如何设置dns地址,手把手教你如何设置一个安全的dns
我们很难记住每个人的电话号码,而且大多数时候我们需要一个地址簿来帮助我们连接一个人的姓名和电话号码。 DNS 服务器与地址簿做同样的事情,帮助我们将 URL 转换为 IP,让程序知道它们需要链接的服务器在哪里(或者该服务器不存在)。
最简单的DNS请求流程
随着互联网技术的飞速发展,人们上网时遇到以下情况的概率并没有降低:
从官网下载内容时,下载的地址是一串IP地址而不是官网地址,下载的内容有时不是最新的。打开网站后,网站上的一些广告质量明显不如其他广告,或者网页内容明显被屏蔽。错误类型的网站会打开一个充满广告的页面。遇到了一些打不开的页面(无法解析URL),不过用了一段时间就好了。其中许多问题与您家的 DNS 设置有关。
为什么会出现这些问题
只要你连接到互联网,互联网服务提供商(也称为ISP,以下简称:运营商)会给你下发两个DNS,即运营商DNS。
对应电话,DNS服务器将URL映射到IP。随着互联网技术的飞速发展,DNS服务器也经历了长期的发展,产生了更多更好的功能,让用户可以自由上网。
每个运营商几乎在每个城市都部署了自己独立的DNS服务器,这就是为什么同一运营商分布在不同城市的DNS服务器地址也不同的原因。另外,运营商对内容分发网络(也就是我们常说的CDN)最为熟悉。CDN主要有两个作用。第一是让用户以最快的速度访问到自己想访问的内容。重点是降低主服务器所需的带宽和维护成本)和自身网络的情况,所以运营商的DNS返回的结果应该是:最准确、最合适、响应时间最短、CDN解析最多结果。准确地说,简单地说:您可以快速访问您附近的服务器,其中包含您要访问的内容。
中国电信的路由表-源图
在每个城市维护一台DNS服务器的开销自然不小,所以运营商经常对DNS结果进行改动,造成文章开头提到的问题。运营商这样做主要是为了降低成本。当然,还有一种情况是附近的DNS服务器没有及时扩容或者维护不善,导致出现上述情况。
使用公共 DNS 服务来解决这个问题
解决此问题的最快方法是使用公共 DNS 服务。
公共 DNS 服务器通常由大公司或非营利组织构建。公共 DNS 的本质是将您的查询请求转发到更权威的上游 DNS,因此通常这些公司或组织提供的公共 DNS 服务器可以提供更安全、更准确的结果。
当然,由于资金限制,并非每个城市都提供公共 DNS 服务器。自然会出现使用公共 DNS 服务解析的 IP 不是最快的情况。下图展示了使用运营商DNS解析相同URL的结果和使用阿里云公共DNS(是CDN优化的网站)解析两个完全不同的延迟的结果:
DNS返回结果对比
提示:如何快速知道我到达某个服务器之间的延迟?
使用 ping 命令
ping 是一种计算机网络工具,用于测试数据包是否可以通过IP协议到达特定主机。根据成功响应的时间和次数估算丢包率( loss rate)和包往返时间( delay, Round-trip delay time)
ping 将直接附加到任何操作系统的内置终端(或命令提示符)。使用时,用户只需使用 ping + URL/IP 地址(如 ping 17.253.@ >84.251) 回车即可结果。
因此,在选择公有DNS的时候,要注意以下几个方面:
在线率:也称为 SLA 或可靠性,DNS 服务器是链接 URL 和 IP 的唯一方法。如果上网率不够高,会时不时遇到网址解析不出来的情况,大大减少了上网。乐趣和连贯性。响应速度:访问新网站时,DNS对该网站的响应速度将直接影响当前网站的直观加载速度。准确性:即使不考虑 DNS 污染和中毒,DNS 结果对网站访问的准确性非常重要。 CDN 友好性:ECS 也称为 ECS 或 EDNS,可以帮助您获得最准确的 CDN 解析结果,这也是我选择公共 DNS 最重要的一点。 DNS出口位置:在没有ECS的情况下,CDN的权威DNS会根据公网DNS使用的请求IP(即DNS出口)来确定你的运营商和你的位置,从而返回离你最近的节点的IP给你。在ECS的情况下,返回结果所需的时间会更短,CDN的判断也会更准确。限于篇幅,下图只介绍符合RFC规范的(不包括IBM Quad9 DNS)、有多个响应位置的(不包括360公网DNS)、较大且相对准确的(不要故意下毒)他们)。 ),更重要的是对 CDN 友好的公共 DNS 服务。延迟由各地各运营商决定,请自行测试。
