专栏首页腾讯云 DNSPod 团队D妹上新|DoH和DoT开始公测啦!

D妹上新|DoH和DoT开始公测啦!

要讲DoT和DoH,不可避免的我们要重温一下DNS协议的历史。

DNS协议在1987年甚至更早的时候就被规范好,那个年代互联网安全还不是严重的威胁,DNS协议使用非可靠的UDP和TCP协议。

UDP是一个无状态的传输协议,尽管在传递数据时非常快,但它是无法避免攻击的。此外,在数据传递时,因为网络状态差的时候,很容易发生丢包的情况。此外,UDP是明文在网络上传输。

TCP相对于UDP安全性是略高。它的可靠体现在TCP在传递数据之前,会通过三次握手来建立连接。

然而TCP就是完美的解决方案吗?并不尽然。

正是因为TCP的三次握手机制,导致TCP很容易被利用来实现DOS等攻击时至今日,互联网的安全环境已经截然不同。假设用户被某个攻击者盯上,我们来看原来的使用UDP和TCP协议可能存在什么样的安全隐患:

1)无法验证对端的身份

当浏览器接收到一个DNS的响应时,它无法确认这个响应是否来自它信任的DNS服务商。在DNS服务商答复之前,攻击者可能抢先主动发送一个虚假的DNS响应,让用户采用他提供的IP地址作为解析结果,而忽略正规服务商的响应结果。

2)无法确保数据的安全

DNS报文以明文的方式在网络中传输,是一件危险的事情。攻击者能看到你访问的是哪个网站,也能看到DNS服务商给你答复的内容。如果攻击者篡改了回复给用户的响应报文,比如将响应中的IP地址替换成了恶意地址,被攻击的用户并不知情的。

假设攻击者利用上述安全隐患对用户的DNS攻击成功,他就可能把你想访问的银行的网址转移到自己的恶意地址上。比如说小明在想访问工商银行的网站“www.icbc.com.cn",正常情况下,浏览器收到DNS服务商解析后的合法IP地址,网页请求会被发送到工商银行的服务器上;然而攻击者的存在导致浏览器拿到了错误的IP地址,网页请求被发送到了恶意服务器上。攻击者只需要在恶意服务器上山寨一个肉眼无法分辨出来的银行页面,在用户操作的时候就能非法盗取用户的银行账号信息,而这一切用户完全感知不到。

为了解决此类的问题,人们想出了很多的办法改进或扩展DNS协议。比如说让DNS协议中携带的网址大小写变得随机,这样攻击者就难以准确猜测到正确的网址,比如说在报文里面添加校验验证报文的来源或报文数据是否被篡改过等。

目前看来最为安全有效的方式,是DoT/DoH方案。

DoT全称是DNS over TLS,它使用TLS协议来传输DNS协议。TLS协议是目前互联网最常用的安全加密协议之一,我们访问HTTPs的安全基础就是基于TLS协议的。相比于之前使用无连接无加密的UDP模式, TLS 本身已经实现了保密性与完整性。

那么 TLS 协议是如何实现完整性与保密性的呢?

TLS协议的基本思路是证书+加密机制,双管齐下保证安全。证书相当于申请了一个合法的身份证,当客户端向服务器发起连接的时候,双方会相互校验一下身份,服务器把证书给客户端,客户端来校验证书的内容和合法性。

握手协议则是用的公钥加密法:首先,客户端会向服务器端索要并验证公钥,验证后双方会协商生成"对话密钥",类似于两个人独有的摩斯密码,在此之后, 双方就会采用对话密钥进行加密通信。

通俗的理解就是:你要和你的笔友写信,握手协议是你和你的笔友之间商量出来一套加密通信的方式,而证书则是保证拿到你寄出去的信的人是你的笔友本人。

DoH全称是DNS over HTTPs,它使用HTTPs来传输DNS协议。DoH的安全原理与DoT一样,他们之间的区别只在于:DoH有了HTTP格式封装,更加通用。

DoT在专用端口上通过TLS连接DNS服务器,而DoH是基于使用HTTP应用程序层协议,将查询发送到HTTPS端口上的特定HTTP端点,这里造成的外界感知就是端口号的不同,DoT的端口号是853,DoH端口号443。

也许你会问:增加了握手的过程,以及数据增加了加密的步骤,是不是传输速度会变慢?

