跳转到主要内容

DNS over HTTPS

本文约需 2 分钟阅读

DNS over HTTPS (DoH) 是一种利用 HTTPS 协议加密 DNS 查询的技术,而 DNS 查询以往是以明文方式收发的。它能防止 ISP 和网络管理员拦截或篡改用户访问的网站,从而保护隐私。它于 2018 年作为 RFC 8484 标准化,Firefox 在同年开始支持后普及速度加快。截至 2025 年,几乎所有主流浏览器都支持 DoH,Windows 11 和 macOS 也在推进操作系统层面的 DoH 支持。

现场使用案例

“我们发现了一个问题:在公司网络上启用了 DoH 的浏览器正在绕过 DNS 过滤。我们通过组策略阻止访问外部 DoH 解析器,并切换为由内部 DNS 服务器提供 DoH 的配置。”

DoH 流程

浏览器生成 DNS 查询
通过 HTTPS (TLS) 加密后发送
DoH 解析器 (Cloudflare / Google) 进行名称解析
返回加密的响应
ISP 和网络管理员无法拦截查询内容

历史背景

传统 DNS 自 1983 年设计之初就未考虑加密,查询内容以明文形式在网络上传输。这使得DNS 欺骗以及 ISP 收集浏览记录在技术上变得容易。 2018 年 Mozilla 在 Firefox 中实现了 DoH, 2020 年 Google Chrome 和 Microsoft Edge 也提供了支持。如今 Cloudflare (1.1.1.1)、 Google (8.8.8.8)、 Quad9 (9.9.9.9) 提供主要的 DoH 解析器。DNS 安全入门书 (Amazon)可供系统性学习。

优点与挑战

DoH 最大的优点是防止 DNS 查询被窃听和篡改,并提升隐私。另一方面,对企业安全管理员而言,存在内部网络的 DNS 过滤被绕过的风险。也有报告称恶意软件利用 DoH 隐藏 C2 通信。在企业环境中,建议在由内部 DNS 服务器提供 DoH 的同时,阻止访问外部 DoH 解析器。请用强随机密码保护 DNS 设置的管理界面,全面强化DNS 安全网络隐私相关书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena