DNS over HTTPs(DOH)配置实现

于 2023-12-26 15:57:08 发布
阅读量980 收藏 3
点赞数 3
分类专栏: DNS F5 linux 文章标签: https 网络协议 http 负载均衡 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44184011/article/details/135203153
版权
F5 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
DNS
4 篇文章 0 订阅
订阅专栏
linux
3 篇文章 0 订阅
订阅专栏

在互联网场景下使用DNS会受到中间DNS服务器的影响,最常见的就是缓存问题,运营商的DNS服务器往往会强制改写域名的TTL并将该结果进行缓存。遇到需要通过域名进行业务切换的场景时(比如,想要将一个业务通过域名从一个数据中心切换到另一个数据中心),需要等待DNS缓存时间过期,这个机制延长了切换的时间。
很多DNS的策略是基于源地址进行配置的,但是在实际通过DNS请求域名解析的过程中,运营商DNS会作为代理DNS,以其自身的源IP去向权威DNS请求结果。导致一些基于域名做的负载均衡策略无法精细到客户端层面,只能到运营商DNS层面。
对于这些问题,可以通过https DNS去解决。

实验概述:
访问流程如下,客户端发出的DNS请求被https报文封装,可以绕过local dns直接到达权威DNS服务器,其过程不受local DNS缓存的影响,可以更好的进行DNS策略的应用。
这里由于环境中没有权威DNS,所以使用公网DNS代替权威DNS。
在这里插入图片描述

1、Firefox浏览器配置

调整如下几个参数:
network.trr.mode 3
network.trr.useGET true
在这里插入图片描述
在这里插入图片描述

2、FireFox浏览器配置https DNS

进入Firefox的设置界面,搜索dns,然后安全DNS启用策略选择—增强保护。选择提供方填写自定义的DNS服务器地址,也可以选用公网的DNS提供方,比如cloud flare。我这里选用了我自己搭建的DNS服务器。
在这里插入图片描述

3、使用FireFox浏览器进行DNS解析测试

在浏览器中输入,about:networking,进入到网络调试界面

在这里插入图片描述
在这里插入图片描述
简单演示了一下,使用https dns进行查询的过程。
抓包可以看到,报文是通过加密的方式发出的。

在这里插入图片描述
这里使用了F5的负载设备作为代理,将https的DNS请求解密,发送到公网DNS获得解析结果。
在这里插入图片描述
4、总结
HTTPs DNS可用于自建DNS的场景,中间使用一个代理接收https dns的请求,并将请求解密为正常DNS请求发送到自建DNS上,获得结果。

附F5配置:
F5提供iRule LX组件,通过iRule和js脚本去对加密的DNS请求进行处理
在这里插入图片描述

ltm virtual 10.1.10.241 {
    creation-time 2023-12-21:19:54:47
    destination 10.1.10.241:https
    ip-protocol tcp
    last-modified-time 2023-12-21:21:01:40
    mask 255.255.255.255
    pool pool_dns
    profiles {
        clientssl-insecure-compatible {
            context clientside
        }
        http { }
        tcp { }
    }
    rules {
        DoH_to_DNS_Proxy/DoH_to_DNS_Proxy
    }
    serverssl-use-sni disabled
    source 0.0.0.0/0
    source-address-translation {
        type automap
    }
    translate-address enabled
    translate-port enabled
    vs-index 195
}