实际上,使用TLS或HTTPS的确会增加前期协商带来的时间损耗,但是!此处划重点:

经过腾讯云相关团队的努力,程序员小哥哥们通过对客户端侧改造和优化,采用本地缓存,提前预取,连接复用等技术方案,积极优化了整体流程,实现了与原DNS协议相近的时延效果!(此处应有掌声)

其次,是客户端和服务器端生成的对话密钥是对称加密,运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。

DNSPod一直以来对DNS安全都非常关注,目前已经DoT/DoH方案已经正式开放公测:为DNSPod用户的信息和隐私安全保驾护航。

DoT 的服务器地址:dns.pub 或者 doh.pub

DoH 的地址:https://doh.pub/dns-query 。

PC端教程:

让DNSPod保护您的网页安全也非常简单,如果您使用的是Chrome浏览器(83及以上),只需要在Chrome浏览器的设置项中设置好DNS访问安全选项即可。操作步骤如下:

进入到Chrome浏览器设置页面,在设置搜索框中搜索DNS。

1:点击搜索结果中的“安全”,往下拉,就能看到DNS安全设置。

2:输入DNS安全服务提供商地址:

https://doh.pub/dns-query

如果你使用的是Chrome浏览器(78-82),那么首先你需要

1:点击:chrome://flags/#dns-over-https

2:将Secure DNS lookups这里的Default修改为Enabled。

3:进入网络设置-更改适配器选项-右键-选择ipv4-点击属性

4:点击高级-选择dns-在弹出“DNS服务器”下方框中输入:162.14.21.56或者162.14.21.178(正式上线后会更改,请同步关注)

使用FireFox也可轻松设置,与Chrome步骤类似。进入到设置页面,搜索“dns”,点击“网络设置”,下拉后勾选“DNS over HTTPS“,输入DNS安全服务商地址https://doh.pub/dns-query即可。

至此,你的DNS请求就以加密的方式安全的送达到了DNSPod,从此岁月静好。

SMB

腾讯云中小企业产品中心

    腾讯云中小企业产品中心(简称SMB),作为腾讯云体系中唯一专业服务于8000万中小企业的业务线,致力于为中小微企业提供全面完善贴心的数字化解决方案。产品线覆盖了企业客户从创业起步期、规范治理期、规模化增长期、战略升级期等全生命周期,针对性的解决企业的信息化、数字化、智能化的生产力升级需求。本中心还拥有两大独立腾讯子品牌:DNSPod与Discuz!,在过去15年间,为超过500万企业级客户提供了强大、优质、稳定的IT服务。

    SMB团队成员大多都有过创业经历,有获得过知名VC数千万投资的,有被一线互联网巨头以数千万全资收购的,也有开设数十家分公司后技术转型而失败倒闭的,我们成功过,也失败过,我们深知创办企业的难处与痛点,深刻的理解中小企业该如何敏捷起步、规范治理、规模化增长与数字化升级发展,我们会用自己踩坑的经验给出最适合你的答案。

    腾讯云中小企业产品中心,助力中小企业数字化升级的好伙伴。

想了解更多官方资讯?

扫描阿D二维码邀您加入DNSPod交流群

文章分享自微信公众号:
DNSPod

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 快速自建 DoH ( DNS over HTTPS) 服务

    DoH(DNS over HTTPS),顾名思义,suoyis,除了最常用的UDP外,还有DoT(DNS over TLS),DNS over HTTP(服务提...

    公众号: 云原生生态圈
  • DNSPod十问吴洪声:云时代,DNS面临哪些安全挑战?

    8月5日,腾讯云中小企业产品中心总经理吴洪声受邀以演讲嘉宾的身份参加第八届互联网安全大会(简称“ISC 2020”),演讲主题为《DNS在云时代的安全挑战及应对...

    腾讯云DNSPod团队
  • IPv6公共DNS DoT/DoH开启公测

    域名系统(DNS)是一项互联网基础服务,它是一个树状分布式架构系统,将不同级别的数据库部署在各个子节点,将域名和IP地址进行对应,是互联网的“电话本”。随着移动...

