wking's blog

  • 文章分类
    • 日常随笔
    • IT技术
    • 系统封装
    • 大航海时代
  • 关于博主
GOD'S IN HIS HEAVEN, ALL'S RIGHT WITH THE WORLD.
  1. 首页
  2. IT技术
  3. 正文

DNS、DoT、DoH协议测试方法

2023-02-23 1588点热度 5人点赞 0条评论

本文主要是DNS、DoT、DoH协议测试方法备忘录。为什么需要DoT和DoH参见CloudFlare的文章《基于 HTTPS 的 DNS 和基于 TLS 的 DNS | 安全 DNS》。

各种DNS协议信息

DNS协议DNS over UDPDNS over TCPDNS over TLSDNS over HTTPS
通信协议UDPTCPTLSHTTPS
默认端口5353853443
DNS协议

DNS默认是53端口UDP协议的,或也可以指定为TCP协议,这两种都是明文传输,性能高但安全性低。因此DoT是用TLS协议包装了DNS UDP数据包,利用证书达到数据加密和防止中间人篡改伪造。由于TLS协议是网页传输https使用的协议,所以DoH在DoT之上又包装了一层,将数据包完全伪装为使用https协议的网页浏览数据包,因而必须使用443端口。

DOT和DoH虽然安全性高,但仍然无法抵挡墙。由于DoT使用独立端口853,因此只需要屏蔽所有853端口流量即可。DoH伪装为https协议,中间人虽然看不到https数据包的具体内容,但仍然可以获知https数据包发往哪个域名,因此屏蔽几个DNS提供商的DoH域名即可。

所需工具

dig和nslookup只能查询UDP和TCP协议的DNS,所以需要使用第三方小工具dog(https://dns.lookup.dog)。

dog查询命令

dog.exe 要查询的域名 @DNS服务器域名或IP:端口 -协议。如果是UDP协议或默认端口可以不特别写明。

1
2
3
4
5
6
7
8
9
10
协议:
-U, --udp Use the DNS protocol over UDP
-T, --tcp Use the DNS protocol over TCP
-S, --tls Use the DNS-over-TLS protocol
-H, --https Use the DNS-over-HTTPS protocol
 
dog google.com @dns.google # UDP
dog google.com @dns.google -T # TCP
dog google.com @dns.google -S # DoT 完整协议格式 tls://dns.google:853
dog google.com @dns.google -H # DoH 完整协议格式 https://dns.google/dns-query
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: 暂无
最后更新:2023-03-01

wking

不管博客型博主

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

目录
  • 各种DNS协议信息
  • 所需工具
    • dog查询命令
标签聚合
大航海时代 wordpress 一支红杏 C++ win10 linux R6300V2 OneNote

COPYRIGHT © 2024 wkings.blog. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang