什么是DNS请求加密？什么是？DoT和DoH（基于TLS与HTTPS的DNS）

随着越来越多的数据通过互联网传输，保护其免受第三方拦截至关重要。DNS over TLS（DoT）和DNS over HTTPS（DoH）提供了一种安全加密的方式来发送DNS请求，因此用户可以确保他们的数据是安全的。现在让我们了解这些协议如何帮助保护您的数据。

1、DNS请求加密有多重要？

加密DNS请求对于数据隐私和安全至关重要。它隐藏了与请求相关的数据，防止恶意行为者访问。这使得第三方更难查看、跟踪或窃取通过互联网传输的数据。此外，它消除了DNS劫持的风险，即网络犯罪分子将用户的网络流量从合法网站重新路由到恶意网站。简而言之，加密DNS请求可以帮助用户保护他们的数据并确保他们安全浏览。

2、DNS over TLS（DoT）-它是什么？

DNS over TLS（DoT）是一种网络协议安全措施，旨在为web浏览器和DNS解析器之间的通信提供隐私和数据完整性。它是传输层安全（TLS）协议的扩展，也称为“SSL”。它旨在帮助防止恶意第三方访问通过互联网以纯文本传输的DNS请求数据。DoT在与发送DNS查询相关的用户数据报协议（UDP）之上添加了额外的TLS加密层。
DoT的工作原理是通过加密的TLS隧道发送DNS请求，在现有的TLS连接上添加一层安全性。然后，使用通信会话独有的唯一密钥对请求中的数据进行加密。然后，DNS请求和响应作为数据包发送，数据包由TLS协议加密和完整性保护。这增加了一层额外的保护，只允许通信会话中涉及的预期设备访问数据。通过这样做，DoT有助于保护用户数据并防止未经授权的第三方访问，这在用户使用共享网络（如公共Wi-Fi）时尤其有用。

3、通过HTTPS定义DNS（DoH）

DNS over HTTPS（DoH）是DNS over TLS（DoT）的替代方案。DoH确保DNS查询和响应是加密的，与DoT不同，它通过HTTP或HTTP/2协议发送它们。从网络管理员的角度来看，这使得DNS流量看起来更像其他HTTPS流量，例如典型的web交互。此外，卫生部还提供了一层安全措施，因为攻击者无法伪造或更改DNS流量。
卫生部的一个关键特征是，它隐藏了来自ISP和其他监控网络流量的第三方的DNS请求的可靠来源。这使得ISP和其他参与者难以跟踪和收集用户在线活动的数据，为用户提供了一层隐私。此外，卫生部对整个DNS响应进行加密，包括最终的IP地址字段，使第三方几乎不可能访问或查看用户的数据。

那么，DNS over TLS和DNS over HTTPS之间有什么区别呢？

DNS over TLS和DNS over HTTPS都是通过互联网发送DNS请求的安全加密协议。IETF（互联网工程任务组）概述了这两种协议，以提供一种安全、可靠的方式在互联网上传输DNS请求。
主要区别在于，DNS over TLS通过TCP建立连接，并通过安全的TLS加密和身份验证协议分层。同时，DNS over HTTPS使用HTTPS和HTTP/2协议建立连接。由于这种差异，DNS over TLS有自己的专用端口TCP端口853，而DNS over HTTPS使用标准的HTTPS TCP端口443。
另一个区别是所使用的加密的复杂性。DoT在用于DNS查询的底层UDP之上创建了一个额外的TLS加密层。另一方面，卫生部使用HTTPS，它更复杂、更安全。此外，卫生部还对整个DNS响应进行加密，包括最终的IP地址字段。这使得第三方几乎不可能访问或查看用户的数据。
最后，DoT的使用比DoH更广泛，但由于DoH增加了安全层，其应用越来越广泛。DoT依赖于支持该协议的DNS解析器，但DoH可以与任何支持HTTPS的web浏览器一起使用。随着越来越多的组织、网站和浏览器采用DoH，它将成为安全DNS通信的首选方法。

