如何使用加密DNS来防止DNS劫持

最新推荐文章于 2024-04-25 23:05:44 发布
最新推荐文章于 2024-04-25 23:05:44 发布
阅读量1.8k 收藏 27
点赞数 29
文章标签: 服务器 网络 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VworldZaiertOS/article/details/135942511
版权
本文介绍了DNS在互联网中的作用以及网络安全问题。重点探讨了DNS-over-TLS、DNS-over-HTTPS(DoH)和新兴的DNS-over-QUIC(DoQ)三种加密方式,解释了它们的工作原理、优缺点和应用场景,还提到了国内景天易安的神绫DNS服务作为实例。
摘要由CSDN通过智能技术生成

DNS 被广泛认为是互联网的电话簿,它将域名转换为计算机可读的信息,例如 IP 地址。每当您在地址栏中输入一个域名时,DNS 会自动将其转换为相应的 IP 地址。浏览器使用这些信息从源服务器检索数据并加载网站。

然而,网络不法分子经常窥探 DNS 流量,因此加密对于保护网络浏览的私密和安全至关重要。

目前主流的加密方式有以下几种:

1. DNS-over-TLS

DoT使用传输层安全(TLS)加密 DNS 查询,确保您的 DNS 查询端到端加密,从而防止中间人攻击

  1. DNS 查询会发送到 DNS-over-TLS 解析器,而非未加密的解析器。解析器会代表您解密 DNS 查询,并将其发送到权威 DNS 服务器。
  2. DoT 默认使用 TCP 853 端口。连接时,客户端和解析器会进行数字握手。客户端通过加密的 TLS 通道将 DNS 查询发送到解析器。
  3. DNS 解析器处理查询,找到相应的 IP 地址,并通过加密通道将响应发送回客户端。
  4. 客户端接收加密响应,解密后使用 IP 地址连接到所需的网站或服务。

2. DNS-over-HTTPS

HTTPS 是现在用于访问网站的安全版 HTTP。与 DNS-over-TLS 相同,DNS-over-HTTPS也会在信息发送到网络之前进行加密。

虽然工作原理类似,但是 DoH 和 DoT 之间存在一些基本差异:

  1. DoH 通过 HTTPS 发送所有加密查询,而不是直接创建 TLS 连接来加密流量。
  2. DoH 使用 443 端口进行通信,难以与普通 Web 流量进行区分。DoT 使用 853 端口,这就更容易识别和阻断。
  3. 由于利用了现有的 HTTPS 基础设施,DoH 已经被广泛采用于主流 Web 浏览器,如 Mozilla Firefox 和 Google Chrome。而 DoT 更常用于操作系统和专用 DNS 解析器中(如 OpenWRT 插件),而不是直接集成到 Web 浏览器中。

DoH 被广泛应用主要原因是它更容易集成到现有的 Web 浏览器中,而且更重要的是,它与常规 Web 流量无缝融合,这让它更难被阻断。

3. DNS-over-QUIC

与上述 DNS 加密协议相比,DNS-over-QUIC(DoQ)比较新。它是一种新兴的安全协议,可通过传输协议发送 DNS 查询和响应。

如今,大多数互联网流量依赖于传输控制协议(TCP)或用户数据报协议(UDP),DNS 查询通常使用 UDP 发送。QUIC 协议被引入以克服 TCP/UDP 的一些缺点,并有助于减少延迟和提高安全性。

QUIC 由 Google 开发,旨在提供比传统协议(如 TCP 和 TLS)更好的性能,安全性和可靠性。 QUIC 结合了 TCP 和 UDP 的特点,同时还集成了类似于 TLS 的内置加密。

DoQ 协议比较新,它比上述协议多了几个优势:

  1. DoQ 的性能高,减少了总延迟并改善了连接时间,从而实现更快的 DNS 解析。这最终意味着网站向您提供服务的速度会更快。
  2. 与 TCP 和 UDP 相比,DoQ 更具抗数据包丢失能力,它可以恢复丢失的数据包,而无需完全重传。这一点与基于 TCP 的协议不同。
  3. 使用 QUIC 进行连接迁移也更容易。QUIC 在单个连接中封装了多个流,减少了连接所需的往返次数,从而提高了性能。在切换 Wi-Fi 和蜂窝网络时,也非常有用。

