您的路由器会在您浏览网页时发出 DNS 请求。但是,默认情况下,您的 ISP 会看到您的所有搜索和网址。您可以更改 DNS 设置以提高安全性和隐私性。
试试它们;他们是免费的
什么是 DNS 服务器?
DNS(动态名称系统)服务器是一种自动将人类可读的网址转换为 IP 地址的服务。这很重要,因为在家中和互联网上,每个网络设备都有一个IP地址。将IP地址用作人类将很乏味。即使我们能记住它们,我们也会打错它们。这就是设计域名系统的原因。
当您尝试连接到网站时,路由器会检查该网站的详细信息是否在其缓存中。如果没有,它会通过将网站的域名发送到 DNS 服务器来发出 DNS 请求。DNS 服务器查找域名,找到 IP 地址,并将其发送回您的路由器,以便它可以尝试连接到托管网站的 Web 服务器。
实际上,它更复杂。默认情况下,您的路由器连接到的 DNS 服务器是您的互联网服务提供商提供的 DNS 前体服务器。
如果前体服务器没有将网站的详细信息保存在自己的缓存中,它会向 DNS 根名称服务器发送请求。根名称服务器使用可以处理所请求网站的顶级域(.COM、.INFO、.ORG 等)的顶级域服务器列表来响应前体服务器。前体服务器向该列表中的顶级域服务器之一重复其请求。
顶级域服务器使用实际保存域详细信息的 DNS 权威名称服务器的名称进行响应。然后,前体服务器再次向权威名称服务器发出请求,以最终获取 IP 地址。
在我们的示例中,此人试图访问某个网站,但对于由域名标识的任何 Web 资源(例如电子邮件服务器)也是如此。
DNS、安全和隐私
使用 ISP 的默认 DNS 服务器会对隐私和安全产生影响。
DNS 请求中的数据未加密,即使某些附加的元数据已加密。中间人攻击或ISP的爱管闲事的员工可以非常轻松地暴露和审查您的在线活动。这已经够糟糕的了,但是使用ISP的DNS服务器也会削弱您的安全性。
一些最常见的以 DNS 为中心的网络攻击是:
- 分布式拒绝服务:这会产生大量虚假请求,使 DNS 服务器不堪重负,使其无法为真正的请求提供服务。
- DNS 欺骗/中毒:这会创建路由器所针对的虚假恶意 DNS 响应。网络犯罪分子可以将用户发送到欺诈性网站,而不是真正的网站。这些可能是收集登录凭据的网络钓鱼网站。
- DNS 劫持:恶意软件会感染您的计算机并更改 TCP/IP 设置和行为,以便将 DNS 请求重定向到网络犯罪分子的欺诈性 DNS 服务器。这些会将 Web 请求重定向到网络钓鱼或其他恶意网站。
- 域劫持:这是一种罕见的攻击形式。它需要更改域名注册商系统中的详细信息,以便合法网站的存储详细信息指向虚假网站。
标准 DNS 中没有真正的安全性。它所能做的就是检查来自下游服务器的响应是否来自请求发送到的同一 IP 地址。这是一些东西,但它几乎不彻底。
域名系统安全扩展 (DNSSEC) 的开发是为了向 DNS 请求添加数字签名。这些允许DNS服务器检查他们收到的数据是否肯定来自它声称来自的地方。这称为数据源身份验证。最重要的是,接收器可以验证数据在传输过程中是否未被修改。这称为数据完整性保护。
DNS over HTTPS (DoH) 是一种加密 DNS 请求和服务器间流量的新协议。但是,记录和缓存的 DNS 请求不会加密。它们仅在传输过程中加密。当然,大多数ISP会记录他们能记录的一切,而且他们并不都支持DNSSEC和DoH。
用于安全浏览的最佳 DNS 服务器
公共 DNS 服务器将比 ISP 的默认产品更私密、更安全、更快。以下是我们推荐的五个最佳 DNS 服务器:
OpenDNS 主页
- 主 DNS:208.67.222.222
- 辅助 DNS:208.67.220.220
OpenDNS于2015年被思科收购。“开放”部分意味着它接受来自任何地方的DNS请求。它与开源无关。OpenDNS有付费和免费层。
思科以顶级网络产品和专有技术而闻名。思科对网络和流量路由的了解与地球上任何一家公司一样多。它拥有全球影响力,并提供坚如磐石的 DNS 服务。
