安全 DNS

传统 DNS 由于采用了 UDP 协议,以及 53 公开端口,导致很容易被运营商劫持,或者被不知道哪里的设备来一个抢先应答... 许多厂商也包括标准化组织一直在想办法改进它:

1. DNSSEC,这个提出得最早,目的之一是确认应答的有效性。我理解这个方案解决了权威域名解析的安全基础架构,但还得依赖于为最终用户提供服务的转发服务器的实现
2. DNS over TLS & DNS over HTTPS(HTTP/2),这两项技术保障用户访问转发服务的安全传输,是 DNS 安全体系中另外重要的一环。DoT 是传统 DNS tcp 协议传输增加 TLS 通道,DoH 具体实现则有两个变种,当前正在标准化的阶段
3. 国际几个 Public Resolver 大厂都支持上述两类连接,包括 1.1.1.1、9.9.9.9,以及谷歌的 8.8.8.8

4. 但是在本地解析服务的部署上,变化要缓慢得多。当前几个重要的进展是:a) Android Pie 支持 DoT;b) systemd-resolved release-239 支持 DoT(2018年6月);c) firefox 62 将正式支持 DoH

安全 DNS 是安全网络环境的起点,由于我在过去配置家庭路由器中碰到的种种不靠谱,打算自己搞一个安全 DNS 服务,希望能为净化大环境起到一些微小的贡献

在当前这个时间点,要使用上安全 DNS 对普通人还是有一点费劲,要做的事情不仅仅是架 Server,而应该是一整套解决方案。正在摸索中...