4、哪个更好，DoT还是DoH？

这个问题的答案取决于公司甚至每个IT安全专业人员的具体需求。然而，有几个事实可以指出：
•从网络安全的角度来看，DoT通常是首选，因为它允许网络管理员监视和阻止DNS查询。这有助于他们识别和阻止潜在的恶意流量。
•从隐私的角度来看，DoH可能更可取，因为DNS查询隐藏在更大的HTTPS流量中。这为用户提供了更多的隐私，但使网络管理员更难阻止恶意流量，因为这样做也需要阻止所有其他HTTPS流量。
私有DNS服务器及其与DoT和DoH的关系

专用DNS服务器的目的是解决外部DNS查询，例如查找互联网网页或网络上的其他资源。因此，在专用DNS服务器和其他DNS服务器之间来回发送的任何数据都必须是安全的，以防止对数据的任何窥探或操纵。这就是DoT和DoH发挥作用的地方。通过使用它们，在专用DNS服务器和其他DNS服务器之间发送的数据被加密并受到保护，免受潜在攻击者的攻击，确保数据保持私有和防篡改。

5、DoT和DoH实施中的挑战

•兼容性问题：一些旧系统和应用程序可能不支持DoT或DoH，从而导致兼容性挑战。
•配置复杂性：正确配置DoT或DoH可能很复杂，特别是在有现有安全措施的环境中。
•混合内容处理：在强制执行DoT或DoH的环境中，通过HTTPS加载但通过未加密通道发出DNS请求的网站可能会带来挑战。

6、设立DoT和DoH的指南

为了增强您的在线隐私和安全性，请在各种操作系统上遵循以下设置和配置指南：
•Windows：使用网络设置指定支持DoT或DoH的首选DNS服务器。第三方应用程序还可以在缺乏本地支持的系统上启用DoT/DoH。
•macOS：在“网络首选项”中，您可以配置DNS设置以使用支持加密的服务器。有几个应用程序可以自动执行此过程。
•Linux：根据发行版的不同，您可以编辑resolv.conf文件或使用systemd-resolved配置DoT或DoH。
•Android：最新版本允许您在网络设置中指定专用DNS提供商，默认启用DoT。
•iOS：使用DNS配置文件或第三方应用程序配置DoT或DoH，因为iOS本身不支持直接更改蜂窝网络的DNS设置。

7、DNS加密在物联网安全中的作用

物联网设备严重依赖DNS进行通信，这使得它们容易受到DNS欺骗和中间人（MitM）等攻击。通过DoT和DoH等协议进行的DNS加密对于保护这些通信至关重要。
•防止DNS欺骗：加密确保设备仅连接到合法服务器。
•缓解MitM攻击：加密的DNS流量阻止攻击者拦截或篡改查询。
•增强隐私：保护敏感的物联网数据免受监控或跟踪。
•保护公共网络：保护在共享或公共网络上运行的物联网设备。
通过保护DNS流量，DNS加密加强了物联网安全，并防止了许多物联网设备固有的漏洞。

8、DoT/DoH和VPN有什么区别？

DNS over TLS（DoT）和DNS over HTTPS（DoH）是旨在加密DNS查询的协议，在将域名解析为IP地址时提供增强的隐私和安全性。它们主要侧重于保护DNS查找过程，防止潜在的窃听或操纵DNS流量。
另一方面，虚拟专用网络（VPN）在您的设备和VPN提供商运营的远程服务器之间创建了一个安全、加密的隧道。此隧道加密通过它的所有数据，而不仅仅是DNS查询。VPN用于保护所有互联网流量，包括网页浏览、应用程序使用和其他在线活动，免受黑客、政府机构或互联网服务提供商（ISP）等第三方的潜在拦截或监控。
总之，虽然DoT/DoH专门专注于加密DNS查询以防范DNS相关威胁，但VPN加密所有互联网流量以提供全面的在线隐私和安全。

结论

随着数据隐私日益增长的趋势和对更快浏览速度的渴望，DoT和DoH为您的网络增加了额外的安全性和速度。因此，是时候通过做出改变来控制您的安全和隐私了——试试DoT和DoH，看看它们如何帮助使互联网变得更安全。