DNS-over-HTTPS(安全DNS)是一种新技术,旨在使网页浏览安全通过加密客户端计算机之间的通信和DNS服务器。
这个新的网络标准被广泛采用。采用列表包括Windows 10(2004年版),Android 9派,Google Chrome, Mozilla Firefox,微软边缘,歌剧和维瓦尔第等等。
在本文中,我们将讨论的优点和缺点DNS-over-HTTPS以及如何使这个协议在您的设备。
我们还将讨论如何为你的设备或测试如果启用了哎。
让我们开始吧。
表的内容
一个简单的解释DNS-over-HTTPS和它是如何工作的
DNS-over-HTTPS(度)是一种协议加密DNS查询你的电脑和DNS服务器之间。这是2018年10月首次引入(IETF RFC 8484),增加的目标用户的安全和隐私。
传统的DNS服务器利用DNS 53端口进行通信而DNS-over-HTTPS利用HTTPS端口443安全地与客户沟通。
请注意,尽管哎是一种安全协议,它不会阻止isp追踪你的请求。它只是加密DNS查询您的计算机之间数据和ISP为了防止欺骗等问题,中间人攻击等。
让我们理解这一个简单的例子。
这是DNS是如何工作的:
- 如果你想打开域名itechtics.com,使用浏览器请求它。
- 你的浏览器发送一个请求到DNS服务器中配置你的系统如1.1.1.1。
- DNS递归解析器(1.1.1.1)→顶级域的根服务器(TLD)(在我们的例子中。com)和要求的名称服务器itechtics.com。
- 然后DNS服务器(1.1.1.1)→itechtics.com的域名服务器的IP地址,问itechtics.com DNS名称。
- DNS服务器(1.1.1.1)携带此信息到浏览器和浏览器连接到itechtics.com并获得响应从服务器。
所有这些沟通从你的电脑TLD DNS服务器的DNS服务器名称服务器和网站的形式完成简单的文本消息。
这意味着任何人都可以监控你的网站流量,很容易知道你打开网站。
DNS-over-HTTPS加密所有的计算机之间的通信和DNS服务器使它更安全而不易中间人和其他欺骗攻击。
让我们理解这一个视觉的例子:
当DNS客户端发送DNS查询的DNS服务器不使用度:
当的DoH客户机使用DoH协议发送DNS流量DoH启用DNS服务器:
在这里你可以看到交通从客户机到服务器的DNS是加密的,没有人知道客户要求。DNS服务器的响应也是加密。
DNS-over-HTTPS的利弊
而DNS-over-HTTPS将慢慢取代遗留DNS系统,它有自己的优势和潜在的问题。让我们来讨论其中的一些。
哎不支持完整的用户隐私
哎是吹捧为下一个大事件在用户隐私和安全,但在我看来,这只是专注于用户安全,而不是隐私。
如果你知道这个协议是如何工作的,你会知道的DoH不阻止isp跟踪用户DNS请求。
即使使用DNS ISP不能够跟踪你因为你使用不同的公共DNS提供商,有很多的数据点仍然开放的互联网服务供应商跟踪。例如,服务器名称指示(SNI)领域和在线证书状态协议(OCSP)连接等。
如果你想要更多的隐私,你应该看看其他技术,如DNS-over-TLS(点),DNSCurve, DNSCrypt等等。
卫生署不适用于HTTP查询
如果你打开一个网站,不操作使用SSL, DoH服务器将退回到遗产(DNS-over-HTTP)也称为Do53 DNS技术。
但如果您使用的是安全通信无处不在,哎绝对是比使用裸金属旧的和不安全的DNS技术。
并不是所有的DNS服务器支持度
有大量遗留的DNS服务器,需要升级到支持DNS-over-HTTPS。这将需要很长时间广泛采用。
直到这个协议支持大多数DNS服务器,大多数用户将被迫使用大型组织提供的公共DNS服务器。
这将导致更多的隐私问题的大多数DNS数据将被收集世界各地的几集中地点。
早期采用的DoH的另一个缺点是,如果全球DNS服务器宕机,将旅行的大多数用户使用服务器进行名称解析。
卫生署将成为企业头疼
而卫生署将提高安全性,这将是一个头痛的企业和组织,监控员工活动和使用工具阻止NSFW(不安全的工作)的部分。
网络和系统管理员将很难应对的新协议。
使用DNS-over-HTTPS减缓浏览吗?
