DNS 基础概念
DNS (Domain Name System) 是互联网的电话簿。它负责将用户可读的网站名称(如 www.example.com)转换为机器可以理解的IP地址(如 192.0.2.1)。DNS查询和响应在传统的DNS协议中是明文传输的,这意味着它们可能受到中间人攻击,如监听、拦截和篡改。
随着网络安全意识的提升,现代的DNS查询正逐渐向加密过渡,以增强用户隐私和数据安全。下面是几种加密DNS的技术:
DoH (DNS over HTTPS):
DoH是一种通过HTTPS协议传输DNS查询的方法。它利用了HTTPS协议天然的加密特性来保障数据传输的隐私性和安全性。DoH的引入使DNS查询与普通的WEB流量混合,从而更难被封锁或监控。
DoT (DNS over TLS):
DoT利用传输层安全性协议(TLS)来加密DNS查询,确保数据在传输过程中不被监听或篡改。DoT通常在853端口上运行,并提供了一种端到端加密的解决方案。
DoQ (DNS over QUIC):
DoQ是一种新兴的技术,它结合了DNS查询和QUIC协议的优势。QUIC是一个基于UDP的多路复用传输协议,它减少了连接建立时间,并提供了更好的性能和加密支持。DoQ旨在进一步提升DNS查询的效率和隐私性。
优缺点
DNS
优点:原生支持,广泛部署,无需额外配置。
缺点:明文传输,容易受到篡改和监听。
DoH
优点:与HTTPS流量不可区分,难以被审查,易于绕过某些网络限制。
缺点:可能与现有的网络基础设施(如中间件、缓存)存在兼容性问题。
DoT
优点:设计简洁,易于实现,提供端到端加密。
缺点:可被ISP或网络防火墙识别并阻止,因为使用了专用端口。
DoQ
优点:减少连接延迟,提高传输效率,支持并发请求。
缺点:目前支持度不广,需要进一步测试和部署。
公共DNS服务提供商
Public DNS
DNS IPv4
DNS IPv6
DoH
DoT
DoQ
Google Public DNS
8.8.8.8 和 8.8.4.4
2001:4860:4860::8888 和 2001:4860:4860::8844
https://dns.google/dns-query
tls://dns.google
Cloudflare DNS
1.1.1.1 和 1.0.0.1
2606:4700:4700::1111 和 2606:4700:4700::1001
https://cloudflare-dns.com/dns-query
tls://1dot1dot1dot1.cloudflare-dns.com
Quad9
9.9.9.9 和 149.112.112.112
2620:fe::fe 和 2620:fe::fe:9
https://dns.quad9.net/dns-query
tls://dns.quad9.net
AdGuard DNS
94.140.14.14 和 94.140.15.15
2a10:50c0::ad1
和 2a10:50c0::ad2
https://dns.adguard-dns.com/dns-query
tls://dns.adguard-dns.com
quic://dns.adguard-dns.com
Cisico OpenDNS
208.67.222.222 和 208.67.220.220
2620:119:35::35 和 2620:119:53::53
https://doh.opendns.com/dns-query
Ali DNS
223.5.5.5 和 223.6.6.6
2400:3200::1 和 2400:3200:baba::1
https://dns.alidns.com/dns-query
tłs://dns.alidns.com
quic://dns.alidns.com
DNSPod DNS
119.29.29.29
2402:4e00:: 和 2402:4e00:1::
https://doh.pub/dns-query
tłs://dot.pub
TrafficRoute DNS
180.184.1.1 和 180.184.2.2