主题
1 DOT DOH 介绍说明
1.1 为什么 DNS 需要额外的安全层?
DNS 是互联网的电话簿;DNS 解析器将人类可读的域名转换为机器可读的 IP 地址。默认情况下,DNS 查询和响应以明文形式(通过 UDP)发送,这意味着它们可以被网络、ISP 或任何能够监视传输的人读取。即使网站使用 HTTPS,也会显示导航到该网站所需的 DNS 查询。
这种隐私上的欠缺对安全有着巨大影响,在某些情况下也会影响人权;如果 DNS 查询不是私密的,则政府可以更轻松地审查互联网,而攻击者也可以跟踪用户的网上行为。 ![[Pasted image 20230418115528.png]] 未经加密的普通 DNS 查询可以比作通过邮件发送的明信片:处理邮件的任何人都可能瞥见背面写的文字,因此邮寄包含敏感或私密信息的明信片不是明智的做法。
基于 TLS 的 DNS 和基于 HTTPS 的 DNS 是为加密明文 DNS 流量而开发的两个标准,可以防止恶意方、广告商、ISP 和其他人解读其数据。继续上面的比喻,这些标准的目的是将邮寄的明信片放在信封内,以便任何人都可以寄送明信片,而不必担心有人窥探到明信片的内容。
![[Pasted image 20230418115550.png]]
1.2 什么是基于 TLS 的 DNS?
基于 TLS 的 DNS 或 DoT 是加密 DNS 查询以确保其安全和私密的一项标准。DoT 使用安全协议 TLS,这与 HTTPS 网站用来加密和认证通信的协议相同。(TLS 也称为“SSL”。)DoT 在用于 DNS 查询的用户数据报协议(UDP)的基础上添加了 TLS 加密。此外,它确保 DNS 请求和响应不会被在途攻击篡改或伪造。
1.3 什么是基于 HTTPS 的 DNS?
基于 HTTPS 的 DNS 或 DoH 是 DoT 的替代标准。使用 DoH 时,DNS 查询和响应会得到加密,但它们是通过 HTTP 或 HTTP/2 协议发送,而不是直接通过 UDP 发送。与 DoT 一样,DoH 也能确保攻击者无法伪造或篡改 DNS 流量。从网络管理员角度来看,DoH 流量表现为与其他 HTTPS 流量一样,如普通用户与网站和 Web 应用进行的交互。
2020 年 2 月,Mozilla Firefox 浏览器开始默认为美国用户启用 DoH。来自 Firefox 浏览器的 DNS 查询由 DoH 加密并转到 Cloudflare 或 NextDNS。其他几个浏览器也支持 DoH,尽管默认情况下它不会开启。
1.4 等等,HTTPS 不也是将 TLS 用于加密的?基于 HTTPS 的 DNS 和基于 TLS 的 DNS 有何区别?
这两项标准都是单独开发的,并且各有各的 RFC* 文档,但 DoT 和 DoH 之间最重要的区别是它们使用的端口。DoT 仅使用端口 853,DoH 则使用端口 443,后者也是所有其他HTTPS 流量使用的端口。
由于 DoT 具有专用端口,因此即使请求和响应本身都已加密,具有网络可见性的任何人都发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的。
* RFC 代表“征求意见”,RFC 是开发人员、网络专家和思想领袖为标准化互联网技术或协议而进行的集体尝试。
1.5 什么是端口?
在网络中,端口是计算机上的虚拟位置,开放给来自其他计算机的连接。每台联网计算机都有标准数量的端口,并且每个端口都保留用于特定类型的通信。
这可以比作港口中船舶的泊位:每个运输泊位都有编号,不同种类的船舶应该要前往特定的运输泊位来卸货或下客。网络中同样如此:某些类型的通信应该前往特定的网络端口。区别在于网络端口是虚拟的;它们是用于数字连接而非物理连接的地方
1.6 DoT 和 DoH 哪个更好?
这有待商榷。从网络安全的角度来看,DoT 可以说是更好的。它使网络管理员能够监视和阻止 DNS 查询,这对于识别和阻止恶意流量非常重要。另一方面,DoH 查询隐藏在常规 HTTPS 流量中;这意味着,若不阻止所有其他 HTTPS 流量,很难阻止它们。
但从隐私角度来看,DoH 可以说是更可取的。使用 DoH 时,DNS 查询隐藏在较大的 HTTPS 流量中。这削弱了网络管理员的可见性,但增强了用户的隐私性。
1.1.1.1 是 Cloudflare 的免费 DNS 解析器,同时支持 DoT 和 DoH。
1.7 基于 TLS/HTTPS DNS 和 DNSSEC 之间有何区别?
