我们很难记住每个人的电话号码。很多时候,我们需要一个通讯录来帮助我们联系一个人的名字和号码。DNS服务器做的事情和通讯录一样,帮助我们把URL转换成IP,让程序知道他们需要链接的服务器在哪里(或者服务器不存在)。
最简单的DNS请求流程
随着互联网技术的飞速发展,人们在上网时遇到以下情况的概率丝毫没有降低:
从官网下载内容的时候,下载的地址是一串 IP 而不是官网地址,而且下载下来的内容有的时候不是最新的。打开一个网站以后,网站内有部分广告质量明显不如其他的广告,或者明显遮挡了网页中的内容输错网站打开一个全是广告的页面网站内的广告画风和整个网站完全不搭经常性地遇到有些页面打不开(无法解析这个网址),但是过了一会儿又好了。
其中许多问题都与您的DNS设置有关。
为什么会出现这些问题
只要你连上了互联网,互联网服务提供商(又称ISP,以下简称运营商)就会给你发两个DNS。这是运营商DNS。
对应于电话,并且DNS服务器将URL对应于IP。随着互联网技术的飞速发展,DNS服务器也经历了漫长的发展,衍生出更多更好的功能,让用户可以自由上网。
每个运营商几乎在每个城市都会部署自己独立的DNS服务器,这也是为什么同一个运营商在不同城市分布的DNS服务器地址也不一样的原因。另外,运营商知道内容分发网络的位置(也就是我们常说的CDN,CDN主要起两大作用。第一是让用户能够以最快的速度访问到自己想要的内容,第二是降低主服务器的带宽和维护成本)和自己网络的情况。所以运营商的DNS返回的结果应该是:最准确最合适,响应时间短,CDN分析结果最准确的简单来说就是你可以快速访问你附近的服务器,里面有你要访问的内容。
中国***由表-来源http://bgp.he.net
每个城市维护一台DNS服务器的成本自然不会那么小,所以运营商往往会对DNS结果进行改动,从而产生了文章开头提到的问题。那么运营商主要是想降低成本。当然还有一种情况是附近的DNS服务器没有及时扩容或者维护不好,导致了上面的情况。
使用公共DNS服务解决此问题
解决这个问题最快的方法就是使用
公共DNS服务
。
公共DNS服务器一般是由大公司或者非盈利组织设置的。公共DNS的本质是将你的查询请求转发给上游的权威DNS,所以这些公司或机构提供的公共DNS服务器一般更安全、更准确。
当然,由于资金限制,不会在每个城市都有一个公共DNS服务器。你自然会遇到公共DNS服务解析的IP不是最快的情况。下图是运营商DNS解析同一个URL的结果和阿里云公共DNS(time-ios.apple.com是CDN优化的网站)解析两个不同延迟的结果:
DNS返回结果的比较
温馨提示:如何快速知道自己到达某个服务器之间的延迟?
使用ping命令
Ping是一种计算机网络工具,用于测试数据包是否可以通过IP协议到达特定主机。根据响应成功的时间和次数,估算丢包率(丢包率)和包往返延迟时间(往返延迟时间)。
ping会直接附加在任何操作系统的内置终端(或命令提示符)上
。使用时,用户只需使用ping+URL /IP地址(如Ping 17.253.84.251)并按回车键即可得到结果。
因此,在选择公共DNS时,我们应该注意以下几个方面:
在线率:也被叫做 SLA 或者可靠性,DNS 服务器作为将网址和 IP 联系起来的唯一手段,如果在线率不够高,那么时不时就会遇到的无法解析网址的情况,大大降低网上冲浪的乐趣和连贯性。响应速度:在访问一个新的网站时,DNS 对这个网站的响应速度会直接影响到当前网站的直观加载速度。准确性: 即使不考虑 DNS 污染和投毒,DNS 对网站访问的结果是否准确是非常重要的。CDN 友好性:也被叫做 ECS 或是 EDNS,ECS 有助于帮助你获取最准确的 CDN 解析结果,这个也是我在挑选公共 DNS 最为看重的一点。DNS 出口位置: 在没有 ECS 的情况下,CDN 的权威 DNS 会根据公共 DNS 使用的请求 IP(也就是 DNS 出口)来判定你的运营商、你所在的位置,从而返回距离你最近的节点 IP。在有 ECS 的情况下,返回结果的所需要的时间会更低,CDN 判断会更准确。
由于篇幅的限制,下图只介绍了符合RFC的(不包括IBM Quad9 DNS),大型的有多个响应站点的(不包括360公共DNS),准确率相对较好的(不是故意中毒),更重要的是
CDN友好的
公共DNS服务。延迟是每个地方每个运营商决定的,请自行测试。
