DNSdist配置并启用DNS-over-HTTP(DoH)

原创 已于 2024-07-03 19:26:18 修改 · 1.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #网络协议 #网络 #linux #信息安全 #安全

于 2024-06-30 17:17:52 首次发布

摘要

这篇文章分享了基于DNSdist和CloudFlare的公共DNS服务器搭建局域网(或公共网络)中你自己或你的组织私有的DNS服务器并且支持DoH协议,可以为你提供更加安全的网络实践。欢迎关注我的博客以获取本系列更多的粉丝专属文章。

前言

本系列其他文章,均发布在我CSDN博客内的专题页面。这篇文章是《基于DNSdist搭建动态的私有化DNS(DnsOverHttp(s))服务》的一部分,继续阅读之前,请确保你已经按照前文《在Ubuntu上安装基于DNSdist的DNS负载均衡服务器》的指导,在你的服务器上完成了DNSdist的安装和基本配置,且可以正常运行。今天我们主要讨论的是,如何基于之前的DNSdist配置来开启DNS-over-HTTP支持,使得客户端可以通过DoH协议访问你的私有DNS服务器。

修改配置

运行下列命令,修改你的DNSdist配置文件

sudo nano /etc/dnsdist/dnsdist.conf

在你的配置文件末尾添加下列配置内容

-- Add a new DoH listen address and port
addDOHLocal("10.243.245.122:8053", null, null,"/dns-query")

以上配置的意思为开启一个本地DOH监听,监听本地地址10.243.245.122(由于我的服务器存在多个网卡,且10.243.245.122是我的内网地址,我希望仅通过内网访问我的DoH服务器,因此这里监听内网IP),端口为8053,后面的两个null,表示不设置TLS证书和私钥,因此默认提供HTTP监听,最后的“/dns-query”表示匹配URL路径,仅当访问匹配的URL路径时对应的流量才会路由给DOH。

