如果您使用 VPN(请参阅我们的 Windows 平台 VPN 技术支持如果你经常调整网络设置,你可能见过类似这样的选项: 提供商特定的 DNS、集成解析、来自 Google 或 Cloudflare 的公共 DNS、握手协议,或像 Pi-hole 这样的自定义 DNS。乍一看,这似乎只是另一个设置,但 DNS 服务器的选择会对您的隐私、安全、性能,甚至您可以访问的网站产生重大影响。
在日常使用中,我们通常保持默认设置: 来自 ISP 或 VPN 提供商的 DNS 服务已在运行然而,切换到自定义 DNS(例如,在家中设置 Pi-hole 或使用 Control-D 之类的服务)可以让你更好地控制浏览行为,但同时也需要承担一定的风险和责任。因此,了解 DNS 的工作原理以及每种方案的优缺点至关重要。
什么是DNS?它为什么如此重要?
域名系统(DNS)是互联网的“电话簿”。它将人类可读的网址(例如 xataka.com 或 kaspersky.com)转换成计算机可以理解的数字 IP 地址。如果没有这种自动转换功能,你就无法通过输入域名来浏览互联网;你必须记住每个网站对应的长串数字。
您的互联网服务提供商 (ISP) 通常会为您提供一台带有某些功能的路由器。 由运营商自身控制的预配置DNS服务器每次您输入网址时,您的设备都会查询 DNS 服务器以查找相应的 IP 地址。这不仅对网站加载至关重要,而且还决定了谁可以看到您的查询,以及谁可以阻止或篡改这些请求。
名称解析过程涉及几种类型的服务器:a 递归求解器接收您的查询根服务器、顶级域名(TLD)服务器(例如 .com 或 .net)和权威域名服务器最终都会返回正确的 IP 地址。在许多情况下,部分信息会被缓存,以加快后续查询速度。
当你在浏览器中输入域名时,系统首先尝试从服务器解析它。 本地缓存(计算机、操作系统、解析器)如果找不到目标 IP 地址,查询会依次发送到递归解析器、根服务器、顶级域名服务器,最终到达权威服务器,由权威服务器返回最终的 IP 地址。所有这些过程都在几毫秒内完成,但每一跳都可能成为攻击面或控制点。
一个关键细节是,默认情况下, 传统DNS不包含加密功能。这意味着,您的网络服务提供商 (ISP) 和任何能够访问您网络流量的中间方都可以看到您访问的域名,但如果您使用 HTTPS,他们则无法看到页面的具体内容。如果系统安全措施不到位,这种设计更容易导致审查、追踪和攻击。
控制 DNS 的人对你了解多少?
你发出的每一个DNS请求都会留下痕迹。 DNS 服务器所有者可以看到您正在使用哪个 IP 地址进行查询以及您正在尝试访问哪些域名。仅凭这两组简单的数据(IP + 域名 + 时间),就可以构建出非常精细的浏览习惯画像。
像谷歌公共DNS这样的服务商都公开表示: 他们会暂时存储您的 IP 地址(例如 24-48 小时),并永久存储其他“匿名化”的使用数据。这样一来,他们就可以收集统计数据,改进服务……而且,对于广告公司来说,即使他们承诺不会将广告与你直接关联起来,也可以丰富他们的用户细分。
一些更注重隐私的第三方DNS提供商,例如Cloudflare或Quad9,会通过宣称以下几点来宣传自己: 他们不会永久记录您的 IP 地址,他们会尽量减少日志记录,也不会将数据出售给广告商。但值得注意的是, 从技术上讲 它们与其他 DNS 服务器一样,拥有查看您的查询的权限:信任取决于它们的政策、透明度和独立审计。
此外,DNS 是政府和运营商常用的控制点。许多网站被屏蔽的情况就是如此…… 拒绝在官方 DNS 中解析某些域名 国家或公司层面的审查。通过更改 DNS 设置,通常可以绕过这种基本的审查,但在限制非常严格的环境下,可能会结合其他屏蔽技术。
重要的是要明白 使用备用DNS并不能隐藏您的IP地址,也不能替代VPN。免费公共 DNS 服务并不能起到虚拟专用网络 (VPN) 的作用:您访问的网站仍然可以看到您的真实 IP 地址,即使您使用某些现代技术,您的 ISP 无法清晰地看到域名,他们仍然能够看到您连接的 IP 地址。DNS 服务提供了一层隐私和安全保障,但它并非完美的解决方案。
ISP DNS、VPN DNS 或自定义 DNS:常见选项
