询发送到解析器。
- DNS 解析器处理查询,找到相应的 IP 地址,并通过加密通道将响应发送回客户端。
- 客户端接收加密响应,解密后使用 IP 地址连接到所需的网站或服务。
3. DNS-over-HTTPS
HTTPS 是现在用于访问网站的安全版 HTTP。与 DNS-over-TLS 相同,DNS-over-HTTPS(DoH)也会在信息发送到网络之前进行加密。
虽然工作原理类似,但是 DoH 和 DoT 之间存在一些基本差异:
- DoH 通过 HTTPS 发送所有加密查询,而不是直接创建 TLS 连接来加密流量。
- DoH 使用 443 端口进行通信,难以与普通 Web 流量进行区分。DoT 使用 853 端口,这就更容易识别和阻断。
- 由于利用了现有的 HTTPS 基础设施,DoH 已经被广泛采用于主流 Web 浏览器,如 Mozilla Firefox 和 Google Chrome。而 DoT 更常用于操作系统和专用 DNS 解析器中(如 OpenWRT 插件),而不是直接集成到 Web 浏览器中。
DoH 被广泛应用主要原因是它更容易集成到现有的 Web 浏览器中,而且更重要的是,它与常规 Web 流量无缝融合,这让它更难被阻断。
4. DNS-over-QUIC
与上述 DNS 加密协议相比,DNS-over-QUIC(DoQ)比较新。它是一种新兴的安全协议,可通过QUIC(Quick UDP Internet Connections)传输协议发送 DNS 查询和响应。
如今,大多数互联网流量依赖于传输控制协议(TCP)或用户数据报协议(UDP),DNS 查询通常使用 UDP 发送。QUIC 协议被引入以克服 TCP/UDP 的一些缺点,并有助于减少延迟和提高安全性。
QUIC 由 Google 开发,旨在提供比传统协议(如 TCP 和 TLS)更好的性能,安全性和可靠性。 QUIC 结合了 TCP 和 UDP 的特点,同时还集成了类似于 TLS 的内置加密。
DoQ 协议比较新,它比上述协议多了几个优势:
- DoQ 的性能高,减少了总延迟并改善了连接时间,从而实现更快的 DNS 解析。这最终意味着网站向您提供服务的速度会更快。
- 与 TCP 和 UDP 相比,DoQ 更具抗数据包丢失能力,它可以恢复丢失的数据包,而无需完全重传。这一点与基于 TCP 的协议不同。
- 使用 QUIC 进行连接迁移也更容易。QUIC 在单个连接中封装了多个流,减少了连接所需的往返次数,从而提高了性能。在切换 Wi-Fi 和蜂窝网络时,也非常有用。
尽管与其他协议相比,尚未实现 QUIC 的广泛应用,但 Apple、Google 和 Meta 等公司已经开始使用 QUIC,并创建自己的版本(例如,Microsoft 为 SMB 流量使用的 MsQUIC),这为未来的发展奠定了基础。
新兴技术有望从根本上改变我们访问网络的方式。例如,许多公司现在正在利用区块链技术来开发更安全的域名命名协议,如 HNS 和 Unstoppable Domains。
推荐阅读:如何清除与刷新 DNS 缓存,完全指南
最新评论
ATTENTION: PLEASE REFRAIN FROM UPGRADING TO 7.0.16 FOR NOW. THIS RELEASE HAS AN ISSUE WHICH MIGHT CAUSE HOST OS CRASH WHEN VM IS CONFIGURED TO USE BRIDGED OR HOST-ONLY NETWORKING. WE WILL SEND AN ANNOUNCEMENT TO MAILING LISTS WHEN FIX WILL BE AVAILABLE FOR DOWNLOAD.
报错应该会提示缺少哪个框架,在https://store.rg-adguard.net网站找出来先安装。
大神你好,请问用PowerShell安装MSIXBundle的时候提示《部署失败,原因是 HRESULT: 0x80073CF3, 包无法进行更新、相关性或冲突验证。因为此程序包依赖于一个找不到的框架。》这该怎么办呀?
我刚试了下,正常的。你清理下浏览器或者换个浏览器试试。