推荐的公共DNS服务器
使用安全的公共DNS服务来解决这个问题
但是在一些DNS问题比较严重的地方,把运营商DNS改成公共DNS未必能解决本文开头的问题。
这是因为
我们的DNS流量没有加密
。就像之前的http协议一样,运营商或者第三方可以清楚的知道我们发起了DNS请求,我们想知道xxx网站的地址。下图显示了发起DNS请求的过程。可以清楚的看到我请求的是什么URL(以十六进制代码显示,右侧为转义后的结果)。
常见的DNS查询
如果我们加密我们的DNS流量,就像https流量一样,那么运营商不会知道我们的DNS请求。这就是
DNS over HTTPS
(以下简称
DoH
)和
DNS over TLS
(以下简称
DoT
)技术所要做的。他们分别使用HTTPS(超文本传输安全协议)和TLS(传输层安全协议),这两个业界常见的安全协议,将我们的DNS请求发送到DNS服务器。或者运营商或者第三方在整个传输过程中只能知道发起方和目的方,其他的都知道,甚至不知道是你发起了DNS请求。同时,HTTPS和TLS都会使用网络数字证书来保证对方的身份,这样在传输过程中就没有第三方可以修改DNS的请求内容和最终结果
。确保你要求的结果是你最终想要的。
DoH和DoT不仅可以为经常被运营商和第三方劫持的人提供安全可靠的DNS解析结果,还可以为极其看重隐私的人补上网络隐私保护过程中的最后一块短板。
下图是当前支持DoH或DoT的DNS服务器列表。
推荐的安全DNS服务器
我应该如何使用DoH和DoT技术
适用于iOS设备
可以去App Store下载Cloudflare App(也称1.1.1.1)。下载后打开应用,直接打开开关,即可享受Cloudflare提供的DoH服务。
通过Cloudflare使用安全的公共DNS服务器。
Adguard iOS的用户可以手动选择DNS服务器(需要高级订阅),转到Adguard iOS的设置,选择DNS,然后选择适当的DNS服务器。当然,你也可以选择手动输入自定义DNS服务器(DoH和DoT都支持)来使用这个功能。
通过Adguard iOS使用安全的公共DNS服务器
用于Android
Android 9及以上,可以去***和网络,选择指定的加密DNS服务(部分设备可能命名为:private DNS),只需通过TLS输入DNS的地址即可。
Android 9及以上可以直接设置。
Android 9以下版本,或者没有指定加密DNS服务的,可以去各大应用市场下载Intra应用并配置。前往内部设置,选择HTTPS服务器上的DNS,然后输入或选择HTTPS服务器上的DNS。
通过Intra使用安全的公共DNS服务器。
当然,如果你是安卓版AdGuard的用户,可以去安卓版AdGuard的设置,选择DNS,然后选择合适的DNS服务器。和iOS版本一样,也可以选择手动进入自定义DNS服务器,使用更合适的DNS服务器。
通过Adguard Android使用安全的公共DNS服务器
用于***cOS和Windows
对于完全不熟悉终端命令,现在又想在***cOS或Windows上获得安全可靠的分辨率的用户来说,火狐浏览器是目前唯一的选择。进入火狐设置,通用-网络设置-设置,选择启用基于HTTPS的DNS,从而在火狐上打开DoH服务。
通过Firefox使用安全的公共DNS服务器
当然,用户基数更大的Chrome未来也会在实验设置中提供相应的选项(本文撰写时Chrome正式版为77,从78版开始在实验设置中提供相应的选项,10月22日推送78正式版)。打开你的Chrome,在地址栏输入chrome://flags/#dns-over-https,回车,在右边的下拉箭头中选择Enable。这就打开了Chrome 78上的DoH服务。
在Chrome中打开DoH
如果您有自己的代码库,也可以选择DNScrypt作为本地DNS客户端,以提供安全可靠的DNS解析。当然,如果你对代码有更深入的理解,想为整个家庭或公司提供一个安全的DNS,那么Redfish的这个文档特别适合你。当然,我希望这两个操作系统在未来能够增加相应的设置,为我们提供额外的安全选项。
本文来自水中明月投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/550044.html
微信扫一扫 
