DNS-over-HTTPS(DoH)简析与配置

Author Avatar
Sophon 4月 15, 2019
| keyboard本文共:2.5k字 | query_builder阅读时间≈9分 |
  • 在其它设备中阅读本文章

本文同步发布于 Heliumの博客,到我的博客阅读体验更佳QwQ

DNS是什么

DNS(Domain Name System)是一项网络服务,用途是对全球各个网站的域名进行解析。如果听不懂上面这句话也没关系,接下来会讲解。如果你是网络方面的大牛可以直接跳过或关闭此网页。

简明易懂的DNS

举个例子,从前有个叫小明的人(目测此人已累死),开了一家商店。一开始顾客要去购物时,就直接去商店里买。

但由于网络环境的复杂性,让顾客直接记住地址是不太可能的。(你试试看?)于是就有人动了脑筋,推出了一样类似DNS的服务:你只需要说出地点(小明杂货店),服务商就会开车送你去目的地。

很多大公司实际上都推出了这份服务,例如阿里,百度,谷歌,Cloudflare等。

实际网络中的DNS,则是向服务器询问域名,而服务器返回IP地址。

顺便推荐几个质量好的良心DNS如下:

Cloudflare DNS:

1.1.1.1, 1.0.0.1

Google Public DNS:

8.8.8.8, 8.8.4.4

OpenDNS

208.67.222.222, 208.67.220.220

DNS查询

看到这里你可能有疑惑了,难道每一台DNS服务器都储存了很多IP地址和域名的对应吗?不是。一这很浪费空间,二这样很难更新。

以我的博客地址keepthethink.github.io为例,当你输入地址后:

1.你的电脑首先会去询问DNS服务器;

这个“DNS服务器”可能在任何地方,可能就在你家的路由器上,也有可能在万里之遥的灯塔国QwQ(如果你是非酋

当然,一般来讲你的路由器上不会真的有一个DNS服务端,如果你在本地登录912.168.0.1或192.168.1.1,你就会看到在“DNS”设置那一栏会有你的ISP的DNS地址(当然,如果你想把它换成公共DNS也可以,但要为你自己的网速负责。)

2.DNS服务器询问所谓“根服务器”;

根服务器询问.io域名的权威服务器;

.io域名的权威服务器询问.github.io域名的权威服务器;

.github.io域名的权威服务器将IP告知你的电脑;

OK

(这套措施实在是找不到合适的比喻,看不懂就跳过吧。)

注意事项

如果你访问的是一些比较国际化的网站,而且还使用了国外的DNS服务器,有可能会会给你分配个国外的IP地址。

举个最基础的例子:Hexo博客在注册网址时,进行的国内外分流。这是不排除某些睿智国外DNS不管三七二十一给你个国外地址的情形。

DNS缓存

这么干,空间的确节省了很多,但效率显然就更慢了。所以,DNS服务器中一般有个“缓存”,当你重复询问同一个网址时,直接找出缓存记录并答复。当然,每个一定的时间会更新缓存。

既然这套措施已经很完美了,那DoH是干嘛的?别急,马上就讲。

DNS劫持与HTTP劫持

DNS劫持:当DNS不那么老实

打个比方:

从前有个叫小刚的,他也开了家杂货店;

小刚发现小明的杂货店有很多客户,分外眼红,便拿钱贿赂了DNS服务商,于是,当顾客要求DNS服务商将其带到“小明杂货店”是,DNS会不管三七二十一将其带到“小刚杂货店”。在网络中,则是DNS服务器故意给出错误的IP地址。

这显然是无计可施的,一般来说,遇到这种人品烂的掉渣的服务商,最好的办法就是换一家,好在这年头网络条件不错,大多数DNS都不搞这种事。

但是,对于DNS劫持,刚才讲的一种情况并非最常见的,最常见的事下面这种:

假设只有服务商A收了贿赂,而服务商B没有。当你向DNS服务商B打电话时,你的电话服务商将其转接到服务商A,那你就前功尽弃了。唯一的方法是使用DNS-over-HTTPS,后面会讲解。

HTTP劫持:当ISP不那么老实

假设你向DNS服务器打了个电话,“我要去小明杂货店。”结果你的电话服务商窃听了这句话,得知了你的行程;甚至将其修改为“我要去小刚杂货店。”,然后你就不明不白的被带到了另一个地方。

在这种情况下,你的DNS服务商是老实可靠的,但你的ISP(网络服务提供商)则不那么可靠。当然,一般的ISP并没有那么猖狂,他们最多不过是往你身上塞几张奇♂怪♂的广♂告♂(想必大家都有这样的经历。)你有时候会不会发现你看到的广告就是最近曾经关注过的事物?

