概述
阿里公共DNS致力于为广大的互联网用户提供快速、稳定和安全的DNS解析。然而传统的DNS查询和应答采用UDP和TCP明文传输,存在网络监听、DNS劫持、中间设备干扰的风险:
- 网络监听风险:即便用户采用HTTPs加密的方式访问站点,DNS查询应答并没有采用加密传输
- DNS劫持:传统DNS应答数据会被篡改,用户的访问会被路由到钓鱼网站和恶意站点
- 中间设备干扰:主要是一些防火墙对DNS查询的干扰,基于域名的过滤,还有大包MTU分片的影响等
为了应对以上挑战,阿里公共DNS遵守DoH(RFC8484)和DoT(RFC7858) 标准对外提供DNS的安全传输服务, 支持 DNS over HTTP(s), DNS Json API, 和DNS over TLS三种安全传输模式。DNS的安全传输服务可以适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。通过传输加密的方式发送DNS查询,加强了用户访问互联网的安全性、解析稳定和隐私保护。
除了隐私加密以外,DNS安全传输服务采用TCP和HTTP连接用户端和DNS服务器,一方面可以服务精准的基于位置的DNS解析和流量调度,另一方面基于DNS端到端的连接特性,DNS的动态变更可以实现秒级端到端生效。
注意:在DoH和DoT传输服务中,阿里公共DNS支持 TLS 1.2 和TLS 1.3.
1. DNS over HTTPs(DoH)
阿里公共DNS通过RFC 8484指定的经过TLS加密的HTTP连接提供DNS解析
DNS over HTTPs(DoH)的URI接口 :(仅提供TLS API)
- https://dns.alidns.com/dns-query?
- https://alidns_ip/dns-query?
注意:其中alidns_ip是dns.alidns.com 的A和AAAA记录,可以是以下四个地址之一 :223.5.5.5,223.6.6.6,2400:3200::1, 2400:3200:baba::1.
请求方式: GET
请求参数 :
| 参数 | 类型 | 描述 | 示例 | 默认值 |
|---|---|---|---|---|
| dns | string | base64url编码的DNS请求内容 | dig alibaba.comd A, dns=uGkBAAABAAAAAAAAB2FsaWJhYmEDY29tAAABAAE | 必须包含 |
请求示例 : https://dns.alidns.com/dns-query?dns=uGkBAAABAAAAAAAAB2FsaWJhYmEDY29tAAABAAE
返回的DNS二进制数据 :
b869 8180 0001 0004 0000 0001 0761 6c69
6261 6261 0363 6f6d 0000 0100 0107 616c
6962 6162 6103 636f 6d00 0001 0001 0000
012c 0004 6a0b d097 0761 6c69 6261 6261
0363 6f6d 0000 0100 0100 0001 2c00 04cb
77d7 5207 616c 6962 6162 6103 636f 6d00
0001 0001 0000 012c 0004 6a0b df65 0761
6c69 6261 6261 0363 6f6d 0000 0100 0100
0001 2c00 04cb 7781 6d00 0029 1000 0000
0000 000c 0008 0008 0001 2018 6a0b 22e6
注:根据RFC8484的定义,DoH服务适用于两类场景:一种是DNS HTTPS隧道,一种是应用层访问DNS数据。DNS wireformat二进制格式对应用不够友好,比如要处理DNS名字压缩机制等。DNS Json的API是为了提供给应用更友好的接入方式。
2. DNS JSON API
DNS JSON API的URL 接口 (提供TLS和非TLS API)
- https://dns.alidns.com/resolve?
- https://alidns_ip/resolve?
- http://dns.alidns.com/resolve?
- http://alidns_ip/resolve?
注意:其中alidns_ip是dns.alidns.com 的A和AAAA记录,可以是以下四个地址之一 :223.5.5.5,223.6.6.6,2400:3200::1, 2400:3200:baba::1.
请求方式 : GET
请求参数 :
| 参数 | 类型 | 描述 | 示例 | 使用方法和默认值 |
|---|---|---|---|---|
| name | string | 请求域名 | name=www.taobao.com. | 必选,无默认值 |
| type | number | 请求类型 | type=1 | 可选,1 |
| edns_client_subnet | IP | ECS IP | edns_client_subnet=1.2.3.4/24 | DNS代理使用,普通客户端不适用 |
**
关于edns_client_subnet参数 :
edns_client_subnet是为了支持DNS ECS功能(RFC7871),将用户的子网信息传递给权威DNS,做更精确的DNS解析和流量调度。其中掩码越长地址信息越精确,掩码越短用户隐私效果越好。建议使用"/24" 掩码长度
注:该参数是特地为DNS代理(proxy)使用DNS JSON API场景设计,即用户发送DNS查询给DNS代理,DNS代理通过该参数携带用户的子网信息传递给阿里公共DNS,最后传递到权威DNS服务器。
例如edns_client_subnet=1.2.3.4/24,权威服务器会收到基于1.2.3.0/24地址前缀信息来帮助用户选择DNS链路。
关于type参数支持类型:
| 记录类型 | ID | 意义 | 示例(以 taobao.com , www.taobao.com 为例) |
|---|---|---|---|
| A | 1 | IPv4 地址 | 101.37.183.171 |
| NS | 2 | NS 记录 | ns1.taobao.com. |
| CNAME | 5 | 域名 CNAME 记录 | www.taobao.com.danuoyi.tbcache.com. |
| SOA | 6 | ZONE 的 SOA 记录 | ns4.taobao.com. hostmaster.alibabadns.com. 2018011109 3600 1200 3600 360 |
| TXT | 16 | TXT 记录 | "v=spf1 include:spf1.staff.mail.aliyun.com -all" |
| AAAA | 28 | IPv6 地址 | 240e:e1:f300:1:3::3fa |
请求示例:
http://dns.alidns.com/resolve?name=www.taobao.com.&type=1
返回示例:
{"Status":0, "TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":{ // 请求段"name":"www.taobao.com.","type":1},"Answer":[ // 应答段{"name":"www.taobao.com.","TTL":45,"type":5,"data":"www.taobao.com.danuoyi.tbcache.com."},{"name":"www.taobao.com.danuoyi.tbcache.com.","TTL":45,"type":1,"data":"47.246.24.234"},{"name":"www.taobao.com.danuoyi.tbcache.com.","TTL":45,"type":1,"data":"47.246.24.233"}]//"Authority" 权威段, 如果有数据与Answer字段一致 //"Additional" 附加段, 如果有数据与Answer字段一致// 可选 "edns_client_subnet":"1.2.3.4/24"
}注:用户可以在客户端应用或APP中调用DoH和DNS JSON API解析DNS 。
3. DNS over TLS (DoT)
阿里公共DNS通过RFC 7858指定的经过TLS加密的TCP连接提供DNS解析。提供两种模式接入:域名方式和IP方式。基本流程是:
- 终端设备配置DoT的解析服务器dns.alidns.com 或alidns_ip
- 如果配置的是alidns.com,客户端先解析alidns.com获得地址alidns_ip
- 获得DoT解析服务器IP地址之后,终端设备再建立与DoT解析服务器在端口853 的TCP连接
- 经过TLS握手协商,终端设备与DoT解析服务器建立TLS连接
- 通过该TLS连接,终端设备可以发送DNS查询到远端DoT解析服务器
对使用安卓手机的用户来说,可以设置在手机设置界面设置阿里公共DNS的域名和地址来获取DNS的DoT安全传输服务。
华为手机的DoT网络设置
原文链接
本文为云栖社区原创内容,未经允许不得转载。
