DoH(DNS on HTTPS)和DoT(DNS on TLS)协议详解

最新推荐文章于 2025-03-10 22:07:03 发布
最新推荐文章于 2025-03-10 22:07:03 发布
阅读量665 收藏 9
点赞数 17
文章标签: https 网络协议 http spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55010563/article/details/144017646
版权

DoH(DNS on HTTPS)和DoT(DNS on TLS)协议详解

目录

目录

简介

详情

请求

DoH

DoT

返回

DoH

DoT

c-ares的使用

打包

解析

简介

DNS over HTTPS利用HTTP协议的GET命令发出经由JSON等编码的DNS解析请求。较于传统的DNS协议,此处的HTTP协议通信处于具有加密作用的SSL/TLS协议(两者统称作HTTPS)的保护之下。但是,由于HTTPS本身需要经由多次数据来回传递才能完成协议初始化,其域名解析耗时较原DNS协议会显著增加。[1]DNS over TLS(缩写:DoT)是通过传输层安全协议(TLS)来加密并打包域名系统(DNS)的安全协议。[2]本文基于RFC 8484 - DNS Queries over HTTPS (DoH)介绍DoH协议的详情。

此外,本文还基于Boost的Asio、Beast实现了DoH和DoT的解析器ink19/Boost.dns。

详情

DoH和DoT的请求包编码方式就是基于普通的DNS编码,具体可以参考这一篇博文[3]。为了简便,本文使用了c-ares[4],对DNS的请求和回包进行解析。

请求

DoH

DoH的请求基于HTTPS,其将DNS的请求包使用base64编码,放在了dns参数上,如:

GET /dns-query?dns=BAABAAABAAAAAAABBGhvbWUFaW5rMTkCY24AAAEAAQAAKQIAAAAAAAAA HTTP/1.1

Host: doh.pub

User-Agent: Boost.Beast/347

Accept: application/dns-message

其中需要注意的是Accept为application/dns-message。

DoT

DoT是直接数据流传输,因此不需要使用base64编码,但是为了方便读写,需要在请求包前增加两个字节的请求长度。如:

std::vector<boost::asio::const_buffer> req_buff;

uint16_t send_len = req.size();

send_len = htons(send_len);

req_buff.push_back(asio::buffer(&send_len, sizeof(send_len)));

req_buff.push_back(asio::buffer(req.data(), req.size()));

返回

DoH

DoH的回包放在body中,为二进制。直接读取解析即可。

DoT

DoT的回包和请求包类似,使用二进制,并有两个字节为前导长度。

c-ares的使用

打包

打包使用函数ares_create_query,签名为

#include <ares.h>

 

int ares_create_query(const char *name,

                      int dnsclass,

                      int type,

                      unsigned short id,

                      int rd,

                      unsigned char **buf,

                      int *buflen,

                      int max_udp_size);

获取的buf,使用结束后需要使用ares_free_string释放。

dnsclass和type在<arpa/nameser.h>中定义;id为16位,用于标记请求id;rd用于标识是否需要递归解析。

解析

解析使用ares_parse_xxxx_reply函数,比如A类型解析的签名为

#include <ares.h>

 

int ares_parse_a_reply(const unsigned char *abuf, int alen,

                       struct hostent **host,

                       struct ares_addrttl *addrttls, int *naddrttls);

其中host需要使用ares_free_hostent进行释放。

使用方法为(注:该函数的使用方法在官方文档中描述的比较模糊,本文是在github中搜索ares_parse_a_reply后,找到了node库使用该函数的方法[5])

struct hostent *hosts;

int ret = ares_parse_a_reply((const unsigned char *)rsp.data(), rsp.size(),

                              &hosts

, NULL, NULL);