你也许会说,可以修改DNS来解决这个问题,但如果你的ISP让 Google Public DNS 跳转到 ... 之类与其同流合污的DNS地址怎没办?图样图森破。

注意

有哪些进行HTTP劫持的ISP?基本上都有:移动,联通,电信,天下乌鸦一般黑,呵呵。
一个极其明显的例子如下:

yunyingshangjiechi04.jpg

这种劫持的关键在于,DNS服务器与你之间的链接为“明文传输”,而非“加密传输”。这就导致每一个环节上的人都能随意修改你的链接。幸运的是,在生产力高度发达的9102年,加密技术早已像烂柿子一样成熟了,如HTTPS。

DoH的具体原理

DoH的具体原理其实就是在DNS外面套一层HTTPS。(而且更慢了)即流程变成了

你的电脑 -> DoH服务器 -> DNS服务器 -> DoH服务器 -> 你的电脑

以上流程中的一个箭头代表一个HTTPS加密链接,使得该过程中的所有流量皆受到强加密,这样一来,除非拖出量子计算机或智子,否则绝无可能被破解。

(当然,如果HTTPS本身出现漏洞,流量自然就会被破解。但这样一来所有与网络有关的事务都会彻底崩溃,不多你一个。)

提示

  1. 本人电脑为macOS + Firefox,亲测有效。
  2. 新疆OIer会因为某些原因而无法使用DoH。

在Firefox浏览器中体验DoH

首先,把你的Firefox Quantum更新到最新版。(废话)

点击右侧的“菜单”,就是那个三条横线的图标;

在菜单里点击“首选项”;

进入“常规”选项;

滚动页面到最下方,选择“网络设置”;

在弹出窗口的最下方选择“启用基于HTTPS的DNS”,点击“使用默认值”即可。

在Google Chrome中体验DoH

遗憾的是,直到这篇科普写完时,Chrome仍然不支持直接配置DoH。如果你希望使用Chrome,请参见下面的教程。

在Windows上使用DoH

想再Windows上使用DoH?直接安装Firefox不就好了?

当然,如果你是一名狂信徒,非要使用其他浏览器,我这里倒是有个思路:

  1. 买一台服务器,系统是Linux。

  2. 在服务器上重复“在Linux中体验DoH”中的方案

  3. 把你的DNS服务器地址设为你的服务器的公网IP地址

当然,可能你自己得花点钱。

在macOS中体验DoH

首先,为了安装必要的组件,我们首先要安装Homebrew软件包管理器。在终端中输入:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

安装完成后,输入以下命令安装cloudflared:

brew install cloudflare/cloudflare/cloudflared

等待安装,这段时间内你可以去换(chuan)件(shang)衣(nv)服(zhuang)。

然后,我们要修改一下配置文件,新建一个文件/usr/local/etc/cloudflared/config.yaml,输入如下内容:

proxy-dns: true
proxy-dns-upstream:
  - https://1.1.1.1/dns-query
  - https://1.0.0.1/dns-query

(顺便提一下,如果1.1.1.1和1.0.0.1两个都连不上,可以把网址删除换成https://dns.google.com/experimental试试,

好了不要吵了我知道这是天方夜谭)

配置结束,启动服务:

sudo cloudflared service install

QED!现在你的电脑已经成了一台DoH服务器,高兴的话你也可以把它当作DNS服务器来用。打开 系统首选项 -> 网络 -> 高级 -> DNS,在列表的最顶端添加 127.0.0.1 即可。

在Linux中体验DoH

同macOS,但安装时一定要记得加PPA源~

DoH的使用测试

用dig命令测试一下,发现DOH的使用体验还是相当不错的。对域名www.google.com的查询结果如下:

$ dig @127.0.0.1 www.google.com

; <<>> DiG 9.10.6 <<>> @127.0.0.1 www.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48175
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
; PAD: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (".................................................................")
;; QUESTION SECTION:
;www.google.com.            IN    A

;; ANSWER SECTION:
www.google.com.        66    IN    A    216.58.194.196

;; Query time: 165 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 16 16:33:38 CST 2019
;; MSG SIZE  rcvd: 142

注意最下方几行:165毫秒的查询时间不可谓不快。

总结

事实上,如果你饱受各种小广告弹窗之苦,DoH是个不错的应对措施;

如果你的运营商直接进行DNS劫持,建议投诉或诉诸法律;

如果你的运营商进行HTTP劫持,推荐DoH。

点个赞再走吧(๑•́₃ •̀๑)

版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 许可协议。转载请注明出处!
本文链接:https://keepthethink.github.io/archives/2251452003/