DNS与加密DNS解析：原理、优缺点及设置指南

网络知识

首先，当对一个域名进行访问时，例如example.com。

不是直接访问example的服务器。

而是需要向DNS服务器询问一个问题。

这个域名对应的ip地址是哪里？

而DNS会回答这个问题。这个域名对应的ip地址是x.x.x.x 。

然后设备会去访问x.x.x.x。

这就已经完成一次DNS解析。

但这有一个缺陷，因为在向DNS服务器询问问题时，的问题，以及服务器回答的答案，都是以明码的方式传送，（TCP/UDP信息交互方式）

这就意味着，网络提供商，例如：中国电信，中国移动，中国联通，校园网的提供商，都能不费吹灰之力知道你现在在访问哪个网站。

DNS

加密DNS的原理还是和上述的完全一样，还是去问DNS服务器一个问题。

但不一样的是，现在问题会通过某些协议加密之后和DNS服务器进行通信。

虽然网络提供商仍然能看见你的信息，但是他们只能看见一串加密过后的乱码。

这些信息只能由DNS服务器上的公钥以及客户端的私钥可以解开，知道其中的内容是什么。

私密性和安全性这些就不多赘述了。

它会在DNS解析阶段增加10ms左右的延迟，让平均40ms上下的单次DNS解析时间变成50ms左右。

但这和它带来的私密性相比，完全可以忽略不计。这部分延时的来源是加密和解密需要一定时间。

并不是所以设备都支持加密DNS，最常见的有俩种加密协议，

一种是DNS over TLS基于TLS协议进行加密。

另外一种是 DNS over HTTPS 基于HTTPS协议进行加密。

DoT协议更多的适配在手机上。

DoH协议更多适配在电脑上。

一些国内常用的加密DNS。

腾讯云

DoT地址：https://doh.pub/dns-query

DoH地址：dot.pub

阿里云

DoT地址：dns.alidns.com

DoH地址：https://dns.alidns.com/dns-query

等等

如果实在找不到在哪里更改自己的DNS设置呢，

也不用焦虑，一般默认的DNS提供商是你的网络提供商，例如是中国移动的手机卡，那就默认会使用中国移动的DNS服务器。

虽然网络提供商提供的DNS，没有加密这些，

但有一个其他DNS提供商无法比拟的优点，

那就是延时极低，一般单次DNS解析时间在5ms甚至更低，比使用这些公共DNS提供商的DNS还要快很多，

你可能感受不到30ms到40ms的变化，但你肯定能感受到从5ms到30ms的变化。

所以，不切换DNS提供商也不会有很大问题啦。

也可以搭建一个私人DNS，实现通过DNS反广告以及对DNS的精确控制。

B站文章地址。