Ichigo

Ichigo的小站

A computer-blogger from SXU
首頁封存

DNS相關

#互联网冲浪指北75
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
DNS(域名系统)是将域名(如example.com)转换为IP地址的服务。当用户访问网站时,设备会向DNS服务器查询相应的IP地址,完成DNS解析。然而,传统的DNS查询是以明文方式传输,容易被网络提供商监控。为了解决这个问题,加密DNS(如DoH和DoT)通过加密协议保护用户隐私,虽然网络提供商仍能看到加密信息,但无法解读内容。 加密DNS的优点包括更快的访问速度和更高的安全性,缺点则可能是增加访问延迟。推荐的DNS服务包括腾讯云和阿里云,支持DoH和DoT协议,提供隐私保护和安全防劫持。用户在选择DNS时应优先考虑隐私保护,使用VPN或Tor浏览器进一步增强隐私。 对于不支持DNS修改的设备,默认的DNS通常由网络提供商提供,虽然没有加密,但延迟较低。若遇到DNS错误,可以通过命令行刷新DNS缓存。

什麼是 DNS#

當我們訪問一個網站 / 域名時(如 example.com)
我們不是直接訪問 example 的伺服器
而是需要向 DNS 伺服器查詢該域名對應的 IP 地址
而 DNS 會回答這個問題。這個域名對應的 ip 地址是 x.x.x.x 。
然後設備會去訪問 x.x.x.x。
這就已經完成一次 DNS 解析。
但這有一個缺陷,因為在向 DNS 伺服器詢問問題時,問題,以及伺服器回答的答案,都是以明碼的方式傳送,(TCP/UDP 信息交互方式)
這就意味著,網路提供商,例如:中國電信,中國移動,中國聯通,校園網的提供商,都能不費吹灰之力知道你現在在訪問哪個網站。

image

雖然加密 DNS 的原理還是和上述的完全一樣,還是去問 DNS 伺服器一個問題。

但是!

現在這些問題會通過某些協議加密之後和 DNS 伺服器進行通信。

雖然網路提供商仍然能看見你的信息,但是他們只能看見一串加密過後的亂碼。

這些信息只能由 DNS 伺服器上的公鑰以及客戶端的私鑰可以解開,知道其中的內容是什麼。

優點#

對部分站點有更快的訪問速度
私密性和安全性

缺點#

可能增加訪問時延

推薦 DNS#

DoT 協議更多的適配在手機上。

DoH 協議更多適配在電腦上。

國內#

騰訊雲#

騰訊 DNS 基於 BGP Anycast 技術,不論用戶身在何地,都可就近訪問服務。支持谷歌 ECS 協議,配合 DNSPod 權威解析,可以給用戶提供出最準確的解析結果,承諾不劫持解析結果。
IPV4

1. IPv4:119.29.29.29

DOH-DNS over HTTPS
以加密的 HTTPS 協議進行 DNS 解析請求,避免原始 DNS 請求被竊聽,提升安全性

1. DoH:https://doh.pub/dns-query
2. DoH:https://1.12.12.12/dns-query
3. DoH:https://120.53.53.53/dns-query
4. DoH:https://sm2.doh.pub/dns-query (國密)

DNS over TLS
以加密的 TLS 協議進行 DNS 解析請求,避免原始 DNS 請求被竊聽,提升安全性

1. DoT:dot.pub
2. DoT:1.12.12.12
3. DoT:120.53.53.53

image

阿里雲#

阿里 DNS 線路支持包括電信、移動、聯通、鵬博士、廣電網、教育網及海外 150 個國家或地域,支持用戶 ECS 擴展技術,智能解析;支持 DoT/DoH 協議,保護用戶隱私,安全防劫持。

1. IPv4:223.5.5.5
2. IPv4:223.6.6.6
3. DoH:https://223.5.5.5/dns-query
4. DoH:https://223.6.6.6/dns-query
5. DoH:https://dns.alidns.com/dns-query
6. DoT:dns.alidns.com

其它#

DNS 選擇建議#

  1. 隱私保護

    • 優先選擇:DoH 或 DoT。兩者都能加密 DNS 查詢,保護用戶的隱私,防止中間人攻擊和 DNS 洩漏。如果你擔心 DNS 請求被監控,選擇 DoH 或 DoT 是一個明智的選擇。
    • 具體選擇:DoH 適合需要更高隱蔽性的用戶,因為其使用的 443 端口與 HTTPS 流量混合;DoT 則適合在支持該協議的網路環境中使用。

  2. 網路環境兼容性

    • 優先選擇:DoH。如果你在不同的網路環境中移動,並且不確定網路管理員是否會阻止特定端口,DoH 可能是更好的選擇,因為它使用的 443 端口很難被阻止。

  3. 特定行業需求

    • 優先選擇:國密。如果你從事涉及高度敏感信息的工作,特別是在政府、金融等特定行業,且需要符合國家安全標準,那麼使用國密算法是必要的。

如何增強隱私保護#

  1. 使用 VPN

    • 加密所有流量:VPN(虛擬專用網路)會加密你所有的網路流量,使得網路管理員只能看到你與 VPN 伺服器之間的加密通信,而無法看到你實際訪問的網站。
    • 隱藏 IP 地址:使用 VPN 會將你的 IP 地址替換為 VPN 伺服器的 IP 地址,進一步隱藏你的訪問目的地。

  2. 使用 Tor 瀏覽器

    • 匿名網路:Tor 通過多層加密和中繼節點,使得你的網路流量路徑難以追蹤,保護你的隱私。
    • 隱藏訪問目的地:Tor 網路使得網路管理員無法看到你實際訪問的網站,只能看到你連接到了 Tor 網路。

設備不支持 DNS 修改#

一般默認的 DNS 提供商是你的網路提供商,例如是中國移動的手機卡,那就默認會使用中國移動的 DNS 伺服器。

雖然網路提供商提供的 DNS,沒有加密這些

但有一個其他 DNS 提供商無法比擬的優點

那就是延遲極低,一般單次 DNS 解析時間在 5ms 甚至更低,比使用公共 DNS 提供商的 DNS 還要快很多

DNS 錯誤#

右鍵 cmd 打開管理員模式
輸入並按回車執行【ipconfig /flushdns】 命令,成功就會提示:已成功刷新 DNS 解析快取;
DNS 快取信息清空之後,再次輸入命令來檢查;

  ipconfig /displaydns 顯示 DNS 解析程序快取的內容

  ipconfig /flushdns 清除 DNS 解析程序快取

  ipconfig /renew 更新指定適配器的 IPv4 地址

  ipconfig /registerdns 刷新所有 DHCP 租用並重新註冊 DNS 名稱

參考網址#

想要上網體驗有保障,如何設置一個更安全的 DNS? - 少數派 (sspai.com)
Public DNS+——DNSPod 推出的域名遞歸解析服務
國內可用的 IPv4 公共加密 DNS:DoH/DoT/DoQ - CCCiTU 玩機大學
DoT/DoH 加密 DNS 免費公共伺服器地址大全 Public DoT/DoH DNS Server - DNS.iCoA.CN
國內外知名免費公共 DoT/DoH 加密 DNS 伺服器 (含 IPV6) - 知乎 (zhihu.com)
開啟 DOH 避免 DNS 洩漏! - 軟體分享 - LINUX DO
一鍵複製粘貼,Clash 防止 DNS 洩漏的實用指南,既自由又安全! - 軟體分享 - LINUX DO
Win11dns 異常怎麼修復?Win11 修復 dns 異常的三種方法 - 系統之家 (xitongzhijia.net)

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。