安全DNS

厂商DNSDoHDoT
腾讯119.29.29.29https://doh.pub/dns-querydns.pub
doh.pub
阿里223.5.5.5
223.6.6.6
https://dns.alidns.com/dns-queryhttps://dns.alidns.com

DoT

DoT 全称是 DNS over TLS,它使用 TLS 协议来传输 DNS 协议。TLS 协议是目前互联网最常用的安全加密协议之一,我们访问 HTTPs 的安全基础就是基于 TLS 协议的。相比于之前使用无连接无加密的 UDP 模式,TLS 本身已经实现了保密性与完整性。
TLS 协议的基本思路是证书 + 加密机制,双管齐下保证安全。证书相当于申请了一个合法的身份证,当客户端向服务器发起连接的时候,双方会相互校验一下身份,服务器把证书给客户端,客户端来校验证书的内容和合法性。
握手协议则是用的公钥加密法:首先,客户端会向服务器端索要并验证公钥,验证后双方会协商生成 “对话密钥”,类似于两个人独有的摩斯密码,在此之后,双方就会采用对话密钥进行加密通信。

DoH

DoH 全称是 DNS over HTTPs,它使用 HTTPs 来传输 DNS 协议。DoH 的安全原理与 DoT 一样,他们之间的区别只在于:DoH 有了 HTTP 格式封装,更加通用。
IT之家了解到,DoT 在专用端口上通过 TLS 连接 DNS 服务器,而 DoH 是基于使用 HTTP 应用程序层协议,将查询发送到 HTTPS 端口上的特定 HTTP 端点 , 这里造成的外界感知就是端口号的不同,DoT 的端口号是 853,DoH 端口号 443。
腾讯云相关团队表示,通过对客户端侧改造和优化,采用本地缓存,提前预取,连接复用等技术方案,积极优化整体流程,实现了与原 DNS 协议相近的时延效果。
其次,是客户端和服务器端生成的对话密钥是对称加密,运算速度非常快,而服务器公钥只用于加密 “对话密钥” 本身,这样就减少了加密运算的消耗时间。


安全DNS
https://blog.jackeylea.com/web/list-of-dot-doh/
作者
JackeyLea
发布于
2023年11月23日
许可协议