什么是DNS over HTTPS?
DNS over HTTPS(简称DoH)允许通过HTTPS协议进行DNS解析,如RFC8484中所述。DoH的目标之一是增加用户的隐私,通过HTTPS解析DNS查询。
从攻击的角度来看,使用DoH时,可执行请求:
向已知的且值得信赖的一方发送请求(例如Google)
可以从中控制响应
通过SSL加密的信道
如果被检查的话,那就变得不显眼
除了这些特征之外,信孚科技发现许多已实施SSL检查的客户因各种原因(Google产品中的证书,流量负载,隐私等)将所有Google域排除在检查范围之外。总而言之,这使得DoH通过谷歌成为触发Payload的理想信道。
下面,信孚科技将为大家介绍google浏览器chrome和Mozilla浏览器Firefox启用 DNS over HTTPS 的方法:
利用谷歌的 dns-over-https 实现无污染 dns
需要用到的工具
1,dingo 将 dns udp 查询转化成谷歌的 https 查询
( https://github.com/pforemski/dingo )
2,谷歌 IP,查询的速度快慢就取决于它了
3,dnsmasq
4,linux
配置 dnsmasq
port=53
no-resolv
server=127.0.0.1#5353
然后执行 dingo
dingo -port=5353 -gdns:server=<谷歌 IP> -gdns:edns=<本地外网 IP 段> -gdns:sni=dns.google.com
如果想要在后台执行,在上面的命令前加上
screen -dmS dingo
Firefox 启用 DNS over HTTPS 的方法
首先,需要 Firefox Nightly 版本,也就是 60.0 或更新的版本:
https://www.mozilla.org/en-US/firefox/channel/desktop/
然后打开 about:config 修改以下三处:
network.trr.mode
如果你想只用 DNS over HTTPS 做所有的 DNS 查询,那么修改为 3
如果想用传统 DNS 作为 fallback,那么修改为 2
作为实验的目的,这里推荐你修改为 3 试试。
network.trr.uri
修改为 https://1.1.1.1/dns-query
network.trr.bootstrapAddress
修改为 1.1.1.1
然后重启 Firefox。如何测试是否生效呢?首先试试能不能正常访问你平常去的那些网站,然后打开下面这个网站:
https://www.ipleak.net/
其中有一个 DNS Address 泄漏检测功能,如果你之前把 network.trr.mode 设置为 3 的话,那么恭喜你,你在这里会看到 0 servers。
HTTPS是目前互联网最安全的网络传输协议,而部署https现在最流行的方式就是采用ssl证书。信孚科技是Comodo、Symantec、GeoTrust、GlobalSign等全球信任的颁发机构(CA)的国内代理商,为国内企业和个人提供优质低价的SSL证书服务。强大的技术支持团队,可为国内站点提供完善的技术支持服务。