本页为加密DNS的科普页
保护您的网络隐私和安全免受窥探
传统的DNS查询以明文形式传输,使您的浏览活动暴露在网络中间人攻击、ISP监控和数据收集之下。DNS加密技术通过以下方式解决这些问题:
防止第三方监控您的网络活动
阻止DNS查询被篡改或劫持
确保您连接到真实的服务器
现代DNS安全解决方案
通过HTTPS协议传输DNS查询,使用443端口,与常规HTTPS流量混合,难以被检测和阻止。
使用TLS协议加密DNS查询,使用专用端口853,提供与HTTPS相同的安全级别。
基于QUIC协议的新一代DNS加密技术,结合了TCP的可靠性和UDP的低延迟优势。
早期的DNS加密协议,使用加密的UDP数据包传输DNS查询,支持多种加密算法。
不同DNS加密技术的特性比较
| 特性 | DoH | DoT | DoQ | DNSCrypt |
|---|---|---|---|---|
| 传输协议 | HTTP/HTTPS | TLS over TCP | QUIC over UDP | 自定义加密协议 |
| 端口 | 443 | 853 | 853 | 443或自定义 |
| 加密方式 | TLS | TLS | TLS | Curve25519/XSalsa20 |
| 延迟 | 中等 | 中等 | 低 | 低 |
| 抗审查能力 | 高 | 中 | 高 | 高 |
| 标准化程度 | RFC 8484 | RFC 7858 | RFC 9250 | 非标准 |
加密DNS服务的核心组件和工作原理
处理客户端查询,向权威服务器请求解析结果
处理加密连接和解密DNS查询
存储常用解析结果,减少上游查询
根据策略阻止恶意或不当域名
记录查询数据用于监控和分析
确保DNS响应的真实性和完整性
加密DNS带来的安全提升
加密传输确保查询内容不被第三方窃取
端到端加密阻止中间人修改DNS响应
加密流量可绕过某些地域性DNS限制
QUIC等协议可显著降低DNS查询延迟
加密DNS技术面临的问题
大型公共DNS服务可能成为新的中心化监控点
加密DNS可能绕过企业安全策略和内容过滤
多种协议并存导致兼容性和部署复杂性
加密解密过程增加CPU负载和响应时间