当你输入一个网址,满怀期待地按下回车,屏幕另一侧返回的却是一个完全陌生的钓鱼网站,或者干脆弹出一堆看不懂的安全警告——这种体验糟透了,背后往往是一次成功的DNS攻击。域名系统(DNS)作为互联网的“电话簿”,其设计之初并未充分考虑安全,查询过程如同在明信片上写字,谁都能看,谁都能改。DNSSEC和DoH/DoT这两项技术,正是为了给这个脆弱的基础设施穿上防弹衣,它们从不同层面协作,共同构筑起域名安全的护城河。
你可以把传统的DNS查询想象成去一个没有保安的档案馆借阅文件。管理员递给你一份声称是“原件”的复印件,但你根本无法验证其真伪。DNSSEC(域名系统安全扩展)的核心作用,就是为每一份“复印件”提供一个无法伪造的数字签名。
它通过公钥密码学,为DNS记录建立了一条完整的信任链。根域名服务器用自己的私钥为其直属的顶级域(如.com)签名,顶级域再用自己的私钥为下一级域名(如example.com)签名,如此层层递进。当你的递归解析器(比如你的运营商DNS)向权威服务器查询时,它会一并收到记录和对应的数字签名。解析器会利用预先配置且公开的根密钥,沿着信任链逐级验证签名的有效性。
这个过程彻底杜绝了“DNS缓存投毒”这类经典攻击。攻击者无法再伪造一个看似正确的IP地址响应,因为生成不了能被信任链验证的有效签名。这就像档案馆的每一页文件都加盖了带有特殊防伪油墨的印章,任何篡改都会让印章失效。
DNSSEC解决了“数据真实性”的问题,但查询过程本身依然是透明的。你的ISP、咖啡馆的路由器,甚至路径上的任何节点,都能清楚看到你在查询“bank.com”的IP地址。这带来了隐私泄露和中间人攻击的风险。
DoH(DNS over HTTPS)和DoT(DNS over TLS)应运而生,它们的目标是解决“查询隐私性”。简单说,它们把你的DNS查询请求,封装在成熟的HTTPS或TLS加密通道中进行传输。
这意味着,即便你身处不安全的公共Wi-Fi,也没人能轻易知道你正在访问哪个网站,更无法在途中篡改你的查询结果。想象一下,你把要借阅的书名写在加密的信封里递给管理员,整个过程无人知晓。
假设攻击者想劫持你对“pay.example.com”的访问。在未受保护的环境下,他可以在你的查询响应途中,注入一个指向他控制的钓鱼服务器的IP地址。
但如果你的域名启用了DNSSEC,他伪造的响应无法通过签名验证,你的设备会直接拒绝并报错。更进一步,如果你同时使用了DoH/DoT,攻击者甚至很难精准定位并劫持你的DNS查询包,因为它们在加密流中毫不起眼。
这里有个常见的误解,认为DoH/DoT可以替代DNSSEC。其实不然,它们是互补关系。DoH/DoT保护的是从你的设备到递归解析器这段“最后一公里”的隐私和安全;而DNSSEC保护的是从递归解析器到权威服务器,乃至整个DNS层级数据的完整性。
你可以拥有一个加密的查询通道(DoH),但通道尽头返回的数据仍然可能是被篡改过的垃圾。只有结合DNSSEC的签名验证,才能确保你拿到的东西是原装的。反过来,DNSSEC也无法保护你的查询内容不被本地网络窥探。两者结合,才真正实现了从“查询”到“响应”全链路的安全与隐私保护。
部署这两项技术已不再是大型科技公司的专利。越来越多的域名注册商和云服务商提供一键开启DNSSEC的支持,而主流的浏览器和操作系统也已内置对DoH/DoT的支持。检查你的域名控制台,或许只需点击一个开关,就能为你的数字门面加上第一把可靠的锁。
参与讨论
这个解释太清楚了,终于搞懂DNSSEC和DoH的区别了👍
我家路由器一直开着DoT,但原来还得配合DNSSEC才完整
所以光用HTTPS网站还是不够安全?中间还能被劫持?🤔
现在很多公共Wi-Fi都监控流量,这下知道为啥要开DoH了
不是说Cloudflare和Google DNS早就支持这些了吗?普通用户怎么选啊
笑死,我连自己域名都没注册过,先学着点个赞 😂
作者说得对,这两技术真不是二选一,得一起上才行
求问iOS怎么强制开启DoH啊,设置里找不到入口