最低0.47元/天 解锁文章

200万优质内容无限畅学
怎么在Windows11上启用DNS over HTTPS(DoH)?
2401_88800025的博客
05-05 360
谷歌Chrome和MozillaFirefox等网络浏览器已经支持这一额外的安全层,但现在,Windows11现在原生支持DoH,您可以在“设置”应用程序中进行配置。是现在很多用户都在使用的电脑操作系统,全新的系统功能很多用户还不是很多熟悉,Windows11现在支持基于HTTPS的DNS以改善您的在线隐私,下面介绍如何配置该功能。在本指南中,您将了解在Windows11上启用DNSoverHTTPS的步骤,以使您的在线体验更加私密。o加密首选,允许未加密:传输加密的DNS流量,但允许不加密发送查询。
DNSdist配置启用原生DNS-over-HTTPS(DoH)
全糖冲击的博客
06-30 883
这篇文章是基于你已经按照本专辑之前发布的文章完成了DNSdist的部署和基本的DoH服务设置,以及相关的防火墙规则设置,这说明你本地已经可以正常访问你设置的DoH服务。如果你还没有做好准备,请移步至我发表在CSDN博客专辑DNSdist中的原创文章《DNSdist配置启用DNS-over-HTTP(DoH)》,部分文章可能属于仅粉丝可访问,建议关注一下我的博客,以便于系统为您推送本系列的后续文章。
dnsdist config
weixin_34102807的博客
01-31 584
setLocal("0.0.0.0:53") setACL("10.0.0.0/8") newServer({address="114.114.114.114",order=3,pool="recursor",checkType="A", checkType=DNSClass.IN, checkName="a.root-servers.net.", mustResolve=true,maxCh...
家庭设备Win10/win11针对黑客入侵的一些缓解措施
最新发布
2501_92284621的博客
05-31 278
3.关闭过时的SSL/TLS加密:在开始菜单中搜索Internet选项,在高级界面中取消勾选所有的使用SSL和使用TLS1.0、使用TLS1.1,同时勾选使用TLS1.2(兼容部分没有使用TLS1.3的网址)和使用TLS1.3,防止加密被破解。2.开启DOH:在Windows设置里的网络和Internet-WLAN-硬件属性-DNS服务器中配置加密DNS(也就是DOH),同时在浏览器(如edge)的安全设置里的安全DNS中填充DOH的模板,防御DNS劫持。
DNSdist配置配合Nginx启用DNS-over-HTTPS(DoH)
全糖冲击的博客
06-30 474
这篇文章是我之前发布的《基于DNSdist搭建动态的私有化DNS(DnsOverHttp(s))服务》的引申文章,且前提是你已经通过这个系列的上一篇文章《DNSdist配置启用原生DNS-over-HTTPS(DoH)》完成了基本的DoH服务配置,如果你对这篇文章所述内容感到疑惑或者很难进入,推荐你先从之前的文章开始阅读,以了解全貌。
DNS over HTTPs(DOH配置实现
weixin_44184011的博客
12-26 3343
在互联网场景下使用DNS会受到中间DNS服务器的影响,最常见的就是缓存问题,运营商的DNS服务器往往会强制改写域名的TTL将该结果进行缓存。遇到需要通过域名进行业务切换的场景时(比如,想要将一个业务通过域名从一个数据中心切换到另一个数据中心),需要等待DNS缓存时间过期,这个机制延长了切换的时间。很多DNS的策略是基于源地址进行配置的,但是在实际通过DNS请求域名解析的过程中,运营商DNS会作为代理DNS,以其自身的源IP去向权威DNS请求结果。
配置 DNS over HTTPS阻止DNS污染
2401_88752464的博客
12-06 2419
DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成。从安全角度来看,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很容易拦截用户的DNS,将用户的请求跳转到另一个地址,常见的攻击方法有DNS劫持和DNS污染。因此,使用不加密的DNS服务是不安全的。​ 而DoHDNS over HTTPS)是一个安全的域名解析方案。
DOHDNS-over-HTTPs)服务器搭建
任我行的博客
05-19 5852
DOH搭建 1)搭建环境以及相关资料 配置使用服务器或虚拟机都可以,系统镜像推荐使用Debian或Ubuntu。本次搭建使用的是Ubuntu18.04版本。 DOH服务器包的下载链接,后面会用到: https://pan.baidu.com/s/1au3-AbPOcMo6wqyyVqeZJg密码:fgnl 本文主要是对着一篇英文教程写的,想直接看英文版的可以转到这里: https://www.aaflalo.me/2018/10/tutorial-setup-dns-over-https-server DO
非官方Firefox TRR使用文档:DNS-over-HTTPS实践指南
通过这份“TRRprefs”文档,用户将能全面了解TRR的功能,能够根据个人情况做出合适的配置选择,以优化Firefox浏览器的DNS查询安全性和隐私保护。而由于它是一个非官方文档,所以可能还会包含一些社区开发者和用户...
dnsdist架构分析
我的程序人生
02-05 1896
//它是一个封装地址的类,是一个联合体,内部封装了一些对数据的操作 ComboAddress { struct sockaddr_in sin4; struct sockaddr_in6 sin6; //构造函数 ComboAddress() { sin4.sin_family=AF_INET; sin4.sin_addr....
DNS 教父怒喷 DNS-over-HTTPS!