尽管与其他协议相比,尚未实现 QUIC 的广泛应用,但 Apple、Google 和 Meta 等公司已经开始使用 QUIC,并创建自己的版本(例如,Microsoft 为 SMB 流量使用的 MsQUIC),这为未来的发展奠定了基础。

配置和使用

目前国内提供的加密DNS相对较少,只有阿里云提供了用户端的加密DNS,其主要针对于企业和GOV用户开发,收费相对较高,目前国内免费并且相对好用的就是景天易安的“神绫DNS”,解析速度和安全性都是相对较高的(BUT域名感觉好随意)。在使用过程中甚至还能阻止一些广告。值得尝试一下:

下面是复制官网的配置文档中的一部分,官方的内容还是比较全的,这些可以参考一下配置过程

官方地址:景天易安“神绫”域名服务系统配置教程

Android/HarmonyOS

  • Android 9 /HarmonyOS原生支持 DNS-over-TLS。 要进行配置,请转到 设置 → 网络和互联网 → 高级 → 私有 DNS,然后在那里输入dns.yuguan.xyz以完成配置并连接到服务器。

Windows

  1. 通过开始菜单或 Windows 搜索功能打开控制面板。
  2. 点击进入「网络和 Internet」后,再次点击进入「网络和共享中心」
  3. 在窗口的左侧点击「更改适配器设置」。
  4. 选择您正在连接的网络设备,右击它并选择「属性”」。
  5. 在列表中找到「Internet 协议版本 4 (TCP/IPv4)」,选择并再次点击「属性」。
  6. 选择「使用下面的 DNS 服务器地址」,并输入39.101.132.122以连接到服务器。

MacOS

  1. 点击苹果图标,进入「系统首选项」。
  2. 点击「网络」。
  3. 选择在列表中的第一个连接,并点击「高级」。
  4. 选择「DNS」选项卡,并输入39.101.132.122以连接到服务器。

Linux

  1. 使用vim或者nano打开/etc/resolv.conf文件
  2. nameserver xxx.xxx.xxx.xxx中的IP地址修改为39.101.132.122
  3. 保存文件即可

iOS/MacOS(DoH)

  1. 复制下载链接:https://www.yuguan.xyz/Downloads/jingtiandoh.mobileconfig
  2. 通过Safari浏览器访问链接,并下载文件。
  3. iOS进入“设置”,点击“已下载描述文件”;MacOS双击下载配置文件。
  4. 安装文件

地址

下面是景天易安DNS的服务地址,根据实际需要复制使用即可

  • 主服务器:39.101.132.122
  • DoQ服务器:quic://dns.yuguan.xyz:853
  • DoT服务器:tls://dns.yuguan.xyz:853
  • DoH服务器:https://dns.yuguan.xyz/dns-query