许多 VPN 提供商提供多种 DNS 配置: 您可以使用自己的 DNS 服务器、集成解析器、握手协议,维护外部 DNS 服务器(例如 Google、Cloudflare 等),或者定义自定义 DNS 服务器,就像家庭版的 Pi-hole 一样。每种选择都有不同的后果。
当您将设置保留在“他自己的您的所有 DNS 流量都通过该 VPN 控制的服务器进行解析。这样做的好处是查询在加密隧道内传输,对您的 ISP 隐藏 DNS 请求并减少 DNS 泄漏,但同时也意味着您将所有信任都寄托在 VPN 提供商身上,他们可以查看您在 VPN 激活期间访问的域名。
如果您决定使用外部 DNS,例如 Google (8.8.8.8)、Cloudflare (1.1.1.1) 或其他根据您选择的服务,您可以获得速度提升和一些额外的保护。但是,如果没有 VPN,您的查询仍将直接发送到这些解析器,并且您将与一家大型公司共享您的域名历史记录,而该公司的利益可能与您的隐私并不一致。
选项 ”现有 DNS在 VPN 中启用“使用系统 DNS”会保留您现有的 DNS 设置。这很方便,但如果 VPN 客户端不强制使用自己的解析器或加密这些查询,则可能导致 DNS 泄漏。换句话说,您可能认为所有流量都通过 VPN,但实际上您的域名请求仍然会发送到您的 ISP。
MGI 自定义 DNS (例如,指向 Pi-hole 或您自己的云服务器)可以让您拥有最大的控制权:您可以决定记录哪些内容、阻止哪些内容以及如何过滤。但是,您也需要负责其安全性、可用性和维护,如果您不小心将其暴露在互联网上,它可能会成为攻击的入口。
使用自定义 DNS(Pi-hole、Control D 等)的优势
设置自定义 DNS,可以使用以下方法: 在本地网络上部署 Pi-hole,使用自己的服务器并启用 DNSSEC,或者使用 Control-D 等托管服务。与使用 ISP 的默认 DNS 甚至一些通用的公共 DNS 相比,它具有许多优势。
第一个主要优势是能够 从源头上阻止威胁。使用配备最新黑名单的现代 DNS 可以阻止您的设备解析与恶意软件、网络钓鱼、加密劫持或恶意广告相关的域名。由于“恶意”域名无法转换为 IP 地址,因此连接根本无法建立。
这种“预防性”方法预判了传统杀毒软件会采取的行动,而传统杀毒软件通常是被动应对。 当威胁已经在你的系统中发生时使用过滤式 DNS,您就永远不会接触到已知的危险域名,这大大降低了家用电脑的风险,尤其降低了拥有众多用户的企业网络的风险。
其次,使用经过良好优化的自定义 DNS 可以提高性能。 屏蔽广告、追踪器和不必要的资源 (例如, 删除智能电视上的广告页面加载速度更快,外部请求数量减少,带宽消耗也随之降低。在网络连接速度一般或连接设备较多的网络中,这种差异会非常明显。
另一个关键优势是增强了隐私保护(请参阅我们的 在线隐私保护要点像 Pi-hole 或以隐私为中心的服务之类的解决方案可以 阻止追踪器和广告公司收集您的浏览活动 通过脚本和跟踪域名。虽然这并非万全之策,但确实能显著减少你在浏览互联网时不断向数十个广告网络“泄露”信息的情况。
最后,许多自定义 DNS 服务器(例如 Control D)提供 设置相对简单,带有过滤模板(例如,屏蔽成人内容、游戏、社交网络等)。 此外,还提供将该服务集成到企业级 RMM 或 MDM 大规模部署中的选项。这简化了向数十台或数百台设备引入安全控制层的过程。
自定义 DNS 的风险和缺点
另一方面,自定义 DNS 也引入了…… 新的故障点和责任第一个显而易见的问题:如果您的 DNS 服务器宕机、过载或配置错误,您的整个网络可能会失去明显的互联网访问权限,因为即使您的连接正常,网站也会停止解析。
如果你信任一个 未知或可疑的 DNS 服务器风险成倍增加。恶意或被入侵的DNS服务器可以篡改您的请求,将您重定向到虚假网站(网络钓鱼)、安装恶意软件或拦截敏感信息。DNS缓存投毒或DNS服务器劫持是攻击者常用的将流量重定向到其控制网站的技术。
此外,自定义 DNS 可能没有 针对DDoS攻击或基础设施攻击采取相同的保护措施 相比主流服务商,DNS解析器的安全风险更高。针对DNS解析器的拒绝服务攻击可能会导致所有依赖该解析器的用户无法进行域名解析。因此,如果您为企业或关键服务搭建了自己的DNS服务器,建议采用冗余部署,并将其部署在稳健的网络中。