ltm pool pool_dns {
    members {
        223.5.5.5:domain {
            address 223.5.5.5
            session user-disabled
            state user-down
        }
        _auto_223.6.6.6:domain {
            address 223.6.6.6
            ephemeral true
            session monitor-enabled
            state up
            fqdn {
                autopopulate enabled
                name dns.alidns.com
            }
        }
        _auto_2400.3200..1:domain {
            address 2400:3200::1
            ephemeral true
            session monitor-enabled
            state down
            fqdn {
                autopopulate enabled
                name dns.alidns.com
            }
        }
        _auto_2400.3200.baba..1:domain {
            address 2400:3200:baba::1
            ephemeral true
            session monitor-enabled
            state down
            fqdn {
                autopopulate enabled
                name dns.alidns.com
            }
        }
        dns.alidns.com:domain {
            fqdn {
                autopopulate enabled
                name dns.alidns.com
            }
            state fqdn-up
        }
    }
    monitor gateway_icmp
}
三五青年
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
doh:由golang编写的DNS over HTTPS utils
04-26
表中的内容 去做 抽象的 由golang编写的HTTP over HTTPS utils上的DNS 。 编译安装 make 可执行文件位于bin/ 。 将其复制到您喜欢的任何位置。 享受。 命令行选项和参数 请参阅doh --help 。 设定档 默认情况下,doh会尝试从doh.json;~/.doh.json;/etc/doh.json读取配置。 日志文件:可选。 指示应该写入哪个文件日志。 空表示标准输出。 默认为空。 loglevel:可选。 日志级别。 默认情况下为警告。 服务:服务配置 驱动程序:要使用的驱动程序。 url:驱动程序的URL。 ...其余的配置取决于驱动程序。 客户端:客户端配置 驱动程序:要使用的驱动程序。 url:驱动程序的URL。 ...其余的配置取决于驱动程序。 别名 默认情况下,doh会尝试从doh-aliases.json;
DNS Over HTTPS for Cobalt Strike(将 DoH 与 Cobalt Strike 结合使用, 无需第
08-03
2021/11/21 下午3:28DNS Over HTTPS for Cobalt Strike - Black Hills Information Secu
配置 DNS over HTTPS阻止DNS污染
tomyyyyy
10-19 2048
配置 DNS over HTTPS阻止DNS污染 概念介绍 DOH简介 ​ DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成。从安全角度来看,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很容易拦截用户的DNS,将用户的请求跳转到另一个地址,常见的攻击方法有DNS劫持和DNS污染。因此,使用不加密的DNS服务是不安全的。 ​ 而DoH(DNS ove...
启用Win11原生支持的DoH(DNS over HTTPS)和配置自定义的DoH服务
热门推荐
随便记记笔记
01-05 2万+
启用Win11原生支持的DoH,查看Win11支持的DoH服务,配置自定义的DoH服务模板
DNS-over-HTTPS:RFC 8484的实现-HTTPS上的DNS查询(DoH