DNSSEC 是一组安全扩展,用于验证与 DNS 解析器通信时 DNS 根服务器和权威名称服务器的身份。它旨在防止 DNS 缓存中毒以及其他攻击,不会加密通信。另一方面,基于 TLS 或 HTTPS 的 DNS 会对 DNS 查询进行加密。1.1.1.1 也支持 DNSSEC。
若要进一步了解 1.1.1.1,请参阅什么是 1.1.1.1?
2 DNS DOT 地址 整理
2.1 国内公共 DNS
2.1.1 腾讯 DNS
腾讯 DNS 基于 BGP Anycast 技术,不论用户身在何地,都可就近访问服务。支持谷歌 ECS 协议,配合 DNSPod 权威解析,可以给用户提供出最准确的解析结果,承诺不劫持解析结果。
markdown
1. IPv4:119.29.29.29
2. DoH:https://doh.pub/dns-query
3. DoH:https://1.12.12.12/dns-query
4. DoH:https://120.53.53.53/dns-query
5. DoH:https://sm2.doh.pub/dns-query (国密)
6. DoT:dot.pub
7. DoT:1.12.12.12
8. DoT:120.53.53.532.1.2 阿里DNS
阿里 DNS 线路支持包括电信、移动、联通、鹏博士、广电网、教育网及海外 150 个国家或地域,支持用户 ECS 扩展技术,智能解析;支持 DoT/DoH 协议,保护用户隐私,安全防劫持。
markdown
1. IPv4:223.5.5.5
2. IPv4:223.6.6.6
3. DoH:https://223.5.5.5/dns-query
4. DoH:https://223.6.6.6/dns-query
5. DoH:https://dns.alidns.com/dns-query
6. DoT:dns.alidns.com2.1.3 DNS
markdown
1. DoH:https://doh.360.cn/dns-query
2. DoT:dot.360.cn2.1.4 CFIEC DNS
markdown
1. DoH:https://dns.cfiec.net/dns-query
2. DoT:dns.cfiec.net2.1.5 红鱼rubyfish DNS
markdown
1. DoH:https://rubyfish.cn/dns-query
2. DoH:https://dns.rubyfish.cn/dns-query
3. DoT:dns.rubyfish.cn2.1.6 台湾Quad 101
markdown
1. IPv4:101.101.101.101
2. IPv4:101.102.103.104
3. DoH:https://dns.twnic.tw/dns-query2.2 国外DNS
2.2.1 google DNS
markdown
1. IPv4:8.8.8.8
2. IPv4:8.8.4.4
3. DoH:https://dns.google/dns-query
4. DoT:dns.google2.2.2 IBM Quad9
Quad9 DNS 服务由总部位于瑞士的 Quad9 基金会运营(IBM是主要赞助商之一),Quad9 系统都不会记录包含您 IP 地址的数据,如果您的系统支持,Connections 可以使用加密,整个 Quad9 平台的设计符合 GDPR。
markdown
1. #推荐:Malware Blocking、DNSSEC Validation(这是最典型的配置)
2. IPv4:9.9.9.9
3. IPv4:149.112.112.112
4. DoH:https://dns.quad9.net/dns-query
5. DoT:dns.quad9.net
7. #使用 ECS 保护:恶意软件阻止、DNSSEC 验证、启用 ECS
8. IPv4:9.9.9.11
9. IPv4:149.112.112.11
10. DoH:https://dns11.quad9.net/dns-query
11. DoT:dns11.quad9.net
13. #不安全:没有恶意软件阻止,没有 DNSSEC 验证(仅限专家!)
