热门关键词:

Google提供DNS-over-TLS服务,DNS over TLS怎么用有什么好处

01-11
01-11,数码Google提供DNS-over-TLS服务,DNS over TLS怎么用有什么好处最新消息报导,手机发烧友数码

DNS能把网址转换为IP位址,不好的DNS可能需要查询多台伺服器才能得到正确资料,造成速度瓶颈。而Google在八年前就公开了这个问题,那有什么用呢?一起来看一下吧。
Google在大约8年前开始提供公共DNS服务,有助于增加一般使用者使用网路、浏览网页的速度,而近期Google也着手导入DNS-over-TLS服务,透过TLS加密技术,将DNS的通讯进行加密保护,让使用者上网的隐私与安全更加有保障。

 

等等,这是什么绕口令?其实8.8.8.8是Google提供的公共DNS服务,2018年8月正好是它的8周年纪念。或许有些读者曾经有过把电脑的DNS伺服器改成8.8.8.8,上网速度就变快了的经验,倒底DNS是什么呢?

 

DNS的全名为Domain Name System,中文翻译为网域名称系统,简单地说它的功能如同网路世界的电话簿,能将网址转译为IP位址。

 

IP位址是分配给连上网路的装置所使用的数字标签,各装置之间需要知道彼此的IP位址才能互相沟通。以目前比较普遍的IPv4位址为例,是由32位元的数字组成,会分成4组并以10进位方式书写,例如「208.80.152.2」,而下一世代的IPv6位址,则是128位元的数字,并以8组16进位方式书写,例如

 

由于人类不容易记住这种长串数字,所以我们才会使用如「https://www.techbang.com」这样的文字来作为连到网站时所用的网址,并透过DNS将网址转换为IP位址。

▲ DNS能把网址转换为IP位址,不好的DNS可能需要查询多台伺服器才能得到正确资料,造成速度瓶颈。

 

DNS保障更上层楼

 

根据IETF(Internet Engineering Task Force,网际网路工程任务小组)的RFC 7858备忘录记载,在2016年5月当时,几乎所有的DNS流量都未经加密,容易形成资安弱点并降低隐私保障,即便有DNSSEC(Domain Name System Security Extensions,域名系统安全扩充)让使用者能够验证DNS伺服器的资料,避免攻击者窜改回传的IP位址,进而引导至恶意网页,但仍无法避免窃听的问题。

 

DNS-over-TLS的概念相当简单,在客户端与主机建立连线的过程中,双方会选用众所周知的通讯埠,并同意透过TLS对谈(Session)来保护DNS连接、传输资料时的安全,杜绝攻击者窃听的可能。 Google也为了确保使用者的安全与隐私,公共DNS服务,导入这个措施。

 

使用者可以选择严格或宽松等2种不同的DNS-over-TLS设定范本,前者的DNS伺服器需要遵循RFC 8310的网域名称验证规范,在853埠建立TLS安全连线,否则会让DNS服务失效。后者则会透过DHCP等方式取得DNS组态设定,并会在无法建立安全连线时,自动改采UDP或TCP与标准的53埠与DNS通讯,具有通用性较高的优点,但缺点是客户端不会验证伺服器的真实性,让安全性打些折扣。

 

为了提升服务效能,Google也参考了IETF RFC 7766备忘录,透过使用TLS1.3(可提升连线速度与增加安全性)、TCP快速开启(TCP Fast Open)、多重查询管线化(Pipelining of Multiple Queries) 、乱序回应等方式,降低使用TLS所造成的效能虚耗。

▲ DNS-over-TLS可以增加上网的安全与隐私保障。

 

目前Google已经开放Android 9装置使用DNS-over-TLS,使用者只要到「设定-> 网路-> 进阶-> 私密DNS」中,在伺服器名称填入「dns.google」并存档即可,较旧版Android则不支援DNS-over-TLS。

 

至于其他装置的使用者,可以手动将IPv4的DNS伺服器设为8.8.8.8、8.8.4.4.,IPv6则为2001:4860:4860::8888、2001:4860:4860::8844,一样也可以享受DNS-over-TLS的保障。

  • 赞助商广告