DNS over HTTPS (DoH) 与 DNS over TLS (DoT) 详解
字数 2291 2025-11-12 01:55:11

DNS over HTTPS (DoH) 与 DNS over TLS (DoT) 详解

一、知识点描述
DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 是两种旨在增强DNS查询隐私性和安全性的协议。它们通过加密DNS流量,防止窃听和篡改,解决了传统DNS协议(使用UDP/TCP 53端口,明文传输)的安全缺陷。理解它们的原理、区别、部署方式及潜在争议是网络安全领域的重要部分。

二、知识讲解

1. 传统DNS的安全风险

  • 工作原理:当你在浏览器输入www.example.com时,你的计算机会向预设的DNS递归解析器(通常是ISP提供的)发送一个明文的DNS查询请求。该解析器会代表你向各级DNS服务器查询,最终将域名对应的IP地址返回给你的计算机。
  • 安全风险
    • 窃听(Eavesdropping):网络上的攻击者(如在同一个公共Wi-Fi下)可以轻易截获你的DNS查询,知道你访问了哪些网站,侵犯隐私。
    • 篡改(Tampering):攻击者或恶意的网络设备可以伪造DNS响应,将你引导至钓鱼网站或恶意软件站点。这就是DNS劫持或缓存投毒。
    • 操纵(Manipulation):某些组织(如政府、ISP)可能基于DNS查询进行内容过滤或审查。

2. DNS over TLS (DoT)

  • 核心思想:在DNS客户端(如你的操作系统或路由器)和DNS解析器之间建立一个加密的TLS隧道。DNS查询和响应在这个隧道中传输,如同HTTPS保护网页流量一样。
  • 技术细节
    • 端口:使用专用的TCP端口853。这使其流量易于被网络管理员识别和管理(例如,允许或阻止)。
    • 建立过程
      1. TCP连接:客户端向支持DoT的解析器(如1.1.1.18.8.8.8)的853端口发起TCP连接。
      2. TLS握手:双方进行TLS握手,交换证书,验证服务器身份,并协商出加密密钥。
      3. 加密通信:后续所有的DNS查询和响应都通过这个已建立的TLS连接进行,内容被加密。
    • 部署层级:通常部署在网络栈的较低层级,例如在操作系统或家庭路由器的网络设置中配置。一旦配置,设备上所有应用程序的DNS查询都会自动通过DoT发送。

3. DNS over HTTPS (DoH)

  • 核心思想:将DNS查询作为HTTP/2请求发送,而HTTP/2本身运行在TLS之上。DoH将DNS流量“伪装”成普通的HTTPS流量。
  • 技术细节
    • 端口:使用标准的HTTPS端口443。这使得DoH流量与正常的网页浏览流量无法区分。
    • 协议格式:DNS查询和响应消息被封装在HTTP请求和响应体中。通常使用application/dns-message这个MIME类型。
    • 建立过程
      1. 建立HTTPS连接:客户端与DoH服务器(如https://cloudflare-dns.com/dns-query)建立标准的HTTPS连接。
      2. 发送HTTP请求:客户端构造一个HTTP POST或GET请求,将序列化后的DNS查询数据放在请求体中。
      3. 接收HTTP响应:DoH服务器处理DNS查询后,将DNS响应数据放在HTTP响应体中返回。
    • 部署层级:通常由应用程序(如Firefox浏览器、Chrome浏览器)实现和控制。用户可以在浏览器设置中开启DoH。这意味着即使操作系统使用传统DNS,浏览器的DNS查询也会走DoH通道。

4. DoH 与 DoT 的关键区别与对比

特性 DNS over TLS (DoT) DNS over HTTPS (DoH)
加密方式 TLS HTTPS (HTTP/2 over TLS)
端口 专用端口 853 通用端口 443
流量识别 易于识别和过滤(基于端口) 难以与普通网页流量区分
部署层级 系统级/网络级(如操作系统、路由器) 应用级(如浏览器)
管理控制 网络管理员易于进行策略管理 绕过本地网络策略,控制权交给应用和用户
主要推动者 IETF (RFC 7858, 8310) Mozilla, Google等浏览器厂商

5. 争议与考量

  • 安全与管理的平衡:DoH在提供强大隐私保护的同时,也带来了新的挑战。
    • 企业网络:企业通常使用内部DNS服务器进行安全策略(如阻止访问恶意网站)、日志记录和网络管理。如果员工浏览器启用DoH并指向公共解析器(如Cloudflare或Google),将绕过企业的所有安全控制。
    • 家长控制与内容过滤:类似地,家庭网络中的家长控制功能可能因DoH而失效。
  • 中心化风险:DoH可能导致DNS查询集中到少数几个大型公共DNS提供商(如Cloudflare, Google),这引发了关于数据垄断和单点故障的担忧。

三、总结
DoT和DoH都是提升互联网隐私和安全性的重要技术。DoT更像是对传统DNS的“安全升级”,它保持了DNS作为独立协议的身份,便于网络管理。DoH则更为激进,它通过将其融入最普遍的HTTP协议,提供了更强的隐匿性,但同时也改变了网络流量的控制权分配。

在选择时:

