共计 848 个字符,预计需要花费 3 分钟才能阅读完成。
🔍 首先,什么是 DNS?
DNS(域名系统)就像互联网的“电话簿”,把我们输入的地址(比如 www.google.com)翻译成 IP 地址(比如 142.250.72.196),这样你的电脑才能访问网站。
🧨 DNS 的问题是什么?
默认的 DNS 查询是 明文传输 的,像写在明信片上一样:
- 容易被监听(别人能看到你访问了什么网站);
- 容易被篡改或劫持(比如你想访问 Google,结果被引导到钓鱼网站);
所以就有了 DNSSEC、DoH、DoT 来解决这个问题。
🛡️ DNSSEC(DNS Security Extensions)
✅ 通俗解释:
DNSSEC 是给 DNS 加上“防伪标签”。
比如你收到一封信,信封上有发件人的签名和印章(数字签名),你就能确定它 没被别人篡改过。
✅ 它解决的问题:
- 确保 DNS 响应 没有被篡改;
- 防止假冒 IP 地址(比如有人用假 IP 冒充银行官网);
❗它的限制:
- 它 不加密 查询内容,别人仍然能看到你查了什么;
- 只验证“数据的真伪”,不保护“传输过程”;
🔒 DoH(DNS over HTTPS)
✅ 通俗解释:
DoH 就是把你的 DNS 查询 藏在网页流量里,通过 HTTPS 发送出去,别人很难区分你是在访问网站,还是在查域名。
就像你把明信片装进了加密信封,还和普通网页混在一起邮寄。
✅ 它的好处:
- 查询内容是 加密的,别人看不到你访问了什么;
- 能绕过一些 DNS 劫持(比如运营商的广告注入);
❗可能的副作用:
- 有些网络 / 公司会禁止 DoH;
- 你用了 DoH,系统就不再用原来的 DNS 设置了,可能影响局域网解析;
🔒 DoT(DNS over TLS)
✅ 通俗解释:
DoT 就是专门为 DNS 查询 开一条加密隧道,不像 DoH 藏在 HTTPS 里,而是独立通信,但也是加密的。
像是你单独用一个加密包裹寄 DNS 明信片。
✅ 它的好处:
- 查询过程 完全加密;
- 独立通信,便于网络管理员管理;
- 和 DoH 一样能防止监听、劫持;
❗对比 DoH 的区别:
| 特点 | DoH | DoT |
|---|---|---|
| 使用的端口 | 443(网页端口) | 853(专门的 DNS 端口) |
| 是否“隐蔽” | 更隐蔽(混在网页里) | 不隐蔽 |
| 适用场景 | 浏览器、隐私优先 | 操作系统级、网络环境友好 |
正文完