度的有两个方面寻找测试性能时对遗留Do53协议:
- 名称解析性能
- 网页加载性能
名称解析性能是我们使用的度量来计算DNS服务器的时间给我们所需的服务器IP地址我们想访问的网站。
网页加载性能的实际指标是否我们觉得减速当我们浏览互联网使用DNS-over-HTTPS协议。
这两个测试是由samknows和最终结果是微不足道的DNS-over-HTTPS和遗留Do53协议之间的性能差异。
你可以阅读的完整的性能在samknows案例研究与统计。
以下是我们上面定义的每个指标汇总表。(点击图片大图)
名称解析性能测试
网页加载性能测试
如何在Windows上启用或禁用DNS-over-HTTPS 10
Windows 2004版本将DNS-over-HTTPS默认启用。所以一旦发布下一个版本的Windows 10你升级到最新版本,会有不需要手动启用哎。
然而,如果您使用的是Windows 10内幕预览,您将需要手动启用的DoH使用以下方法:
使用Windows注册表
- 去- >运行注册表编辑器。这将打开Windows注册表编辑器。
- 打开以下注册表项:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl雷竞技下载iOS地址Set \ Dnscache \ \服务参数 - 右键单击参数文件夹并选择新建- > DWORD(32位)价值。
- 它的名字EnableAutoDoh。
- 设置EnableAutoDoh进入的价值2。
您将需要重新启动计算机的更改生效。
请注意,此更改生效只有当您使用支持DNS-over-HTTPS的DNS服务器。下面你会发现的公共DNS提供商列表支持度。
早期版本的Windows 10包括1909年和1903年版本不支持默认哎。
使用组策略
我保持这一节,以供将来使用。现在,没有DNS-over-HTTPS组策略规则。我们将填写的步骤当微软使它们可用于Windows版本2004。
使用PowerShell(命令行)
我保持这一节,以供将来使用。如果微软提供了一种方法来启用或禁用哎使用命令行,我们在这里列出的步骤。
如何启用或禁用DNS-over-HTTPS在你的浏览器吗
一些应用程序支持绕过系统配置DNS服务器和使用DNS-over-HTTPS代替。几乎所有现代浏览器已经支持度或在不久的将来将支持协议。
使DNS-over-HTTPS Google Chrome
- 打开Google Chrome和去以下网址:
chrome: / /设置/安全 - 下先进的安全,在切换使用安全DNS。
- 启用安全的DNS,之后会有两个选择:
- 与你当前的服务提供者
- 与谷歌的推荐服务提供商
你可以选择任何适合你。第二个选项将搁置你的系统的DNS设置。
禁用哎,只需切换使用安全DNS设置从。
在Mozilla Firefox中启用DNS-over-HTTPS
- 打开Firefox和去以下网址:
< a href = ":偏好”类= " rank-math-link " >:偏好< / > - 下一般,去网络设置,然后点击设置按钮。或者只是按E键盘键打开设置。
- 滚动到和底部检查使DNS / HTTPS。
- 从下拉,你可以选择你喜欢的安全的DNS服务器。
使DNS-over-HTTPS在微软的优势
在Opera浏览器中启用DNS-over-HTTPS
- 打开Opera浏览器设置(Alt + P)。
- 扩大先进的在左边的菜单。
- 在系统中,在切换用DNS-over-HTTPS代替系统的DNS设置。
- 重启浏览器的更改生效。
安全的DNS设置没有生效,直到我禁用歌剧的内置VPN服务。如果你有问题使哎在歌剧中,尝试禁用VPN。
在维瓦尔第启用DNS-over-HTTPS浏览器
- 打开浏览器维瓦尔第,去以下网址:
维瓦尔第:/ /标志/ # dns-over-https - 选择启用从下拉旁边安全的DNS查找。
- 重启浏览器的更改生效。
如何启用DNS-over-HTTPS安卓吗
Android 9派支持度设置。您可以按照下面的步骤来启用算在你的Android手机上:
- 去网络和互联网→设置→高级→私人DNS。
- 你可以设置这个选项汽车,或者你也可以自己指定一个安全的DNS提供商。
如果你不能找到这些设置在你的手机上,你可以遵循下面的步骤:
- 下载并打开QuickShortcutMaker应用从谷歌商店。
- 进入设置页面,点击:
com.android.settings.Settings NetworkDashboardActivity美元
这将直接带你到网络设置页面,你会发现DNS安全选项。
你如何检查如果您使用的是DNS-over-HTTPS ?
有两种方法可以检查是否启用了哎妥善为您的设备或浏览器。
最简单的方法来检查这是去cloudflare浏览体验检查页面。单击检查我的浏览器按钮。
在安全的DNS,您将得到以下信息如果您使用度:
您使用的是加密的DNS和1.1.1.1运输
如果你不使用哎,你将获得以下信息:
你可能不会使用安全的DNS。
Windows 2004版本也给实时监控端口53包的一种方法。这将告诉我们如果系统是使用DNS-over-HTTPS或遗留Do53。
- 打开PowerShell管理权限。
- 运行以下命令:
pktmon过滤器移除
这个删除所有活跃的过滤器,如果任何。pktmon过滤器添加- p 53
这增加了53端口监控和记录。pktmon开始——etw - m实时
这始于53端口的实时监控。
如果你看到很多交通被显示在列表中,这意味着遗留Do53被用来代替DoH。
请注意,上述命令只会工作在Windows 2004版本。否则,它会给你一个错误:未知参数的实时
的名称服务器列表支持度
这是DNS服务提供者支持DNS-over-HTTPS列表。
| 提供者 | 主机名 | IP地址 |
| AdGuard | dns.adguard.com | 176.103.130.132 176.103.130.134 |
| AdGuard | dns-family.adguard.com | 176.103.130.132 176.103.130.134 |
| CleanBrowsing | family-filter-dns.cleanbrowsing.org | 185.228.168.168 185.228.169.168 |
| CleanBrowsing | adult-filter-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
| Cloudflare | one.one.one.one 1 dot1dot1dot1.cloudflare-dns.com |
1.1.1.1 1.0.0.1 |
| Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
| Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
| 谷歌 | dns.google google-public-dns-a.google.com google-public-dns-b.google.com |
8.8.8.8 8.8.4.4 |
| NextDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
| OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
| OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
| OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
| Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net |
9.9.9.9 149.112.112.112 |
尽管DNS-over-HTTPS使网络更加安全,应实现统一整个网络(如在HTTPS)的情况下,这个协议将给系统管理员的噩梦。
系统管理员需要找到方法阻止公共DNS服务,同时使其内部DNS服务器使用度。雷竞技下载iOS地址这样做需要保持目前的监测设备和限制政策跨组织的活动。
如果我错过了什么文章,请在下面的评论,请让我知道。如果你喜欢这篇文章,学习新的东西,请与你的朋友分享和社交媒体和订阅我们的通讯。
2的评论
丹
10不支持Windows DNS / HTTPS。
凸轮
这是DNS / TLS-android不支持本地DNS / HTTPS。