05-09
HTTPS上的DNS RFC 8484的实现-HTTPS上的DNS查询(DoH)。 使用ASP.NET 5托管您自己的DoH Web服务,该服务可以将任何DNS服务器转换为可通过DoH标准协议访问的服务器。 系统要求 需要安装 。 安装以在Microsoft IIS Web服务器上运行。 支持Windows,Linux和macOS。 下载 跨平台: 安装说明 Windows : 下载doh-aspnetcore.zip zip文件。 在记事本中编辑appsettings.json文件,以设置您选择的DNS服务器。 通过创建新网站并将doh-aspnetcore.zip zip文件doh-aspnetcore.zip压缩到网站的wwwroot文件夹中,在Windows IIS Web服务器上安装DoH应用程序。 在IIS上为网站配置SSL证书,以便该服务可以通过HTTPS进行工
DNS-over-HTTPS(DoH)详解与C/C++代码实现
chen1415886044的博客
07-02 2764
HTTPS上的DNSDoH)是一种相对较新的协议,通过超文本传输协议安全加密会话传递DNS查询来加密域名系统流量。DoH试图通过隐藏DNS查询来改善在线隐私。 DoH的工作原理与DNS类似,但HTTPS会话保留请求并最大限度地减少查询期间交换的信息。网络浏览器,如Mozilla的Firefox、微软的Edge和谷歌的Chrome,都具有使用加密DoH的功能,目的是提高用户的数据隐私和安全性。
DNS Over HTTPS 的优缺点
最新发布
vvoennvv的博客
10-23 780
然而月复一月,我的屏幕告诉我,“你的手机是最新的”。我不知道 Mozilla 做出这一决定的理由,但我认为,由于它需要大量带宽,而且 Mozilla 可能希望在未来版本的 Firefox 中默认启用 TRR,因此他们希望构建既可靠又可靠的基础设施并免受 DDoS 攻击。这表明,将 DNS 从明文 UDP/TCP 移植到加密的 HTTPS 需要进行一些调整,至少如果您想充分利用 HTTP 的潜力(这是明智的,因为与简单的、未加密的 DNS 有线协议相比,HTTPS 会带来相当多的开销) )。
DNS-over-HTTPS(DoH)简析与配置
banliaowu5325的博客
04-26 9725
本文同步发布于 Heliumの博客,到我的博客阅读体验更佳QwQ DNS是什么 DNS(Domain Name System)是一项网络服务,用途是对全球各个网站的域名进行解析。如果听不懂上面这句话也没关系,接下来会讲解。如果你是网络方面的大牛可以直接跳过或关闭此网页。 简明易懂的DNS 举个例子,从前有个叫小明的人(目测此人已累死),开了一家商店。一开始顾客要去购物时,就直接去商店里买...
什么是DNS over HTTPS
关月的博客
08-24 7951
我们都知道域名解析系统(DNS)是因特网的核心之一,我们访问一个网站时必须通过DNS服务器才能将域名转换成IP地址。但是老旧的DNS技术一直没有重大的改进,它的数据传输没有经过加密,这导致DNS查询的数据很容易被收集、阻止和更改,我们熟悉的域名劫持就是利用了其未加密的特征。 那这个问题有没有办法解决呢?当然有,2016年, 谷歌公司启用了DNS Over HTTPS 域名安全查询服务,它提供了DNS请求的端到端验证,可以对DNS请求和响应进行加密,也就是说它可以防止用户的数据遭到泄露,那么域名劫持的问题也在
一文了解 DoHDNS-over-HTTPS)和DoT(DNS-over-TLS)
闵行小鱼塘
07-05 7634
为了防止针对DNS系统的攻击,强化域名系统的安全性,互联网诞生了4种提升DNS安全性的协议,分别是DNSSEC,DNSCrypt,DNS over TLS(DoT),DNS over HTTPSDoH)。其中DNSSEC和DNSCrypt较早出现,DoT和DoH很新,本文试图学习了解此二种DNS安全协议
doh-proxy:概念验证DNS-Over-HTTPS代理实现https
05-02
DNS over HTTPS代理 一组python 3脚本,支持指定的通过HTTPS代理DNSDOH提供了一种通过HTTPS运行加密DNS的方法,该协议可以在其他加密机制被阻止时自由穿越防火墙。 该项目带有一组4个工具: :一种通过HTTP2接收DOH查询并将其转发到递归解析器的服务。 :与doh-proxy相似,但是使用HTTP而不是HTTP2。 主要目的是在反向代理后面运行它。 :侦听DNS查询并将其转发到DOH服务器的服务。 :一种针对DOH服务器执行测试DNS查询的工具。 请参阅CONTRIBUTING文件以获取帮助。 DOH代理是在期间创建的,作为概念证明,并未在Facebook上使用。 欢迎您使用它,但请注意,支持有限且已尽力而为。 正在安装 要直接从PyPi安装已经打包的版本: $ pip3 install doh-proxy 用法 代理 d
over DNS over HTTPs命令行客户端-Golang开发
05-26