另一个关键点是,如果您不实施 DNSSEC 或安全配置等措施,您的服务器可能会受到攻击。 易受缓存投毒攻击在这种情况下,犯罪分子会欺骗域名解析器,使其误以为合法的域名实际上指向的是欺诈服务器的IP地址。此后,所有查询该域名的用户都会收到被篡改的地址,直到缓存被清除为止。
最后,对广告、跟踪器或内容类别进行过于激进的 DNS 过滤可能会导致 误报和破坏合法功能网站无法正常加载、服务停止运行或安全更新无法送达,都是因为域名被屏蔽。正确调整屏蔽列表并查看日志至关重要。
与 DNS 相关的具体威胁及其缓解方法
由于 DNS 基础设施至关重要,因此它成为各种攻击的目标。以下是最常见的几种攻击:
- 分布式拒绝服务 (DDoS) 攻击 攻击者会攻击网站或服务提供商的DNS服务器。他们通过向服务器发送大量恶意流量,使其资源饱和,导致合法请求无法处理,从而使网站在攻击期间从互联网上“消失”。
- 注册近似域名这包括注册与知名品牌域名几乎完全相同的域名,利用用户的拼写错误。如果用户拼写错误,未过滤的DNS会将用户重定向到这些虚假域名,然后攻击者就可以利用这些虚假域名发起极具迷惑性的网络钓鱼攻击或窃取凭证。
- 域名注册劫持。 如果攻击者攻破了您的域名注册商账户,他们可以更改 DNS 记录并将其指向他们控制的服务器,甚至可能改变域名的所有权。为了降低这种风险,使用强密码、双因素身份验证以及选择具有强大安全措施的注册商至关重要。
- DNS缓存中毒 他们更进一步。攻击者会在DNS服务器缓存中插入特定域名的虚假数据,这样一来,不知情的用户未来的查询就会使用伪造的IP地址进行解析。由于浏览器依赖于DNS响应,用户可能会在不知不觉中访问到伪造的银行网站或恶意软件网站。
为了降低这些风险, 建议使用 DNSSEC(DNS 安全扩展)。这些系统会在 DNS 响应中添加加密签名,以确保数据未被篡改。结合加密通信(DoT、DoH、VPN)和严格的 DNS 服务器访问策略,可以大大降低 DNS 劫持或投毒的风险。
最常见的公共和私有 DNS 服务器
除了您的 ISP 或 VPN 的 DNS 服务器之外,您还可以使用种类繁多的 DNS 服务器。 免费开放的DNS服务器 您可以手动在路由器、电脑或移动设备上进行配置。一些最知名的包括:
- OpenDNS的 (208.67.222.222 和 208.67.220.220)。这是历史最悠久的公共服务之一,现归思科所有。它提供付费版本和免费版本,免费版本速度快、可用性高、默认屏蔽钓鱼网站,并提供家长控制选项。
- Cloudflare (IP 地址 1.1.1.1 和 1.0.0.1)。注重性能和隐私。承诺不会将您的数据用于广告,也不会将您的 IP 地址写入磁盘。设置通常非常快捷方便,没有太多额外步骤。
- 谷歌公共DNS (8.8.8.8 和 8.8.4.4)。专为技术水平较低的用户设计,并提供完善的文档。为了提供易用性和高性能,它会在有限的时间内保留匿名浏览日志和您的 IP 地址。
- Comodo安全DNS (8.26.56.26 和 8.20.247.20)。旨在阻止危险网站、间谍软件和广告过多的域名,依靠 Comodo 在安全领域的经验。
- Quad9 (9.9.9.9 和 149.112.112.112)。虽然相对较新,但它专注于利用来自多个来源的威胁情报来阻止恶意域名。它在安全性和性能之间取得了良好的平衡。
- Yandex.DNS (77.88.8.8 和 77.88.8.1)。俄罗斯的替代方案,提供基本配置文件和“安全”变体(77.88.8.88 和 77.88.8.2),用于屏蔽危险网站,以及“家庭”(77.88.8.7 和 77.88.8.3),用于过滤成人内容。
- 公共 DNS 服务器列表一个庞大的数据库,您可以在其中搜索全球免费 DNS 服务器,并按国家/地区筛选。
在选择放弃 VPN 的 DNS、使用公共服务器还是搭建自己的 Pi-hole 时,关键因素在于如何抉择。 你想信任谁来查看你的域名查询?你需要对过滤、性能和隐私进行多大程度的控制?通过了解每种选项的优点和风险,您可以更轻松地根据自己的优先事项调整设置,而不会出现意外的安全或导航问题。
