DNS over TLS (DoT)

Q: DNS over TLS (DoT) 是什么?

在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。 它属于网络安全的 网络安全 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

DNS over TLS (DoT) 是什么?

DNS over TLS (DoT)在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。

DNS over TLS 由 RFC 7858 定义,在 TLS 保护的 TCP 连接上传输标准 DNS 报文到递归解析器,通常使用 853 端口。TLS 提供机密性和完整性,使本地网络或上游路径上的观察者无法查看或修改查询。与 DoH 不同,DoT 使用专用的知名端口,在网络层易于识别并放行或拦截,这一特性深受企业管理员和家庭路由器厂商欢迎。DoT 可抵御对查询的被动监听和路径上的伪造攻击,与 DNSSEC 验证结合后,能够同时提供机密性和来源真实性。

● 示例

01
Android 手机配置「私人 DNS」主机名,使所有查询通过 TLS 离开设备。
02
家庭路由器把每一次客户端查询转发到 853 端口的 DoT 解析器。

● 常见问题

DNS over TLS (DoT) 是什么?

在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。它属于网络安全的网络安全分类。

DNS over TLS (DoT) 是什么意思?

在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。

如何防御 DNS over TLS (DoT)?

针对 DNS over TLS (DoT) 的防御通常结合技术控制与运营实践,详见上方完整定义。

DNS over TLS (DoT) 还有哪些其他名称?

常见的别称包括: DoT, RFC 7858。

● 相关术语

● 另见

DNS 泄漏