doh command通过HTTPs的命令行客户端进行DNS使用doh命令行实用程序,可以使用cloudflare,google和quad9并发查找一个或多个给定域的所有三个源。 您甚至可以通过HTTPs命令行客户端指定doh:doughnut:DNS。使用cloudflare,google和quad9,doh命令行实用程序可以同时查找一个或多个给定域的所有三个源。 您甚至可以指定自己的自定义来源来使用。 注意:由于doh将所有内容都输出为JSON,因此它可以与jq之类的工具很好地配对,以根据您的目的解析输出的相关部分。 安装要开始使用,您需要先安装并正确配置。 $去获取github.com/picatz/doh
nextdns:NextDNS CLI 客户端(DoH 代理)
07-23
NextDNS CLI 客户端 NextDNS CLI 是一个 DNS53 到 DNS-over-HTTPS (DoH) 代理,具有高级功能,可以充分利用服务。 尽管最高级的功能只能与 NextDNS 一起使用,但该程序可以作为任何 DoH 提供商的客户端或 NextDNS + 另一个 DNS(水平分割)的组合。 CLI 主要针对路由器和基于 UNIX 的系统,但对于喜欢完全开源客户端并且不介意缺少 GUI 的人来说,它也是 Windows 和 macOS 的绝佳客户端。 有关安装和使用说明,请参阅 。
doh::doughnut:DNS over HTTPs命令行客户端
02-04
h :doughnut: DNS over HTTPs命令行客户端 使用 , 和 , doh命令行实用程序可以同时查找一个或多个给定域的所有三个源。 您甚至可以指定自己的自定义来源来使用。 注意:由于doh所有内容都输出为JSON,因此它可以与工具很好地配对,以根据您的目的解析输出的相关部分。 安装 要开始,你需要安装并正确配置。 $ go get github.com/picatz/doh 更新资料 随着新更新的发布,您可以使用带有-u标志的go get来更新doh 。 $ go get -u github.com/picatz/doh 帮助菜单 --help命令行标志可以显示顶级帮助菜单。 $ d
dns-over-https-node:RFC-8484适用于节点的HTTP-over-HTTPS DNS API
05-17
适用于Node.js的DNS-over-HTTPS API 是符合RFC-8484的 API上的Node.js 。 安装 $ npm install --save @sagi.io/dns-over-https 原料药 我们导入如下: const doh = require ( '@sagi.io/dns-over-https' ) doh.query(...) doh . query = ( { name , method = 'POST' , hostname = 'cloudflare-dns.com' , path = '/dns-query' , port = 443 , userAgent = '@sagi.io/dns-over-https' , type = 'A' , klass = 'IN' , useHttps = t
分享几个支持DoH/DoT的公共DNS附设置方法,只会干净解析IP
深夜听表
07-05 7253
之前写过一篇《关于2021/12/17国内bing不能正常访问的解决方法》的文章,有推荐过两个支持DNS over HTTPS(DoH)的DNS来解决问题。但是最近我发现一些冷门网站和github打不开了,开始以为只是连接不稳定后面排查发现是这DNS自己连不上导致的。
dns over httpsdoh)解决DNS劫持方案
天码行空的码的博客
03-13 9125
这些年DNS劫持一直是比较头疼的问题(ISP 滥用用于注入广告,同时也导致了隐私泄漏等)虽然https可以解决网页加密的问题,但在DNS解析环节还是通过UDP 53端口明文传输,移动端(APP)可以使用httpdns,但对于web端来说依然的使用传统DNS,为了解决这个问题各大浏览器及DNS厂商也开始支持DOHDNS-OVER-HTTPS)对DNS解析进行加密解决localdns 劫持问...
windows11 22H2 使用Dns Over Https(Doh)
演员的博客
11-28 2339
Dns Over Https(Doh)
Win11 私密 DNS-over-HTTPSDoH) 启用教程
点滴记忆
02-16 694
DoT 全称是 DNS over TLS,使用 TLS 协议来传输 DNS 协议。TLS 协议是目前互联网最常用的安全加密协议之一,我们访问 HTTPs 的安全基础就是基于 TLS 协议的。 DoH 全称是 DNS over HTTPs,它使用 HTTPs 来传输 DNS 协议。 DoH 的安全原理与 DoT 一样,他们之间的区别只在于:DoH 有了 HTTP 格式封装,更加通用。 外媒 WMP...
DNS-over-HTTPS c++
03-24
DNS-over-HTTPSDoH)是一种将域名系统(DNS)流量加密并嵌入 HTTPS 流量中的技术。它旨在提高用户的隐私和安全性。在使用 DoH 时,查询将被加密,因此中间人攻击等攻击将变得更加困难。此外,DoH 还可以防止某些恶意软件对 DNS 进行异常操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值