域名系统 (DNS) 被广泛认为是互联网的电话簿,它将域名转换为计算机可以读取的信息,例如 IP 地址。
每当您在地址栏中输入域名时,DNS 会自动将其转换为对应的 IP 地址。 您的浏览器使用此信息从原始服务器检索数据并加载站点。
但黑客通常可以监视 DNS 流量,因此必须进行加密以确保您的 Web 浏览私密和安全。
什么是 DNS 加密协议?
DNS 加密协议旨在通过加密 DNS 查询和响应来提高您的网络或网站的隐私和安全性。 DNS 查询和响应以纯文本形式定期发送,这使得黑客更容易拦截和篡改通信。
DNS 加密协议使这些黑客越来越难以查看和修改您的敏感数据或破坏您的网络。 有各种加密的 DNS 提供商可以保护您的查询免受窥探。
最常见的 DNS 加密协议
目前有多种 DNS 加密协议在使用。 这些加密协议可用于通过在传输层安全 (TLS) 连接上加密 HTTPS 协议内的流量来防止网络窥探。
1.DNSCrypt
DNSCrypt 是一种网络协议,用于加密用户计算机和通用名称服务器之间的所有 DNS 流量。 该协议使用公钥基础设施 (PKI) 来验证 DNS 服务器和您的客户端的真实性。
它使用两个密钥,一个公钥和一个私钥来验证客户端和服务器之间的通信。 当发起 DNS 查询时,客户端使用服务器的公钥对其进行加密。
然后将加密的查询发送到服务器,服务器使用其私钥解密查询。 这样,DNSCrypt 确保客户端和服务器之间的通信始终经过身份验证和加密。
DNSCrypt 是一个相对较旧的网络协议。 由于这些较新的协议提供了更广泛的支持和更强大的安全保证,它在很大程度上已被 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 所取代。
2. DNS-over-TLS
DNS-over-TLS 使用传输层安全性 (TLS) 加密您的 DNS 查询。 TLS 确保您的 DNS 查询是端到端加密的,防止中间人 (MITM) 攻击。
当您使用 DNS-over-TLS (DoT) 时,您的 DNS 查询将发送到 DNS-over-TLS 解析器,而不是未加密的解析器。 DNS-over-TLS 解析器解密您的 DNS 查询并代表您将其发送到权威 DNS 服务器。
DoT 的默认端口是 TCP 端口 853。当您使用 DoT 连接时,客户端和解析器都会执行数字握手。 然后,客户端通过加密的 TLS 通道将其 DNS 查询发送到解析器。
DNS 解析器处理查询,找到相应的 IP 地址,并通过加密通道将响应发送回客户端。 加密的响应由客户端接收并解密,客户端使用 IP 地址连接到所需的网站或服务。
3. DNS-over-HTTPS
HTTPS 是现在用于访问网站的 HTTP 的安全版本。 与 DNS-over-TLS 一样,DNS-over-HTTPS (DoH) 也会在所有信息通过网络发送之前对其进行加密。
虽然目标相同,但 DoH 和 DoT 之间存在一些根本差异。 对于初学者,DoH 通过 HTTPS 发送所有加密查询,而不是直接创建 TLS 连接来加密您的流量。
其次,它使用端口 403 进行一般通信,因此很难与一般 Web 流量区分开来。 DoT 使用端口 853,从而更容易识别来自该端口的流量并阻止它。
DoH 在 Mozilla Firefox 和 Google Chrome 等网络浏览器中得到了更广泛的采用,因为它利用了现有的 HTTPS 基础设施。 DoT 更常被操作系统和专用 DNS 解析器使用,而不是直接集成到 Web 浏览器中。
DoH 得到更广泛采用的两个主要原因是因为它更容易集成到现有的网络浏览器中,更重要的是,它与常规网络流量无缝融合,使其更难被阻止。
4. DNS-over-QUIC
与此列表中的其他 DNS 加密协议相比,DNS-over-QUIC (DoQ) 是相当新的。 它是一种新兴的安全协议,可通过 QUIC(快速 UDP 互联网连接)传输协议发送 DNS 查询和响应。
今天的大多数互联网流量都依赖于传输控制协议 (TCP) 或用户数据报协议 (UDP),DNS 查询通常通过 UDP 发送。 然而,引入 QUIC 协议是为了克服 TCP/UDP 的一些缺点,并有助于减少延迟和提高安全性。
QUIC 是谷歌开发的一种相对较新的传输协议,旨在提供比 TCP 和 TLS 等传统协议更好的性能、安全性和可靠性。 QUIC 结合了 TCP 和 UDP 的特性,同时还集成了类似于 TLS 的内置加密。
由于它较新,因此 DoQ 与上述协议相比具有多项优势。 对于初学者来说,DoQ 提供更快的性能、减少整体延迟并改进连接时间。 这导致更快的 DNS 解析(DNS 解析 IP 地址所需的时间)。 最终,这意味着可以更快地为您提供网站服务。
更重要的是,与 TCP 和 UDP 相比,DoQ 对数据包丢失的恢复能力更强,因为它可以从丢失的数据包中恢复而无需完全重传,这与基于 TCP 的协议不同。
此外,使用 QUIC 迁移连接也更容易。 QUIC 将多个流封装在一个连接中,减少了连接所需的往返次数,从而提高了性能。 这在 Wi-Fi 和蜂窝网络之间切换时也很有用。
与其他协议相比,QUIC 尚未被广泛采用。 但像 Apple、Google 和 Meta 这样的公司已经在使用 QUIC,并且经常创建自己的版本(Microsoft 将 MsQUIC 用于其所有 SMB 流量),这预示着未来的美好前景。
期待未来对 DNS 的更多更改
新兴技术有望从根本上改变我们访问网络的方式。 例如,许多公司现在都在利用区块链技术提出更安全的域名命名协议,例如 HNS 和 Unstoppable Domains。