推荐的公共 DNS 服务器
使用安全的公共 DNS 服务解决此问题
但是,在一些DNS问题比较严重的地方,将运营商DNS换成公有DNS可能并不能解决本文开头的问题。
这是因为我们的DNS流量没有加密,就像之前的http协议一样,运营商或者第三方仍然可以清楚的知道:我们发起了DNS请求,想知道xxx网站的地址。下图显示了发起 DNS 请求的过程。可以清楚的看到我请求的是什么URL(16进制显示,右边是转义后的结果)
普通的 DNS 查询
如果我们加密我们的 DNS 流量,就像 https 流量一样,那么运营商就不会知道我们的 DNS 请求。这就是 DNS over HTTPS(以下简称 DoH)和 DNS over TLS(以下简称 DoT)技术所做的。它们分别使用 HTTPS(超文本传输安全)和 TLS(传输层安全)这两种行业范围的安全协议将我们的 DNS 请求发送到 DNS 服务器。在整个传输过程中,运营商或第三方只能知道始发者和目的地,而其他一切都知道,甚至连你发起的DNS请求都不知道。同时,HTTPS 和 TLS 都使用网络数字证书来保证对端的身份,使第三方无法在传输过程中修改 DNS 请求的内容和最终结果。确保你请求的结果最终是你想要的。
DoH和DoT不仅可以为DNS经常被运营商和第三方劫持的人提供安全可靠的DNS解析结果,还可以为非常重视隐私的人弥补在线隐私保护过程中的最后一个短板.
下图是目前支持DoH或DoT的DNS服务器列表
推荐的安全 DNS 服务器
我应该如何使用 DoH 和 DoT 技术
适用于 iOS 设备
您可以去App Store下载应用程序(也称为1.1.1.1),下载后打开应用程序,打开从提供的 DoH 服务切换到享受。
通过使用安全的公共 DNS 服务器
iOS版用户可以手动选择DNS服务器(需要付费订阅),进入iOS版的设置,选择DNS,然后选择合适的DNS服务器,当然你也可以选择手动输入自定义DNS服务器(DoH 和 DoT)使用此功能。
在 iOS 中使用安全的公共 DNS 服务器
对于
对于 9 及以上版本,您可以进入无线和网络,选择指定加密的 DNS 服务(某些设备可能被命名为:私有 DNS),然后输入 DNS over TLS 地址。
9及以上版本可直接设置
9以下的版本,或者没有指定加密DNS服务的,可以到各大应用市场下载Intra应用进行配置。进入 Intra 的设置,选择 DNS over HTTPS 服务器,输入或选择 DNS over HTTPS 服务器。
通过 Intra 使用安全的公共 DNS 服务器
当然,如果你是版本用户,可以进入版本设置,选择DNS,然后选择合适的DNS服务器。和iOS版一样,也可以选择手动输入自定义DNS服务器,更适合使用自己的DNS服务器。
通过使用安全的公共 DNS 服务器
对于 macOS 和
对于完全不熟悉终端命令的用户,现在想在macOS或macOS上得到安全可靠的解析,那么浏览器是目前唯一的选择,进入设置,通用-网络设置-设置,选择基于HTTPS DNS启用,即开启DoH服务。
通过使用安全的公共 DNS 服务器
当然,用户群比较大的,以后也会在实验设置中提供相应的选项(撰写本文时官方版本是77,从78版本开始,会在实验设置中提供相应的选项)实验设置,并在实验设置中提供78正式版。将于10月22日上线)。打开你的,在地址栏中输入://flags/#-over-https,回车,然后从右侧的下拉箭头中选择。这将在 78 上打开 DoH 服务。
在中打开 DoH
如果您有自己的代码库,也可以选择作为本地 DNS 客户端,提供安全可靠的 DNS 解析。当然,如果你对代码有更深入的了解,想为全家人或公司提供安全的 DNS,那么 的这份文档特别适合你。当然,我希望未来两大操作系统能够添加相应的设置,为我们提供额外的安全选项。