14. IPv4:9.9.9.10
15. IPv4:149.112.112.10
16. DoH:https://dns10.quad9.net/dns-query
17. DoT:dns10.quad9.net2.2.3 👍CleanBrowsing DNS
CleanBrowsing 帮助他们在家中创建自己的家庭友好网络,为孩子创造安全在线体验。永远免费,没有跟踪。
markdown
1. #安全保护:阻止对网络钓鱼、垃圾邮件、恶意软件和恶意域的访问。
2. IPv4:185.228.168.9
3. IPv4:185.228.169.9
4. DoH:https://doh.cleanbrowsing.org/doh/security-filter/
5. DoT:dns.cleanbrowsing.org
7. #成人保护:阻止访问所有成人、恶意和网络钓鱼网站。它不会阻止代理、混合内容网站(如 Reddit)
8. IPv4:185.228.168.10
9. IPv4:185.228.169.11
10. DOH:https://doh.cleanbrowsing.org/doh/adult-filter/
11. DOT:dns.cleanbrowsing.org
13. #家庭保护:阻止访问所有成人、恶意、网络钓鱼、混合内容网站(如 Reddit)、阻止用于绕过过滤器的代理、Google、Bing 和 Youtube 设置为安全模式。
14. IPv4:185.228.168.168
15. IPv4:185.228.169.168
16. DoH:https://doh.cleanbrowsing.org/doh/family-filter/
17. DoT:dns.cleanbrowsing.org2.2.4 👍OpenDNS
markdown
1. IPv4:208.67.222.222
2. IPv4:208.67.220.220
3. DoH:https://doh.opendns.com/dns-query
4. DoH:https://doh.familyshield.opendns.com/dns-query2.2.5 Cloudflare DNS
markdown
1. IPv4:1.0.0.1
2. IPv4:1.1.1.1
3. DoH:https://1.1.1.1/dns-query
4. DoH:https://1.0.0.1/dns-query
5. DoH:https://cloudflare-dns.com/dns-query
6. DoT: one.one.one.one
7. DoT: 1dot1dot1dot1.cloudflare-dns.com2.2.6 AdGuard DNS
AdGuard DNS 是屏蔽互联网广告的安全方法。它不需要您安装任何应用程序。在任何设备上都设置简单、使用便捷、免费,并且为您提供屏蔽广告、计数器、恶意网站和成人内容的功能。
markdown
1. #无过滤,不拦截
2. IPv4:94.140.14.140
3. IPv4:94.140.15.15
4. DoH:https://dns-unfiltered.adguard.com/dns-query
5. DoT:dns-unfiltered.adguard.com
6. DoQ:dns-unfiltered.adguard.com
8. #过滤广告和跟踪
9. IPv4:94.140.14.14
10. IPv4:94.140.15.15
11. DoH:https://dns.adguard.com/dns-query
12. DoT:dns.adguard.com
13. DoQ:dns.adguard.com
15. #家庭过滤:开启安全搜索和安全模式选项、拦截成人内容,并且屏蔽广告和跟踪器
16. IPv4:94.140.14.15
17. IPv4:94.140.15.16
18. DoH:https://dns-family.adguard.com/dns-query
19. DoT:dns-family.adguard.com
20. DoQ:quic://dns-family.adguard.com2.2.7 DNS.SB
markdown
1. IPv4:185.222.222.222
2. IPv4:45.11.45.11
3. DoH:https://doh.dns.sb/dns-query
4. DoH:https://doh.sb/dns-query
5. DoT:dot.sb2.2.8 PowerDNS
markdown
1. DoH:https://doh.powerdns.org2.2.9 日本 IIJ DNS
markdown
1. DoH:https://public.dns.iij.jp/dns-query2.2.10 日本 Blahdns
markdown
1. DoH:https://doh-jp.blahdns.com/dns-query3 设置DNS,DOT ,DOH
3.1 windows
windows 设置有系统级别设置和浏览器级别的设置,我认为dns本来就是解析ip用的,而且电脑需要dns的基本都是浏览器,别的地方也没什么,加上系统级别的设置太繁琐,所以在这里我只记录浏览器的dns设置。 注意:设置前请先ping一下dns的域名或者ip,确保可用。
edge ![[Pasted image 20230418125851.png]]
firefox ![[Pasted image 20230418130132.png]]
Google Chrome ![[Pasted image 20230418130209.png]]
3.1.1 android
小米
![[Pasted image 20230418131705.png]]