摘要：而即使用安全的協(xié)議運行，主要目的是增強用戶的安全性和隱私性。因此，欺詐者將無法查看請求的并對其進行更改。圖片劫持目前，尚未成為上的全球標準，大多數(shù)連接仍依賴基本的。到目前為止，僅和兩家公司涉足了這一領域。

如果評選一個差評服務器榜單，除去育碧高居榜首外，一定也少不了 Nintendo Switch 讓人頭禿的聯(lián)網(wǎng)服務。盡管任天堂已經(jīng)架設了香港 CDN 服務器用于加速，但是更新安裝的速度也沒有什么大幅改變。一般這種時候大家都會選擇更改 DNS 來提高 NS 下載速度。DNS 相關可以參考前幾天發(fā)布的《聊聊 DNS 的那些小知識》文章。它可以幫助大家了解DNS 的基礎知識。

DNS（域名系統(tǒng)）是工作生活中很常見的名詞，用戶只需要在瀏覽器中輸入一個可識別的網(wǎng)址，系統(tǒng)便會在很短的時間內(nèi)找到相應的 IP 地址。在解析過程中，DNS 會訪問各種名稱服務器，從這些名稱服務器中獲取存儲著的與 URL 對應的數(shù)字地址。截止到現(xiàn)在，DNS 已經(jīng)發(fā)展了幾十年，雖然使用廣泛，卻很少引起人們對其安全性的關注。

從安全角度來看，請求傳輸時通常不進行任何加密，任何人都可以讀取的 DNS 其實是不安全的。這意味著網(wǎng)絡罪犯可以很容易地使用自己的服務器攔截受害者的 DNS，將用戶的請求跳轉(zhuǎn)到釣魚網(wǎng)站上，這些網(wǎng)站發(fā)布惡意軟件，或在正常網(wǎng)站上投放大量廣告吸引用戶，這種行為我們稱之為 DNS 劫持。為了減少這類情況的發(fā)生，業(yè)界專家目前在掙扎討論基于 HTTPS 的 DNS（DoH）的可行性選擇。那么什么是通過 HTTPS 的 DNS，它可以使 Internet 更安全嗎？我們一起來看看吧。

為什么需要通過 HTTPS 的 DNS？

在日常上網(wǎng)中，如果用戶輸入無法解析的網(wǎng)址（例如，由于輸入錯誤），則某些 Internet 提供商（ISP）會故意使用 DNS 劫持技術來提供錯誤消息。一旦 ISP 攔截了此內(nèi)容，就會將用戶定向到自己的網(wǎng)站，在該網(wǎng)站宣傳自己或第三方的產(chǎn)品。雖然這并不違法，也不會直接損害用戶，但是該類重定向仍會讓用戶反感。因此，多帶帶使用 DNS 協(xié)議并不是非常可靠的。

而 DoH （DNS over HTTPS）即使用安全的 HTTPS 協(xié)議運行 DNS ，主要目的是增強用戶的安全性和隱私性。通過使用加密的 HTTPS 連接，第三方將不再影響或監(jiān)視解析過程。因此，欺詐者將無法查看請求的 URL 并對其進行更改。如果使用了基于 HTTPS 的 DNS ，數(shù)據(jù)在傳輸過程中發(fā)生丟失時，DoH 中的傳輸控制協(xié)議（TCP）會做出更快的反應。

圖片

△ DNS劫持

目前，DoH 尚未成為 Internet 上的全球標準，大多數(shù)連接仍依賴基本的 DNS。到目前為止，僅 Google 和 Mozilla 兩家公司涉足了這一領域。Google 現(xiàn)正在與部分用戶一起測試該功能。此外，還有用于移動設備的應用程序，這些應用程序也可以通過 DoH 進行網(wǎng)上沖浪。Android Pie 也提供了通過網(wǎng)絡設置啟用基于 HTTPS 的 DNS 選項。

圖片

△ Firefox DoH 配置

通過 HTTPS 的 DNS 如何工作？

通常一些域名解析會直接從用戶的客戶端進行，相應的域名信息被保存在瀏覽器或路由器的緩存中。而期間傳輸?shù)乃袃?nèi)容都需要通過 UDP 連接，因為這樣可以更快速地交換信息。但是我們都知道，UDP 既不安全也不可靠。使用該協(xié)議時，數(shù)據(jù)包可能會隨時丟失，因為沒有任何機制可以保證傳輸?shù)目煽啃浴?/p>

圖片

而 DoH 依賴于 HTTPS，因此也依賴于 TCP，一種在 Internet 上使用頻率更高的協(xié)議。這樣既可以對連接進行加密， TCP 協(xié)議也可以確保完整的數(shù)據(jù)傳輸。另外，使用了基于 HTTPS 的 DNS，通信始終通過 443 端口進行，并在 443 端口傳輸實際的網(wǎng)絡流量（例如，訪問網(wǎng)站）。因此，外人無法區(qū)分 DNS 請求和其他通信，這也保障了更高級別的用戶隱私。

DoH 的優(yōu)點和缺點

DoH 的優(yōu)點是顯而易見的，該技術提高了安全性并保護了用戶隱私。與傳統(tǒng)的 DNS 相比，DoH 提供了加密措施。它利用 HTTPS 這種行業(yè)通用的安全協(xié)議，將 DNS 請求發(fā)往 DNS 服務器，這樣運營商或第三方在整個傳輸過程中，只能知道發(fā)起者和目的地，除此以外別的什么都知道，甚至都不知道我們發(fā)起了 DNS 請求。

DoH 的加密措施可防止竊聽或攔截 DNS 查詢，但這也會帶來了一些潛在的風險。多年以來實施的一些互聯(lián)網(wǎng)安全措施都要求 DNS 請求過程可見。例如，家長控制需要依靠運營商為一些用戶阻止訪問某些域名。執(zhí)法部門可能希望通過 DNS 數(shù)據(jù)來跟蹤罪犯，并且許多組織都會使用安全系統(tǒng)來保護其網(wǎng)絡，這些安全系統(tǒng)也會使用 DNS 信息來阻止已知的惡意站點。引入 DoH 可能會嚴重影響上述這些情況。因此，目前 DoH 還處于自主配置的時期。用戶需要清楚誰可以看到數(shù)據(jù)，誰可以訪問數(shù)據(jù)以及在什么情況下可以訪問。

DoH 與 DoT

除了基于 HTTPS 的 DNS 外，目前還有另一種用于保護域名系統(tǒng)的技術：基于 TLS 的 DNS（DoT）。這兩個協(xié)議看起來很相似，它們也都承諾了更高的用戶安全性和隱私性。但是這兩項標準都是多帶帶開發(fā)的，并且各有各的 RFC 文檔。DoT 使用了安全協(xié)議 TLS，在用于 DNS 查詢的用戶數(shù)據(jù)報協(xié)議（UDP）的基礎上添加了 TLS 加密。DoT 使用 853 端口，DoH 則使用 HTTPS 的 443 端口。

圖片

由于 DoT 具有專用端口，因此即使請求和響應本身都已加密，但具有網(wǎng)絡可見性的任何人都可以發(fā)現(xiàn)來回的 DoT 流量。DoH 則相反，DNS 查詢和響應在某種程度上偽裝在其他 HTTPS 流量中，因為它們都是從同一端口進出的。