  • 个人用户若追求最大程度的隐私保护,防止本地网络窥探,可优先考虑在浏览器中启用DoH。
  • 企业或组织可能更倾向于部署DoT,以便在享受加密好处的同时,不失去对网络流量的可见性和控制力。
DNS over HTTPS (DoH) 与 DNS over TLS (DoT) 详解 一、知识点描述 DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 是两种旨在增强DNS查询隐私性和安全性的协议。它们通过加密DNS流量,防止窃听和篡改,解决了传统DNS协议(使用UDP/TCP 53端口,明文传输)的安全缺陷。理解它们的原理、区别、部署方式及潜在争议是网络安全领域的重要部分。 二、知识讲解 1. 传统DNS的安全风险 工作原理 :当你在浏览器输入 www.example.com 时,你的计算机会向预设的DNS递归解析器(通常是ISP提供的)发送一个明文的DNS查询请求。该解析器会代表你向各级DNS服务器查询,最终将域名对应的IP地址返回给你的计算机。 安全风险 : 窃听(Eavesdropping) :网络上的攻击者(如在同一个公共Wi-Fi下)可以轻易截获你的DNS查询,知道你访问了哪些网站,侵犯隐私。 篡改(Tampering) :攻击者或恶意的网络设备可以伪造DNS响应,将你引导至钓鱼网站或恶意软件站点。这就是DNS劫持或缓存投毒。 操纵(Manipulation) :某些组织(如政府、ISP)可能基于DNS查询进行内容过滤或审查。 2. DNS over TLS (DoT) 核心思想 :在DNS客户端(如你的操作系统或路由器)和DNS解析器之间建立一个加密的TLS隧道。DNS查询和响应在这个隧道中传输,如同HTTPS保护网页流量一样。 技术细节 : 端口 :使用专用的TCP端口 853 。这使其流量易于被网络管理员识别和管理(例如,允许或阻止)。 建立过程 : TCP连接 :客户端向支持DoT的解析器(如 1.1.1.1 或 8.8.8.8 )的853端口发起TCP连接。 TLS握手 :双方进行TLS握手,交换证书,验证服务器身份,并协商出加密密钥。 加密通信 :后续所有的DNS查询和响应都通过这个已建立的TLS连接进行,内容被加密。 部署层级 :通常部署在网络栈的较低层级,例如在操作系统或家庭路由器的网络设置中配置。一旦配置,设备上所有应用程序的DNS查询都会自动通过DoT发送。 3. DNS over HTTPS (DoH) 核心思想 :将DNS查询作为HTTP/2请求发送,而HTTP/2本身运行在TLS之上。DoH将DNS流量“伪装”成普通的HTTPS流量。 技术细节 : 端口 :使用标准的HTTPS端口 443 。这使得DoH流量与正常的网页浏览流量无法区分。 协议格式 :DNS查询和响应消息被封装在HTTP请求和响应体中。通常使用 application/dns-message 这个MIME类型。 建立过程 : 建立HTTPS连接 :客户端与DoH服务器(如 https://cloudflare-dns.com/dns-query )建立标准的HTTPS连接。 发送HTTP请求 :客户端构造一个HTTP POST或GET请求,将序列化后的DNS查询数据放在请求体中。 接收HTTP响应 :DoH服务器处理DNS查询后,将DNS响应数据放在HTTP响应体中返回。 部署层级 :通常由应用程序(如Firefox浏览器、Chrome浏览器)实现和控制。用户可以在浏览器设置中开启DoH。这意味着即使操作系统使用传统DNS,浏览器的DNS查询也会走DoH通道。 4. DoH 与 DoT 的关键区别与对比 | 特性 | DNS over TLS (DoT) | DNS over HTTPS (DoH) | | :--- | :--- | :--- | | 加密方式 | TLS | HTTPS (HTTP/2 over TLS) | | 端口 | 专用端口 853 | 通用端口 443 | | 流量识别 | 易于识别和过滤(基于端口) | 难以与普通网页流量区分 | | 部署层级 | 系统级/网络级(如操作系统、路由器) | 应用级(如浏览器) | | 管理控制 | 网络管理员易于进行策略管理 | 绕过本地网络策略,控制权交给应用和用户 | | 主要推动者 | IETF (RFC 7858, 8310) | Mozilla, Google等浏览器厂商 | 5. 争议与考量 安全与管理的平衡 :DoH在提供强大隐私保护的同时,也带来了新的挑战。 企业网络 :企业通常使用内部DNS服务器进行安全策略(如阻止访问恶意网站)、日志记录和网络管理。如果员工浏览器启用DoH并指向公共解析器(如Cloudflare或Google),将绕过企业的所有安全控制。 家长控制与内容过滤 :类似地,家庭网络中的家长控制功能可能因DoH而失效。 中心化风险 :DoH可能导致DNS查询集中到少数几个大型公共DNS提供商(如Cloudflare, Google),这引发了关于数据垄断和单点故障的担忧。 三、总结 DoT和DoH都是提升互联网隐私和安全性的重要技术。 DoT 更像是对传统DNS的“安全升级”,它保持了DNS作为独立协议的身份,便于网络管理。 DoH 则更为激进,它通过将其融入最普遍的HTTP协议,提供了更强的隐匿性,但同时也改变了网络流量的控制权分配。 在选择时: 个人用户 若追求最大程度的隐私保护,防止本地网络窥探,可优先考虑在浏览器中启用DoH。 企业或组织 可能更倾向于部署DoT,以便在享受加密好处的同时,不失去对网络流量的可见性和控制力。