----End----

VworldZaiertOS
关注
  • 29
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNS加密 防止DNS劫持 保护网络安全
billyli的博客
02-12 1万+
上网的时,有时会突然弹出一个广告窗口,而且还无法返回刚才的界面,出现这样的情况,就说明你可能遭到了DNS劫持 目录 DNS 域名解析服务器——DNS DNS劫持 DNS加密 什么是dns加密 DNS加密的类型 使用DNS加密 设备使用DNS加密 DNS 域名解析服务器——DNS 在互联网中,每一台能上网的设备都有自己的一串IP地址。 举个例子,你能访问百...
推荐:dnscrypt-proxy 2 - 现代加密DNS的守护者
最新发布
gitblog_00010的博客
05-11 667
推荐:dnscrypt-proxy 2 - 现代加密DNS的守护者 项目地址:https://gitcode.com/DNSCrypt/dnscrypt-proxy 当你在互联网上冲浪时,有没有考虑过你的DNS查询可能带来的隐私风险?DNSCrypt-proxy 2是一个强大的DNS代理工具,它提供了一道安全防线,保护你的网络活动免受窥探,同时也增强了你的网络速度和稳定性。 项目介绍 dnscr...
网络协议深度解析:SSL、 TLS、HTTP和 DNS(C/C++代码实现)
chen1415886044的博客
04-25 1420
SSL(安全套接层)和TLS(传输层安全)是用于在互联网通信中提供安全和数据完整性的协议。它们位于传输层之上,确保数据在传输过程中被加密,以防止未经授权的访问和篡改。 HTTP(超文本传输协议)是一种应用层协议,用于在互联网上传输网页和其他资源。它定义了客户端和服务器之间的通信规则,确保网页内容能够正确地传输和显示。 DNS(域名系统)是一种将人类可读的域名转换为机器可读的IP地址的系统。它位于应用层和传输层之间,当用户在浏览器中输入一个域名时,DNS会将其解析为对应的IP地址,以便计算机能够找到并连接
DNS加密(DNSCrypt)0.0.6绿色英文版
07-25
DNS加密(DNS Crypt)为您的dns添加多重防护,确保网络体验的安全!DNSCrypt是OpenDNS发布的加密DNS工具,可加密DNS流量,阻止常见的DNS攻击,如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt支持Mac OS和Windows,是防止DNS污染的绝佳工具。 DNSCrypt使用类似于SSL的加密连接向DNS服务器拉取解析,所以能够有效对抗DNS
站长号文库:怎样避免DNS劫持攻击?
09-25 180
本地DNS劫持攻击 – 在本地DNS劫持中,攻击者在用户系统上植入恶意软件并修改本地DNS设置,因此用户的系统现在使用由攻击者控制的DNS服务器。中间人(MiTM)DNS攻击 – 在这种类型的DNS劫持中,攻击者执行中间人(MiTM)攻击以站长号www.zhanzhanghao.cn拦截用户和DNS服务器之间的通信并提供不同的目标IP地址,从而将用户重定向到恶意站点。DNS劫持攻击亦称为DNS重定向是一种网络攻击,攻击者劫持用户的DNS请求,错误地解析网站的IP地址,用户试图加载,从而将其重定向到网络钓鱼站
DNS加密及DDNS
Wielun
02-28 864
接着上篇博客DNS解析做的实验,博客:http://blog.csdn.net/dream_ya/article/details/79326054 辅助DNS 在客户端IP:172.25.254.225(重置) yum install bind.x86_64 -y vim /etc/named.conf 11 listen-on port 53 { any; }; ...
什么是DNS劫持?如何让你的网站免遭DNS劫持
weixin_53018687的博客
01-14 1463
随着网络技术的快速发展,大规模域名系统劫持事件也在快速增长,在过去的2021年全球DNS劫持事件数量空前,这不得不引起我们对这一威胁的高度重视。那么广大政企网站应该如何做才能免遭DNS劫持呢? 一、什么是DNS劫持? 我们知道DNS的主要作用就是将域名翻译成IP地址让计算机识别,从而实现我们输入域名就能直接访问对应服务器的效果。所以在整个网络访问过程中,DNS的作用是十分重要的。 但如果攻击者篡改DNS解析设置,将域名由正常IP指向由攻击者控制的非法IP,就会导致我们访问域名打开的却不是对应的网站,而是一个
DNS,DNS污染劫持,DNS加密
noobiee的博客
02-23 1357
DNS(Domain Name System), 也叫网域名称系统,是互联网的一项服务。它实质上是一个域名 和 IP 相互映射的分布式数据库.DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器DNS 有以下特点:分布式的协议支持 TCP 和 UDP,常用端口是 53每一级域名的长度限制是 63域名总长度限制是 253。
DNS域名劫持服务器
06-07
然而,DNS劫持则是一种恶意行为,攻击者通过操纵DNS服务器,将用户的请求重定向到非预期的服务器,可能导致用户访问到假冒网站,个人信息泄露,甚至遭受恶意软件攻击。 在MFC实现的DNS服务器中,这个过程涉及到以下...