    CFIEC
  • 告别DNS劫持,一文读懂DoH

    如果评选一个差评服务器榜单,除去育碧高居榜首外,一定也少不了 Nintendo Switch 让人头秃的联网服务。尽管任天堂已经架设了香港 CDN 服务器用于加...

    明月云服务
  • 通过配置DNS over HTTPS来阻止DNS污染

    DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成。从安全角度来看,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很...

    李洋个人博客
  • 分析现代网络的DNS、DOT和DOH的成本(和收益)

    原文题目:Analyzing the Costs (and Benefits) of DNS, DoT, and DoH for the Modern Web

    Jarvis Cocker
  • 日均请求量1.6万亿次背后,DNSPod的秘密-国密DoH篇

    当时做这样一个产品的背景很简单,那还是一个 「南电信北联通(网通)」的时代,相信很多人都会有印象:那个时候你打开一个网站,首先看到的并不是网站的首页,而是一个密...

    腾讯云荐官
  • 日均请求量1.6万亿次背后,DNSPod的秘密-国密DoH篇

    导语 | 腾讯云加社区精品内容栏目《云荐大咖》,特邀行业佼者,聚焦前沿技术的落地与理论实践,持续为您解读云时代热点技术,探秘行业发展新机。 在2005年的时候...

    腾小云
  • 日均请求量1.6万亿次背后,DNSPod的秘密-国密DoH篇

    在2005年的时候,我做了一个和DNS有关的小产品,DNSPod。当时做这样一个产品的背景很简单,那还是一个 「南电信北联通(网通)」的时代,相信很多人都会有印...

    DNSPod吴洪声
  • 日均请求量1.6万亿次背后,DNSPod的秘密-国密DoH篇

    导语 | 腾讯云加社区精品内容栏目《云荐大咖》,特邀行业佼者,聚焦前沿技术的落地与理论实践,持续为您解读云时代热点技术,探秘行业发展新机。 在2005年的时候...

    腾讯云DNSPod团队
  • 安全资讯|Firefox默认为美国用户通过HTTPS打开DNS

    Mozilla已经开始默认为美国所有用户在其Firefox浏览器上推出使用DNS over HTTPS(DoH)协议,以增强他们在网络上的隐私和安全性。Mozi...

    用户5836910
  • 域名、解析、证书、备案等产品常见问题

    请参考关于腾讯云免费SSL证书在IIS部署中提示 " 证书链中的一个或多个中间证书丢失 " 的解决办法

    Im小泽
  • 十问DNSPod:18岁,腾云入海!

    S 阿D,你的生日是不是快到了? S 给你准备了一份生日礼物? 对呀,我今年就18岁了! D 让我来看看是什么惊喜? D 点击打开阿D的生日礼物 ??...

    腾讯云DNSPod团队
  • DGA域名的今生前世:缘起、检测、与发展

    恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generat...

    绿盟科技研究通讯
  • 用腾讯云服务器搭建属于你的AdGuard Home与AdGuard Home的设置

    用SSH工具连接服务器,在终端按顺序输入如下命令即可手动编译安装AdGuard Home

    MORA博客
  • 代码注释的艺术,再也不怕被说代码可读性差啦!

    可能现在不管大家去面试还是在公司上班都会涉及到代码可读性,或者是代码规范。优秀的代码注释可以提高代码可读性,当然优秀的命名规范也可以啦。我们这里就讨论一下代码注...

    拾贰
  • 代码注释的艺术,再也不怕被说代码可读性差啦!

    可能现在不管大家去面试还是在公司上班都会涉及到代码可读性,或者是代码规范。优秀的代码注释可以提高代码可读性,当然优秀的命名规范也可以啦。我们这里就讨论一下代码注...

    拾贰
  • 好棒,测试妹子都能看懂的Jenkins Docker安装教程

    最近团队出了个线上BUG,导致了几个用户的订单不对,因为发现的及时,客服那边还没有接到投诉就修正过来了。所以就想贿赂测试妹子这次BUG能不能不往上报,要不然我还...

    KevinYan

扫码关注腾讯云开发者

领取腾讯云代金券