网络安全
DNS over HTTPS(DoH)
别称: DoH
定义
通过加密 HTTPS 连接传输 DNS 查询和响应的协议,防止其在本地网络上被窃听或篡改。
DoH(RFC 8484)将标准 DNS 查询封装在发往支持 DoH 的解析器的 HTTPS 请求中,通常使用 443 端口。由于流量与普通 Web 流量无异,难以被选择性拦截,并且在客户端与解析器之间端到端加密。这样可阻止中间人攻击者、强制门户或 ISP 观察或重写 DNS 查询。DoH 本身不验证数据的真实性(这是 DNSSEC 的职责),但能保护查询机密性。一些企业反对 DoH,因为它绕过本地 DNS 过滤与可视化;缓解措施包括强制使用受管解析器、阻断已知公共 DoH 端点,或通过 DDR 下发安全 DNS 策略。
示例
- 浏览器配置为通过 DoH 使用 Cloudflare 1.1.1.1,无论操作系统解析器如何,所有 DNS 查询均被加密。
- 因设备通过 DoH 解析名称,移动运营商无法注入基于 DNS 的广告重定向。
相关术语
DNS over TLS (DoT)
DNS over TLS (DoT) — definition coming soon.
DNSSEC
一组对 DNS 区域数据进行加密签名的扩展,使解析器能够验证 DNS 响应的真实性与完整性。
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。