DNS域名劫持服务器DnsServer-2019.zip
07-27
- 避免访问未经认证的公共Wi-Fi网络,因为这些网络更容易遭受DNS劫持。 - 用户应定期检查自己的网络设备设置,确保未被恶意篡改DNS配置。 综上所述,DNS域名劫持网络安全的一大威胁,了解其工作原理和防范措施...
ios app的dns to ip的使用
12-02
- **安全性**:DNS劫持和中间人攻击是网络安全的威胁。使用HTTPS等加密协议可以确保数据的安全传输,同时也可以考虑使用DNS-over-HTTPS(DoH)来增强DNS查询的安全性。 - **错误处理**:处理DNS查询失败是必要的,...
DNS 加密原理
03-26
DNS 加密原理 DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。
DNS加密DNSCrypt
06-15
OpenDNS DNSCrypt,终于有工具可以对付可恨的 DNS污染 DNS劫持 了。这个是Windows版
network:包括两个实验:使用Panabit进行DNS劫持使用iodine建立DNS隧道穿越网关
04-28
主要包含DNS劫持实验以及DNS隧道穿越网关进行免认证上网实验 DNS劫持DNS劫持又称域名劫持,是指在劫持网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都...
win11如何加密dns Windows11加密dns的设置方法
qq_29508575的博客
01-25 9125
Win11如何加密dns?此前微软为win11提供了dns加密服务,但是还是有很多用户不知道如何在win11加密dns,其实我们只需要打开网络设置下的dns设置即可。下面和小编一起来看看详细的教程吧!更多Windows11系统教程,可以参考小白装机网。 win11加密dns详细教程步骤如下 1、首先进入磁盘,找到想要加密的文件夹。 2、接着打开右侧的“以太网”。 3、然后再下方找到DNS服务器分配,点击“编辑”。 4、将其中的“自动(DHCP)”改为“手动”后,开启下方“IPv4”。
dns加密及动态域名解析
weixin_45368526的博客
08-09 881
dns加密及动态域名解析 dns加密 清理环境: cd /var/named ls rm -rf emp.com.zone.jnl cp -p /mnt/emp.com.zone . systemctl restart named 主: cd /mnt dnssec-keygen -a HMAC-MD5 -b 128 -n HOST emp cp -p /etc/rndc.ke...
使用DNSCrypt来加密您与OpenDNS之间的通信
weixin_33755557的博客
06-02 253
正如SSL能将HTTP通信变为加密过的HTTPS通信,DNSCrypt, 物如其名, 是一款能加密您电脑与OpenDNS之间的通信的小神器。 DNSCrypt刚问世的时候,官方公布它只是一款Mac才能用的工具,但根据最近一篇由OpenDNS发的文章表明,虽然还没有用户界面,但其实当Mac版DNSCrypt推出的时候源码已经放到了Github上了, Lin...
加密技术应用以及DNS应用
u013435382的博客
01-15 1749
一.简述常见加密算法及常见加密算法原理   1.基本概念        加密:将数据转换成不能直接读取的形式(即密文)的过程叫加密。数据加密的基本过程就是对原来为明文的文件或数据按某种加密算法配合密钥进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。        解密:加密的逆过程,...
网络安全学习笔记2-DNS加密方案
qq_44023011的博客
12-19 496
DNS加密方案
ios如何防止域名劫持
06-08
iOS 应用可以通过以下方式防止域名劫持: 1. 使用 HTTPS 协议: HTTPS 协议具有加密传输和验证服务器身份的功能,可以有效地防止中间人攻击和域名劫持。因此,在 iOS 应用中,尽可能地使用 HTTPS 协议访问服务器,可以提高应用的安全性。 2. 使用 DNSSEC 协议: DNSSEC 协议可以对 DNS 数据进行数字签名,防止 DNS 劫持和欺骗。在 iOS 应用中,可以使用支持 DNSSEC 协议的 DNS 服务器,以提高应用的安全性。 3. 校验 SSL 证书: SSL 证书用于验证服务器的身份,防止中间人攻击和域名劫持。在 iOS 应用中,可以通过校验 SSL 证书来确保连接的安全性。建议使用 SSL Pinning 技术,即将服务器的 SSL 证书固定在应用中,防止证书被替换。 4. 使用自定义的 DNS 解析库: iOS 应用可以使用自定义的 DNS 解析库,例如 dnsjava,以避免使用劫持DNS 服务器。自定义的 DNS 解析库可以实现域名的本地解析,避免受到 DNS 劫持的影响。 总之,为了防止域名劫持,iOS 应用需要采取多种措施,包括使用 HTTPS 协议、DNSSEC 协议、校验 SSL 证书以及使用自定义的 DNS 解析库等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值