DNS Over HTTPS (DoH) 与 DNS Over TLS (DoT)：比较分析

介绍

由于 DNS 查询以明文形式发送，因此每个人都可以阅读它们。 DNS over HTTPS 和 DNS over TLS 对 DNS 查询和响应进行加密，使您的浏览保持匿名和私密。两者都有优点和缺点，当我们深入研究本指南时，我们将 uncover 两者如何帮助增强数据保护。那么，事不宜迟，让我们开始吧。

为什么 DNS 需要 TLS 或 HTTPS？

DNS（域名系统）是一种网络协议，可将网站名称转换为计算机可以理解的 IP 地址。简而言之，DNS 被视为互联网的电话簿。它将网站域名转换为数值以加载到您的网络浏览器中。

但是，使用 DNS 会带来一些问题。 DNS 是一个不安全的网络，很容易被拦截。这给用户带来了重大的安全风险。 HTTPS 和 TLS 有助于增强和提高 DNS 网络的安全性，因为它们是加密协议。 TLS（传输层安全）和 HTTPS（安全超文本传输​​协议）保护计算机设备之间传输的数据。他们将数据保密，以防发生任何拦截。

加密可确保未经授权的各方无法读取或理解数据，因此数据不易受到任何破坏。简而言之，HTTPS 和 TLS 可以保护 DNS 请求并保证任何敏感或机密数据保持安全。

DoH 和 DoT 有什么区别？

DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 是两种不同的协议，旨在将域名解析为 IP 地址时增强隐私性和安全性：

通过HTTPS的DNS（DoH）

• 借助 DoH，DNS 查询通过 HTTPS 进行加密，从而保护网络流量。
• 它支持通过标准端口 443（通常用于 HTTPS 流量）进行 DNS 解析，从而使 ISP 和网络管理员更难监控或篡改 DNS 查询。
• 某些 Web 浏览器和操作系统支持它，用户可以配置其设备和应用程序以使用 DoH。
• DoH 通过防止窃听 DNS 查询和响应来提供更好的隐私。
• DoH 因其易于实施且与现有基础设施兼容而受到关注。

基于 TLS 的 DNS (DoT)

• DoT 使用传输层安全 (TLS) 协议对 DNS 查询进行加密，以保护 Web 流量。
• DoT 增强隐私并确保未经授权的各方不会篡改或拦截 DNS 查询。
• DoT 需要支持客户端应用程序和 DNS 解析器，并在系统或应用程序级别进行配置。
• 它通过端口 853 运行，并为使用 TLS 加密的 DNS 通信提供专用通道。
• 虽然 DoT 具有与 DoH 类似的安全优势，但它作为传输层而不是像 DoH 那样作为应用程序层执行。

DoH 和 DoT 都有相同的目的，即解决与传统 DNS 解析相关的隐私问题，其中查询以明文形式发送，可能会将信息暴露给网络中介和恶意行为者。它们在 DNS 解析器和客户端之间提供加密的通信通道，这有助于增强隐私和安全性。

为什么 DNS 请求加密很重要？

由于多种原因，DNS 加密至关重要，其中包括：

1）隐私保护

DNS 查询以明文形式发送，这意味着任何人都可以理解并拦截它们。这可能会暴露用户的浏览历史记录以及他们正在访问的任何网站。 DNS 请求加密使您能够防止窃听，从而增强用户隐私。

2）安全性

未加密的 DNS 查询容易受到各种攻击和威胁，例如 DNS 劫持、DNS 欺骗和 DNS 缓存中毒。加密 DNS 请求使得攻击难以执行，因为传输的数据已被加密，这意味着它无法轻易被拦截。

3）绕过审查和内容过滤

在审查严格的地区，加密的 DNS 请求可以帮助您绕过这些限制。通过加密 DNS 流量，用户可以防止 ISP（互联网服务提供商）阻止或检查 DNS 查询。

4) 数据完整性

加密可保证客户端收到的 DNS 响应是真实的，并且在数据传输过程中不会被篡改。这有助于防止 DNS 缓存中毒攻击。

5）防止中间人攻击

恶意行为者和网络犯罪分子可以拦截 DNS 查询，将用户重定向到未经加密的可疑网站或网络钓鱼页面。加密的 DNS 请求有助于降低中间人攻击的风险。这可确保客户端和 DNS 解析器之间的通信保持安全。

DoH 和 DoT 的优缺点

在两者之间做出决定时，最好评估两者的优缺点。这可以帮助您做出更好、更明智的决定。让我们来看看：

卫生部的优点

• DoH 对 DNS 查询进行加密，防止 ISP 和网络管理员监控和篡改 DNS 流量。
• DoH 在客户端和解析器之间提供安全的通信通道，从而保护 DNS 查询免遭欺骗或劫持。
• DoH 可以轻松集成到 HTTPS 支持的现有 Web 浏览器和应用程序中。

卫生部的缺点

• DoH 依赖集中式 DNS 解析器提供商，例如 Google、Cloudflare 或 ISP。这引发了这些提供商的隐私和数据收集问题。
• 与未加密的 DNS 解析相比，使用 HTTPS 的加密 DNS 查询可能会导致额外的延迟。
• 如果同时发送许多 DoH 查询，则可能会出现 DNS 过载。

DoT 的优点

• DoT 对 DNS 查询和响应进行加密，从而保护它们免遭未经授权方的窃听和拦截。
• DoT 降低了 DNS 操纵的风险，确保 DNS 查询经过身份验证和加密。
• DoT 可以轻松部署，无需对现有 DNS 基础设施进行任何更改。
• 与其他加密 DNS 协议相比，DoT 提供了良好的性能。

DoT 的缺点

• 与其他加密 DNS 协议相比，DoT 的采用速度较慢，这可能会限制与 DoT 兼容的 DNS 解析器和客户端的可用性。
• 配置 DNS 客户端以使用 DoT 可能需要手动配置或更改网络设置。这可能会更加复杂。
• 在某些网络环境中，管理员可以阻止特定端口上的流量，包括用于 DoT 的端口（端口 853）。

哪个更好？卫生部还是交通部？

这个问题的答案取决于您自己的需求和偏好。但是，有一些事情需要记住。从网络安全角度来看，DoT 是首选，因为网络管理员会阻止或监控 DNS 查询。

但是，如果隐私是您的首要任务，那么 DoH 是首选，因为 DNS 查询隐藏在大量 HTTPS 流量中。虽然这为用户提供了更多流量，但它使得阻止流量对网络管理员来说具有挑战性，因为它需要阻止其他 HTTPS 流量。

或者，您可以探索其他选项 DNS泄漏检测 通过投资可靠的 VPN（虚拟专用网络）来检测并保护自己免受 DNS 泄漏的影响。 VPN 还可以帮助您保持在线匿名状态，并增强您的隐私和安全性，因为您的所有数据都通过加密的 VPN 隧道进行路由。

结论

随着对用户隐私的需求不断增长，特别是在网络攻击和数据泄露不断增加的时代，对更好的隐私措施的需求也随之增加。 DoT 和 DoH 通过确保您的敏感和机密数据不会被拦截，增加了额外的安全层。它们不仅增强您的隐私和安全性，而且还提供出色的网络速度。