当前位置：首页 > news >正文

DNS,DNS污染劫持,DNS加密

news 2026/4/6 8:21:01

1. DNS（Domain Name System）

DNS（Domain Name System），也叫网域名称系统，是互联网的一项服务。它实质上是一个域名和 IP 相互映射的分布式数据库.

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

DNS 有以下特点：

分布式的

协议支持 TCP 和 UDP，常用端口是 53

每一级域名的长度限制是 63

域名总长度限制是 253

1.1 DNS 解析流程

1.2 域名注册商

一般我们要注册域名，都要需要找域名注册商，比如说我想注册 hello.com，那么我需要找com域名注册商注册hello域名。com的域名注册商不止一家，这些域名注册商也是从ICANN 拿到的注册权，参见如何申请成为.com域名注册商

那么，域名注册商和权威域名解析服务器有什么关系呢？

域名注册商都会自建权威域名解析服务器，比如你在狗爹上申请一个.com下的二级域名，你并不需要搭建nameserver，直接在godaddy控制中心里管理你的域名指向就可以了，原因就是你新域名的权威域名服务器默认由域名注册商提供。当然你也可以更换，比如从godaddy申请的境外域名，把权威域名服务器改成DNSPod，一方面加快国内解析速度，另一方面还能享受DNSPod 提供的智能解析功能

2. DNS污染、DNS劫持

两者最大的区别，DNS 污染是阻断你访问网站，目的是不让你访问；DNS 劫持则是让你访问一个虚假的李鬼网站，或者在你访问的网站上擅自插入自己的广告，以及私自增加 DNS 缓存时间等。

2.1 DNS 污染

又称域名服务器缓存投毒（DNS cache poisoning），是指把域名指往不正确的 IP 地址。比如张三的手机号明明是 11 位的中国电信手机号码，通讯录却写的是 10 位数的美国人赫本的手机号，跨国长途自然是打不通或者打通了也不是张三的结果。

2.2 DNS 劫持

DNS 劫持一般是提供上网服务的运营商所为，用户查询 DNS 时，返回修改后的指定 IP 地址，网页无法打开或者打开的是一个假网站，或插入自己的广告。

比如张三是卖茶叶的，你找张三想买一些茶叶，通过通讯录打过去，结果通讯录从中使坏，将手机号写成了也是卖茶叶的李四，最终你以为买的茶叶是张三的，实际上茶叶是李四。

3. DNS 加密方式：DoH/DoT

3.1 DoH 和 DoT

传统 DNS 查询数据以明文方式传输，容易被污染和劫持，非常的不安全；使用加密 DNS 可以避免运营商的劫持，以及使用大数据分析你所有访问的网站详情。

DoH 全称 DNS Over HTTPS，使用 HTTPS 应用层协议代替传统的无连接无加密的 UDP 模式，保护 DNS 数据传输安全，可有效避免域名被运营商劫持、DNS 缓存投毒等域名安全问题。

DoT 全称 DNS over TLS，安全原理与 DoH 一样都是使用 TLS 协议来传输 DNS 协议；采用固定的 853 端口，特征明显；比 DOH 少了一层 HTTP，理论上性能略高于 DOH。

3.2 公共加密 DNS 服务

目前已有多个国内外公共 DNS 提供加密 DNS 服务，如：

国内的：只能保证不劫持国家地方联合工程研究中心的 IPv6 公共 DNS、腾讯 DNS (DNSPod)、阿里 DNS (Alidns)云、360 安全 DNS ；

国外的：多数国内不可用 Google Public DNS、Cloudflare DNS、Quad9 DNS、OpenDNS 等；

Reference

https://www.ruanyifeng.com/blog/2016/06/dns.html

一文搞懂 DNS 基础知识，收藏起来有备无患

DNS解析过程详解