HTTPS上的DNS是一种新的协议，它可以保护域查找流量不被恶意方窃听和操纵。与通过明文通道与DNS服务器通信的终端用户设备不同——正如DNS三十多年来所做的那样——doh，即众所周知的HTTPS上的DNS，使用与网站发送和接收HTTPS流量相同的加密技术对请求和响应进行加密。

在2021年，使用DoH或类似的协议“点”(即tls上的DNS的缩写)是很容易的，沐鸣开户测速因为DNS流量可以和互联网上发送的任何其他数据一样敏感。然而，美国国家安全局(National Security Agency)周四表示，在某些情况下，财富500强企业、大型政府机构和其他企业用户最好不要使用它。原因是:阻止恶意第三方的加密技术，同样也会阻碍工程师保护网络安全的努力。

美国国家安全局官员在公开的建议中写道:“DoH提供了加密DNS交易的好处，但它也会给企业带来问题，包括错误的安全意识，绕过DNS监控和保护，对内部网络配置和信息的担忧，以及对上游DNS流量的利用。”“在某些情况下，单个客户端应用程序可能使用外部解析器启用DoH，从而自动导致其中一些问题。”

DNS进修

更多关于DoH的潜在陷阱稍后。首先，快速回顾一下dns(域名系统的缩写)是如何工作的。

当人们发送电子邮件、浏览网站或在互联网上做任何其他事情时，他们的设备需要一种方法将域名转换为服务器用来定位其他服务器的数字IP地址。为此，设备向DNS解析器发送一个域查找请求，DNS解析器是一台或一组服务器，通常属于ISP或用户所连接的企业组织。

如果DNS解析器已经知道所请求域的IP地址，它将立即将其发送回最终用户。如果没有，解析器将请求转发到外部DNS服务器，并等待响应。一旦DNS解析器获得了答案，它就会将相应的IP地址发送到客户端设备。

令人惊讶的是，这个过程在默认情况下是未加密的。这意味着那些发生在有能力监控组织的最终用户之间的联系和DNS resolver-say,恶意内部或黑客已经立足在每个站点的网络可以建立一个全面的日志和IP地址连接到这些人。更令人担忧的是，恶意的一方还可能通过用恶意的IP地址替换域名的正确IP地址，将用户发送到恶意网站。

一把双刃剑

DoH和DoT是为了解决这一切而创建的。正如传输层安全加密对Web流量进行身份验证并将其隐藏起来，DoH和DoT对DNS流量也做了同样的事情。目前，DoH和DoT是附加的保护措施，需要为它们服务的管理员的最终用户做额外的工作。

现在，人们获得这些保护的最简单方法是配置他们的操作系统(如Windows 10或macOS)、浏览器(如Firefox或Chrome)，或另一个支持DoH或DoT的应用程序。

美国国家安全局周四的建议警告说，沐鸣开户测速这种类型的设备可能会使企业处于危险之中，尤其是当保护涉及到卫生部时。原因是:设备启用的DoH绕过了DNS检测等网络防御，后者监控域查找和IP地址响应，以发现恶意活动的迹象。与通过企业强化DNS解析器的流量不同，在终端用户设备上配置的DoH将数据包打包在一个加密的信封中，并将其发送到外部DoH解析器。

国家安全局官员写道:

许多组织使用企业DNS解析器或特定的外部DNS提供商作为整个网络安全体系结构中的关键元素。这些保护性DNS服务可以根据已知的恶意域、受限内容类别、声誉信息、排版保护、高级分析、DNS安全扩展(DNSSEC)验证或其他原因过滤域和IP地址。当DoH与外部DoH解析器一起使用，并且绕过企业DNS服务时，该组织的设备可能会失去这些重要的防御。这也阻止了本地级别的DNS缓存及其带来的性能改进。

恶意软件还可以利用DoH来执行DNS查询，绕过企业DNS解析器和网络监控工具，通常是为了命令和控制或过滤目的。

还有其他风险。例如，当启用了DoH的终端用户设备尝试连接到企业网络中的域时，它将首先向外部DoH解析器发送DNS查询。即使请求最终转移到企业DNS解析器，在此过程中仍然会泄露内部网络信息。此外，将内部域的查询集中到外部解析器可能会造成网络性能问题。

下面的图像显示了带有外部解析器的DoH如何完全绕过企业DNS解析器及其可能提供的许多安全防御。

带上你自己的橡皮泥

周四的建议称，解决方案是针对希望DoH依靠自己的DoH解析器的企业，该解析器除了解密请求并返回答案外，还提供检查、日志记录和其他保护措施。

建议继续说，企业应该配置网络安全设备，以阻止所有已知的外部DoH服务器。阻塞出站的网点流量更简单，因为它总是通过853港，企业可以阻塞批发。该选项不能用于限制传出的DoH流量，因为它使用的端口443不能被阻止。

周四的建议说，外部解析器的DoH对于从家里或小办公室连接的人来说是很好的。我想更进一步说，在过去10年发生了这么多事情之后，人们在2021年使用未加密的DNS简直是疯了。

对于企业而言，情况则更为微妙。