DNS over TLS 與 DNS over HTTPS | 保護 DNS

DNS 查詢以純文字形式傳送,這意味著任何人都可以讀取它們。DNS over HTTPS 和 DNS over TLS 會加密 DNS 查詢和回應,以確保使用者瀏覽的安全性和隱私性。但是,這兩種方法都有其優點和缺點。

學習目標

閱讀本文後,您將能夠:

  • 瞭解為什麼 DNS 需要更高的安全性,以及為什麼 DNS 隱私很重要
  • 瞭解 DNS over TLS 和 DNS over HTTPS 的運作方式,及其二者之間的差異
  • 說明兩種方法的優缺點
  • 將 DNS over TLS/HTTPS 與 DNSSEC 進行比較

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

所有 Cloudflare 方案中均包含免費 DNS

為什麼 DNS 需要額外的安全層?

DNS 是網際網路的電話簿;DNS 解析程式將人類可讀的網域名稱轉換為機器可讀的 IP 位址。預設情況下,DNS 查詢和回應以純文字(透過 UDP)傳送,這意味著它們可以由網路、ISP 或任何能夠監視傳輸的人讀取。即使網站使用 HTTPS,導航到該網站所需的 DNS 查詢也會暴露。

這種隱私上的欠缺對安全有著巨大影響,在某些情況下也會影響人權;如果 DNS 查詢不是私密的,則政府可以更輕鬆地審查網際網路,而攻擊者也可以追蹤使用者的網上行為。

攻擊者檢視未受保護的 DNS 流量

未經加密的普通 DNS 查詢可以比作透過郵件寄送的明信片:處理郵件的任何人都可能瞥見背面寫的文字,因此郵寄包含敏感或私密資訊的明信片不是明智的做法。

DNS over TLS 和 DNS over HTTPS 是為加密純文字 DNS 流量而開發的兩個標準,可以防止惡意方、廣告商、ISP 和其他人解讀資料。繼續上面的比喻,這些標準的目的是將郵寄的明信片放在信封內,這樣人們在寄送明信片時,就不必擔心有人窺探到明信片的內容。

透過 TLS 或 HTTPS 保護的 DNS 查詢,攻擊者被封鎖

什麼是 DNS over TLS?

DNS over TLS (DoT) 是一種加密 DNS 查詢以確保其安全和私密的標準。DoT 使用與 HTTPS 網站相同的安全通訊協定 TLS 來加密和驗證通訊。(TLS 也稱為「SSL」。)DoT 在用於 DNS 查詢的使用者資料包通訊協定 (UDP) 之上新增了 TLS 加密。此外,它還確保 DNS 請求和回應不會因中間人攻擊而被篡改或偽造。

什麼是 DNS over HTTPS?

DNS over HTTPS (DoH) 是 DoT 的替代方案。使用 DoH 時,DNS 查詢和回應會加密,但它們是透過 HTTPHTTP/2 通訊協定傳送,而不是直接透過 UDP 傳送。像 DoT 一樣,DoH 確保攻擊者無法偽造或更改 DNS 流量。從網路管理員的角度來看,DoH 流量表現為與其他 HTTPS 流量一樣,如普通使用者與網站和 Web 應用程式進行的互動。

2020 年 2 月,Mozilla Firefox 瀏覽器開始預設為美國使用者啟用 DoH。來自 Firefox 瀏覽器的 DNS 查詢由 DoH 加密並前往 Cloudflare 或 NextDNS。其他幾個瀏覽器也支援 DoH,但不會預設啟用。

等等,HTTPS 不也是使用 TLS 進行加密嗎?DNS over TLS 和 DNS over HTTPS 有何不同?

每個標準都是單獨開發的,並具有自己的 RFC*文件,但 DoT 和 DoH 之間最重要的區別是它們使用的連接埠。DoT 只使用連接埠 853,而 DoH 使用連接埠 443,這也是所有其他 HTTPS 流量使用的連接埠。

由於 DoT 具有專用連接埠,因此任何具有網路可見度的人都可以看到 DoT 流量的進出,即使請求和回應本身已加密。相比之下,使用 DoH 時,DNS 查詢和回應會與其他 HTTPS 流量混合在一起,因為它們都在同一個連接埠進出。

*RFC 代表「徵求意見」,RFC 是開發人員、網路專家和思想領袖為標準化網際網路技術或通訊協定而進行的集體嘗試。

什麼是連線埠?

在網路中,連接埠是電腦上的虛擬位置,開放給來自其他電腦的連線。每台聯網電腦都有標準數量的連接埠,並且每個連接埠都保留用於特定類型的通訊。

這可以比作港口中船舶的泊位:每個運輸泊位都有編號,不同種類的船舶應該要前往特定的運輸泊位來卸貨或下客。網路中同樣如此:某些類型的通訊應該前往特定的網路連接埠。區別在於網路連接埠是虛擬的;它們是用於數位連線而非實際連接的地方。

DoT 和 DoH,哪個更好?

這是一個值得討論的問題。從網路安全的角度來看,DoT 可以說是更好的。它讓網路管理員能夠監控和封鎖 DNS 查詢,這對於識別和阻止惡意流量非常重要。而 DoH 查詢隱藏在常規的 HTTPS 流量中,這意味著在不封鎖所有其他 HTTPS 流量的情況下,很難輕易封鎖它們。

但是,從隱私的角度來看,DoH 更為可取。使用 DoH 時,DNS 查詢會隱藏在更大的 HTTPS 流量中。這使網路管理員的可見度降低,但為使用者提供了更多的隱私。

Cloudflare 提供的免費 DNS 解析程式 1.1.1.1 同時支援 DoT 和 DoH。

DNS over TLS/HTTPS 和 DNSSEC 之間有什麼區別?

DNSSEC 是一組安全性擴充功能,用於在與 DNS 解析程式的通訊中驗證 DNS 根伺服器和權威名稱伺服器的身分。它旨在防止 DNS 快取記憶體中毒以及其他攻擊。它不會加密通訊。與此相反,DNS over TLS/HTTPS 會加密 DNS 查詢。1.1.1.1 也支援 DNSSEC

要瞭解有關 1.1.1.1 的更多資訊,請參閱什麼是 1.1.1.1