首先,什么是 DNS?
DNS(域名系统)就像互联网的“电话簿”,把我们输入的地址(比如 www.google.com)翻译成 IP 地址(比如 142.250.72.196),这样你的电脑才能访问网站。
DNS 的问题是什么?
默认的 DNS 查询是明文传输的,像写在明信片上一样:
容易被监听(别人能看到你访问了什么网站);
容易被篡改或劫持(比如你想访问 Google,结果被引导到钓鱼网站);
所以就有了 DNSSEC、DoH、DoT 来解决这个问题。
️ DNSSEC(DNS Security Extensions)
✅ 通俗解释:
DNSSEC 是给 DNS 加上“防伪标签”。
比如你收到一封信,信封上有发件人的签名和印章(数字签名),你就能确定它没被别人篡改过。
✅ 它解决的问题:
确保 DNS 响应 没有被篡改;
防止假冒 IP 地址(比如有人用假 IP 冒充银行官网);
❗它的限制:
它 不加密查询内容,别人仍然能看到你查了什么;
只验证“数据的真伪”,不保护“传输过程”;
DoH(DNS over HTTPS)
✅ 通俗解释:
DoH 就是把你的 DNS 查询藏在网页流量里,通过 HTTPS 发送出去,别人很难区分你是在访问网站,还是在查域名。
就像你把明信片装进了加密信封,还和普通网页混在一起邮寄。
✅ 它的好处:
查询内容是加密的,别人看不到你访问了什么;
能绕过一些 DNS 劫持(比如运营商的广告注入);
❗可能的副作用:
有些网络/公司会禁止 DoH;
你用了 DoH,系统就不再用原来的 DNS 设置了,可能影响局域网解析;
DoT(DNS over TLS)
✅ 通俗解释:
DoT 就是专门为 DNS 查询开一条加密隧道,不像 DoH 藏在 HTTPS 里,而是独立通信,但也是加密的。
像是你单独用一个加密包裹寄 DNS 明信片。
✅ 它的好处:
查询过程完全加密;
独立通信,便于网络管理员管理;
和 DoH 一样能防止监听、劫持;
❗对比 DoH 的区别:
特点
DoH
DoT
使用的端口
443(网页端口)
853(专门的 DNS 端口)
是否“隐蔽”
更隐蔽(混在网页里)
不隐蔽
适用场景
浏览器、隐私优先
操作系统级、网络环境友好