for (int i = 0; hosts->h_addr_list[i] != NULL; ++i) {

DNS\DOH\DOT 查询流程图
weixin_43967758的博客
02-19 911
fill:#333;color:#333;color:#333;fill:none;DoHDoT传统DNS协议: HTTPS端口: 443TLS加密+HTTP混合在HTTPS流量中协议: TLS端口: 853TLS加密专用端口可能被封锁协议: UDP/TCP端口: 53无加密易被劫持/篡改。
深入解析 DNSDoHDNS over HTTPS协议
weixin_43967758的博客
02-12 1515
DNS(Domain Name System,域名系统)是互联网的一项核心服务,用于将人类可读的域名(如)转换为计算机可识别的 IP 地址(如DNS 的主要功能是帮助用户通过易于记忆的域名访问网站,而不需要记住复杂的 IP 地址。DoHDNS over HTTPS,基于 HTTPSDNS)是一种通过 HTTPS 协议进行 DNS 查询的技术。它旨在解决传统 DNS 查询中存在的安全性隐私问题。
ubuntu 解决 DNS 代理设置错误,导致不能上网的 DoHDoT问题
最新发布
ken2232的博客
03-10 752
ubuntu 解决DNS 代理设置错误,导致不能上网的问题
DoHDoT
curry_zhao的博客
12-06 2868
DoHDNS over HTTPS)即使用安全的 HTTPS 协议运行 DNS ,主要目的是增强用户的安全性隐私性。通过使用加密的 HTTPS 连接,第三方将不再影响或监视解析过程。因此,欺诈者将无法查看请求的 URL 并对其进行更改。如果使用了基于 HTTPSDNS ,数据在传输过程中发生丢失时,DoH 中的传输控制协议(TCP)会做出更快的反应。 除了基于 HTTPSDNS 外,目前还有另一种用于保护域名系统的技术:基于 TLSDNSDoT)。这两个协议看起来很相似,它们也都.
一文了解 DoHDNS-over-HTTPSDoTDNS-over-TLS
闵行小鱼塘
07-05 9582
为了防止针对DNS系统的攻击,强化域名系统的安全性,互联网诞生了4种提升DNS安全性的协议,分别是DNSSEC,DNSCrypt,DNS over TLSDoT),DNS over HTTPSDoH)。其中DNSSECDNSCrypt较早出现,DoTDoH很新,本文试图学习了解此二种DNS安全协议
支持DoHDNS服务器,使用 Docker 自建支持 DoHDoTDNS 服务器
weixin_36338808的博客
07-31 3384
DoH (DNS over HTTPS) DoT (DNS over TLS) 有效避免了运营商的 DNS 监听劫持,本文记录在公网搭建一个可以去广告的 DNS 服务器(借助 Adguard Home)。前期准备公网服务器一台域名一个,并且指向该公网服务器域名指向该公网服务器,并申请好 TLS 证书(可使用 Let’s Encrypt 申请)Docker 部署安装好 Docker 后下载镜像...
PublicDNS服务提供商增加字节,将支持 DoH/DoT/DoQ 等协议
par@ish的博客
08-18 2084
DoHDNS over HTTPS)即使用安全的 HTTPS 协议运行 DNS ,主要目的是增强用户的安全性隐私性。通过使用加密的 HTTPS 连接,第三方将不再影响或监视解析过程。因此,欺诈者将无法查看请求的 URL 并对其进行更改。如果使用了基于 HTTPSDNS ,数据在传输过程中发生丢失时,DoH 中的传输控制协议(TCP)会做出更快的反应。DoH查询响应在某种程度上伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的。
深入解析DNS欺骗及报文详解技术
- 使用加密的DNS协议(如DoH - DNS over HTTPS DoT - DNS over TLS):这样可以保证查询过程中数据的机密性完整性。 - 维护本地DNS缓存的正确性:确保本地DNS缓存没有被恶意软件篡改。 ### DNS报文详解 DNS...
Python实现DNS加密戳的创建与解析指南