热门推荐
CSDN资讯
11-28 1万+
近期,互联网工程任务组(IETF)正式采用了 DNS-over-HTTPS 标准,重新引发了关于它是否对网络基础设施构成威胁的争论。前一阵子,IETF 提议将其提升为8...
HTTP协议的DNS实现DNSoverHTTP.zip
07-18
DNSoverHTTP 是基于 HTTP 协议的 DNS 实现。它是一个代理 DNS,是一个在 HTTP 基础上实现 DNS 的方法,提供了:一个 FastCGI 端点连接 Web 服务器和 DNS 服务器(Nginx、Apache 和 Bind)一个 DNS 代理服务器用于 /etc/resolv.conf 或者 DHCP 声明,使用 upstream HTTP 来解析 DNSThe great advantage to this approach is that HTTP usually makes it through even the worst coffee shop or hotel room firewalls, since commerce may be at stake. We also benefit from HTTP's persistent TCP connection pool concept, which DNS on TCP/53 does not have. Lastly, HTTPS will work, giving privacy.This software is as yet unpackaged, but is portable to FreeBSD 10 and Debian 7 and very probably other BSD-similar and Linux-similar systems. This software is written entirely in C and has been compiled with GCC and Clang with "full warnings" enabled. 标签:DNSoverHTTP
dnsdist-ansible:dnsdist的角色
05-24
角色:dnsdist 由PowerDNS背后的人们创建的一个Ansible角色,用于设置 。 要求 Ansible 2.2或更高版本的安装。 依存关系 没有任何。 角色变量 下面列出了可用的变量以及默认值(请参见defaults/main.yml ): dnsdist_install_repo : " " 默认情况下,dnsdist是从目标主机上配置的软件存储库中安装的。 # Install dnsdist from the master branch - hosts : dnsdist roles : - { role: PowerDNS.dnsdist, dnsdist_install_repo : " {{ dnsdist_powerdns_repo_master }} " # Install dnsdist 1.3.x - hosts : dnsdi
DNS-over-HTTPS(DoH)详解与C/C++代码实现
chen1415886044的博客
07-02 5520
HTTPS上的DNSDoH)是一种相对较新的协议,通过超文本传输协议安全加密会话传递DNS查询来加密域名系统流量。DoH试图通过隐藏DNS查询来改善在线隐私。 DoH的工作原理与DNS类似,但HTTPS会话保留请求最大限度地减少查询期间交换的信息。网络浏览器,如Mozilla的Firefox、微软的Edge和谷歌的Chrome,都具有使用加密DoH的功能,目的是提高用户的数据隐私和安全性。
DNS-over-HTTPS(DoH)简析与配置
banliaowu5325的博客
04-26 1万+
本文同步发布于 Heliumの博客,到我的博客阅读体验更佳QwQ DNS是什么 DNS(Domain Name System)是一项网络服务,用途是对全球各个网站的域名进行解析。如果听不懂上面这句话也没关系,接下来会讲解。如果你是网络方面的大牛可以直接跳过或关闭此网页。 简明易懂的DNS 举个例子,从前有个叫小明的人(目测此人已累死),开了一家商店。一开始顾客要去购物时,就直接去商店里买...
使用dns-over-https 手动测试域名解析
nikolay的专栏
09-10 2355
随着dns-over-https(DoH)普及,DNS 污染的问题得到了很大程度的改善,但是传统的nslookup指令已经不能满足查看域名解情况需求
dns over https(doh)解决DNS劫持方案
天码行空的码的博客
03-13 9564
这些年DNS劫持一直是比较头疼的问题(ISP 滥用用于注入广告,同时也导致了隐私泄漏等)虽然https可以解决网页加密的问题,但在DNS解析环节还是通过UDP 53端口明文传输,移动端(APP)可以使用httpdns,但对于web端来说依然的使用传统DNS,为了解决这个问题各大浏览器及DNS厂商也开始支持DOHDNS-OVER-HTTPS)DNS解析进行加密解决localdns 劫持问...
如何快速的自建 DoH ( DNS over HTTPS) 服务
easylife206的专栏
04-19 9410
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !1. 前言DoHDNS over HTTPS),顾名思义,使用HTTPS协议执行DNS查询,除了最常用的UDP外,还有DoT(DNS over TLS),DNS over HTTP(服务提供商自定义)等方案,对比如下:协议标准描述DNS over HTTPSRFC8484使用TLS加密的H...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全糖冲击

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值