我们很难记住每个人的电话号码。在大多数情况下,您需要一个地址簿来连接人员的姓名和号码。 DNS 服务器执行与地址簿类似的功能,将URL 转换为IP,并让程序知道它需要连接的服务器(或服务器不存在)所在的位置。
最简单的DNS请求流程
随着互联网技术的飞速发展,任何人在上网时遇到以下情况的可能性丝毫没有减少。
从官网下载内容时,要下载的地址不是官网地址而是一系列IP地址,下载的内容可能不是最新的。打开网站后,您可能会注意到网站内的某些广告质量明显低于其他广告,或者网页内的内容明显被屏蔽。如果您打开错误的网站,将会打开一个充满广告的页面。网站中的广告数量经常与网站整体不太匹配,并且有一些页面无法打开(无法解析URL),但过了一段时间后情况就会好转。这些问题通常与您的家庭DNS 设置有关。
为什么会出现这个问题呢?
只要您连接到Internet,您的Internet 服务提供商(也称为ISP)就会向您颁发两个DNS 地址。这是运营商DNS。
电话号码对应,URL 和IP 对应DNS 服务器。随着互联网技术的飞速发展,DNS服务器也经历了漫长的发展周期,拿出了更多更好的功能,让用户可以自由地浏览互联网。
每个运营商几乎在每个城市都部署了自己独立的DNS服务器,因此同一运营商在不同城市分配的DNS服务器地址也会有所不同。此外,大多数人对内容交付网络(我们称之为CDN)的了解是它们有两个主要角色。首先是帮助用户尽快访问他们想要访问的内容。通过允许用户尽快访问他们想要访问的内容,这可以降低主服务器(其自己的网络位置和上下文)的带宽要求和维护成本。一个运营商的DNS应该是最准确、最合适、响应时间最短的,准确的说是能够快速访问到你想要访问的内容所在的附近服务器。
中国电信路由表- 来源http://bgp.he.net
每个城市维护一台DNS服务器的成本自然不小,因此运营商经常更改DNS结果,从而导致了文章开头提到的问题。运营商这样做主要是为了降低成本。当然,由于相邻的DNS服务器没有及时扩展或者维护不善,也可能会出现上述情况。
使用公共DNS 服务来解决此问题
解决此问题的最简单方法是使用公共DNS 服务。
公共DNS 服务器通常由大公司或非营利组织构建。由于公共DNS的本质是将查询请求转发到更权威的DNS,因此这些公司或组织提供的公共DNS服务器通常会提供更安全和准确的结果。
当然,由于资金限制,公共DNS 服务器并非在所有城市都可用。当然,在某些情况下,使用公共DNS 服务解析的IP 并不是最快的。下图显示了使用运营商DNS 和阿里云公共DNS 解析的同一URL(time-ios.apple.com 是CDN 优化的网站)显示了两种截然不同的延迟结果。
DNS返回结果对比
快速提示:如何快速找出特定服务器的延迟?
使用ping 命令
Ping是一种计算机网络工具,用于测试数据包是否可以通过IP协议到达特定主机。根据成功响应的时间和次数估计丢包率(丢包率)和数据包往返时间(网络延迟、往返延迟时间)。
ping 直接连接到任何操作系统的内置终端(或命令提示符)。使用此功能时,用户只需使用ping + 网站/IP 地址(例如ping 17.253.84.251)并按Enter 键即可。结果。
因此,在选择公共DNS时,您应该记住以下几点:
在线率:DNS 服务器,也称为SLA 或可靠性,是连接URL 和IP 的唯一手段。如果在线率不够高,可能会遇到URL无法解析的情况。上网变得不一致。响应速度:当您访问一个新网站时,该网站的DNS响应速度直接影响您当前网站的直观加载速度。准确性:即使不考虑DNS 污染或中毒,网站访问的DNS 结果准确也非常重要。 CDN易用性:ECS也称为ECS或EDNS,帮助您获得最准确的CDN解析结果。这也是我选择公共DNS时最重要的一点。 DNS出口位置:在没有ECS的情况下,CDN的权威DNS根据公共DNS使用的请求IP(即DNS出口)确定运营商和位置,从而返回最近的节点IP。 ECS 减少了返回结果所需的时间,并使CDN 确定更加准确。由于篇幅限制,以下图基于RFC规范(IBM Quad9 DNS除外),有多个响应位置(360公共DNS除外),规模较大且相对准确(故意投毒)。不是。更重要的是,CDN友好的公共DNS服务。延误情况由每个地点的运营商决定,因此请自行测试。
推荐的公共DNS 服务器
使用安全的公共DNS 服务解决此问题