OpenDSN Home支持DoH和DNSSEC。它还捆绑了内容过滤和恶意软件/网络钓鱼防护。您无法选择退出。您可以对他们的设置进行一些控制,但不如在他们的付费层之一上那么多。
也许更令人担忧的是,OpenDNS会记录您的DNS查询,IP地址等,并将所谓的“网络信标”放置在您访问过的页面上。
OpenDNS快速且安全,但它的隐私问题将引起一些人的注意。
谷歌公共域名解析
- 主 DNS:8.8.8.8
- 辅助 DNS:8.8.4.4
Google 的公共 DNS 对所有人免费,包括商业用途。这是一项强大而可靠的服务,响应时间快。当然,你可以肯定谷歌不会消失。
Google的公共DNS支持许多查找协议,包括HHTPS上的DNS,并且也支持DNSSEC。它还包括一些针对DDoS攻击的保护。
谷歌DNS的唯一问题是谷歌。每个人都知道它通过收集数据并将其用于定位广告来产生收入。它还与第三方共享数据,但需付费。因此,谷歌在稳健性和安全性方面得分很高,但在隐私方面却没有那么多。
谷歌表示,它收集的数据是匿名的,其中没有个人身份信息,所以可能不会打扰你。如果您已经在使用Gmail,Android或Google网络搜索引擎等Google产品,Google将不会比现在更多地了解您。
但是,如果你不想参与他们的“大数据,大数据,老大哥”企业机器,谷歌不适合你。
云耀斑
- 主 DNS:1.1.1.1
- 辅助 DNS:1.0.0.1
Cloudflare 最出名的是内容交付网络的提供商,该网络在镜像的分布式实例之间加载共享网站流量,并防止几乎任何规模的 DDoS 攻击。
它具有最快的DNS性能,并公开承诺永远不会记录您的IP地址,并每24小时删除一次操作日志。这是毕马威独立验证的。
默认情况下,它不会捆绑内容过滤和阻止,但您可以根据需要使用它。要启用它,您只需要使用Cloudflare的备用主DNS服务器和辅助DNS服务器。
Cloudflare DNS的设置可能很棘手,Cloudflare网站并不是最直观的导航。但是,一旦它运行,您就可以使用最快的DNS,其好处是它尊重了您的隐私。
域名系统资源
- 主 DNS:84.200.69.80
- 辅助 DNS:84.200.70.40
DNSWatch表示,它支持网络中立性,并且不会尝试使用其DNS服务器过滤任何内容。它也不会记录任何 DNS 查询或用户历史记录。DNSWatch 绝不会共享或出售您的数据,因为它不会收集任何数据。
它确实支持 DNSSEC 和 DoH,但其他任何内容(例如针对网络钓鱼站点或恶意软件站点的保护)都由您决定。它确实提倡的一件事是它拒绝对失败的请求进行任何劫持。
通常,如果您尝试访问的网站没有响应,ISP 会将您带到赞助搜索页面。输入到该站点的所有内容都由您的 ISP 记录。DNSWatch 不会这样做,它会向您显示浏览器的默认错误连接页面。
四合院9
- 主 DNS:9.9.9.9
- 辅助 DNS:149.112.112.112
尽管 Quad9 的总部位于欧洲,但它在全球 183 个国家/地区拥有 90 个 DNS 解析器集群。这是一项免费服务。它的服务器记录交易和性能数据,但不记录个人识别信息。它记录时间戳、传输协议、请求的域及其地理位置等。
默认情况下,它通过阻止包含恶意软件或收集用户凭据的已知不良网站来提供超越 DNSSEC 和 DoH 的安全性。被阻止的网站列表是从 20 多个公共和商业情报来源收集的。它不会过滤或阻止内容、广告或网络跟踪器,只会过滤或阻止恶意网站。
如果不希望启用此阻止,可以使用其备用主 IP 地址和辅助 IP 地址。
在速度方面,Quad9的平均响应时间为21ms,正常运行时间为99.94%。谷歌和Cloudflare的响应时间在10毫秒左右,这是它们擅长的地方:原始速度。然而,21mS仍然快得令人眼花缭乱。在正常操作中,您不会注意到两者之间的任何区别。
未经允许不得转载:表盘吧 » 用于安全浏览的最佳 DNS 服务器