- **DoT (DNS over TLS)**:类似于DoH,但是使用TLS协议进行加密。 #### 5. PythonDNS管理中的应用 Python是一种广泛应用于系统管理、网络编程的语言。dnsstamps库展示了Python在处理网络协议服务配置方面的...
DNS原理解析过程
05-27
3. **DoT**: DNS over TLS,类似于DoH,也提供了加密的DNS查询服务。 #### 八、总结 DNS是互联网的基础服务之一,它不仅使得用户能够轻松访问网站,还支持着互联网的高效运行。理解DNS的工作原理有助于我们更好地...
网络协议深入剖析:Ubuntu DNSDHCP协议全面解析
[网络协议深入剖析:Ubuntu DNSDHCP协议全面解析](https://www.ciraltos.com/wp-content/uploads/2018/11/11_4Image1.png) # 1. 网络协议基础回顾 在现代IT网络中,网络协议是构建任何通信系统的基础。它们规定了...
DNS-over-HTTPS:RFC 8484的实现-HTTPS上的DNS查询(DoH
05-09
HTTPS上的DNS RFC 8484的实现-HTTPS上的DNS查询(DoH)。 使用ASP.NET 5托管您自己的DoH Web服务,该服务可以将任何DNS服务器转换为可通过DoH标准协议访问的服务器。 系统要求 需要安装 。 安装以在Microsoft IIS Web服务器上运行。 支持Windows,LinuxmacOS。 下载 跨平台: 安装说明 Windows : 下载doh-aspnetcore.zip zip文件。 在记事本中编辑appsettings.json文件,以设置您选择的DNS服务器。 通过创建新网站并将doh-aspnetcore.zip zip文件doh-aspnetcore.zip压缩到网站的wwwroot文件夹中,在Windows IIS Web服务器上安装DoH应用程序。 在IIS上为网站配置SSL证书,以便该服务可以通过HTTPS进行工
DNS协议架构】主机与域名的映射关系:IP地址与域名的转换
[【DNS协议架构】主机与域名的映射关系:IP地址与域名的转换](https://img-blog.csdnimg.cn/img_convert/978cb92619df439c0f0f430b229b688f.png) # 1. DNS协议概述 ## 网络通信的基础设施:DNS协议的重要性 DNS...
分享几个支持DoH/DoT的公共DNS附设置方法,只会干净解析IP
热门推荐
深夜听表
07-05 1万+
之前写过一篇《关于2021/12/17国内bing不能正常访问的解决方法》的文章,有推荐过两个支持DNS over HTTPS(DoH)DNS来解决问题。但是最近我发现一些冷门网站github打不开了,开始以为只是连接不稳定后面排查发现是这DNS自己连不上导致的。
DoH协议
子木_98的博客
07-07 2920
参考1
DoHDoT协议:增强DNS安全性的双保险
2401_85789772的博客
11-25 991
DoHDoT协议作为增强DNS安全性的双保险,为用户提供了更加安全的域名解析服务。它们通过加密传输防止第三方监视或篡改DNS解析过程,有效抵御了DNS劫持等攻击。虽然两者在实现方式应用场景上存在一些差异,但都是未来DNS安全发展的重要方向。随着技术的不断进步应用的不断推广,相信DoHDoT将会为用户带来更加安全、便捷的互联网体验。
阿里云公共DNS安全传输服务介绍(DoH/DoT
数据库技术
05-09 1万+
概述 阿里公共DNS致力于为广大的互联网用户提供快速、稳定安全的DNS解析。然而传统的DNS查询应答采用UDPTCP明文传输,存在网络监听、DNS劫持、中间设备干扰的风险: 网络监听风险:即便用户采用HTTPs加密的方式访问站点,DNS查询应答并没有采用加密传输 DNS劫持:传统DNS应答数据会被篡改,用户的访问会被路由到钓鱼网站恶意站点 中间设备干扰:主要是一些防火墙对DNS查询的干扰,基于域名的过滤,还有大包MTU分片的影响等 为了应对以上挑战,阿里公共DN...
国内常用DoH地址
romexp的专栏
09-09 2981
国内常用DoH地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛马程序员2025

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值