但是,在存在严重DNS 问题的位置,将运营商DNS 更改为公共DNS 可能无法解决本文开头的问题。
这是因为,与之前的http协议类似,DNS流量没有加密,因此运营商或第三方无法清楚地知道它发起了DNS请求,想要知道xxx网站的地址就可以。下图展示了发起DNS请求的过程。您可以清楚地看到您请求的URL(以十六进制代码显示,右侧为转义结果)。
定期DNS 查询
与https 流量类似,加密DNS 流量可防止运营商看到您的DNS 请求。 DNS over HTTPS (DoH) 和DNS over TLS (DoT) 技术使这成为可能。他们使用行业范围内的安全协议HTTPS(超文本传输安全)和TLS(传输层安全)向DNS 服务器发送DNS 请求。在整个发送过程中,运营商或第三方只知道发起者和目的地,而不知道用户甚至发起DNS请求的其他任何信息。同时,HTTPS和TLS使用网络数字证书来证明对方的身份。这可以防止第三方在发送过程中更改DNS 请求的内容和最终结果。确保您的请求的结果最终是您想要的。
DoH 和DoT 不仅为DNS 经常被运营商或第三方劫持的人们提供安全可靠的DNS 解析,还为高度重视隐私的人们提供在线安全,还可以弥补隐私保护流程的最后一个缺陷。
下图是当前支持DoH 或DoT 的DNS 服务器列表。
推荐的安全DNS 服务器
如何使用DoH 和DoT 技术?
对于iOS 设备
访问App Store并下载Cloudflare应用程序(也称为1.1.1.1)后,您可以打开应用程序并直接打开开关,即可享受Cloudflare提供的DoH服务。
通过Cloudflare 使用安全的公共DNS 服务器
Adguard iOS 版本用户可以手动选择DNS 服务器(需要提前订阅)。转到Adguard iOS 版本的设置,选择DNS,然后选择适当的DNS 服务器。当然,您也可以手动输入自定义DNS 服务器。 (支持DoH 和DoT),使用此功能。
Adguard 在iOS 中使用安全的公共DNS 服务器
对于安卓
对于Android 9 及更高版本,进入无线和网络,选择指定的加密DNS 服务(某些设备可能称为私有DNS),然后选择DNS over TLS 即可输入地址。
Android 9及以上版本可直接配置
对于Android 9 之前的版本,或者如果您没有指定加密DNS 服务,您可以访问任何主要应用商店下载并设置Intra 应用。转至内部设置,选择DNS over HTTPS 服务器,然后输入或选择您的DNS over HTTPS 服务器。
通过内部使用安全的公共DNS 服务器
当然,如果您是Adguard Android版本的用户,可以进入Adguard Android版本设置,选择DNS,选择合适的DNS服务器。与iOS版本类似,您也可以手动输入自定义DNS。适合您自己的DNS 服务器。
Adguard 通过Android 使用安全的公共DNS 服务器
对于macOS Windows
对于完全不熟悉终端命令并希望在macOS 或Windows 上进行安全可靠分析的用户来说,Firefox 浏览器是目前唯一的选择。转至Firefox 设置、常规- 网络设置- 设置,然后选择启用基于HTTPS 的DNS。这将在Firefox 中打开DoH 服务。
通过Firefox 使用安全的公共DNS 服务器
当然,拥有更大用户群的Chrome未来也会在实验性设置中提供支持的选项(撰写本文时Chrome的官方版本是77,但从78版本开始将提供支持选项) )。这是一个实验配置,正式版本78将于10月22日推送)。打开Chrome,在地址栏中输入chrome://flags/#dns-over-https,按Enter键,然后从右侧的下拉箭头中选择“启用”。这将在Chrome 78 中打开DoH 服务。
在Chrome 中打开DoH
如果您有自己的代码库,您还可以选择DNScrypt 作为您的本地DNS 客户端,以提供安全可靠的DNS 解析。当然,如果你想更深入地理解代码,想为你的整个家庭或公司提供安全的DNS,那么红鱼的这篇文档就特别适合。当然,我们希望未来这两大操作系统能够添加相应的设置,以提供额外的安全选项。
这就是本文的内容,我希望它可以帮助那些了解DNS 当前状态并因DNS 被劫持或默认DNS 变得难以使用而遇到麻烦的人。
版权声明:本文由今日头条转载,如有侵犯您的版权,请联系本站编辑删除。