5154

2019年,对于互联网的基础设施——域名系统（DNS）而言，是承前启后、深刻变革的一年，这一年，DNS不再仅仅是默默无闻的“互联网地址簿”，而是在安全、隐私和性能等多个维度上迎来了前所未有的关注与技术革新，它从一个功能性工具，逐渐演变为网络战略的核心组件。

安全与隐私的双重奏

长久以来,传统DNS协议存在一个根本性的弱点：其查询和响应过程大多以明文形式进行（通过UDP端口53），这意味着，在网络传输的任何环节，从用户的本地网络到互联网服务提供商（ISP），甚至是中间的任何节点，都有可能被窥探、篡改或劫持，用户的上网足迹、访问的网站等隐私信息暴露无遗，这也为DNS劫持、缓存投毒等攻击提供了可乘之机。

2019年,解决这一“裸奔”困境的技术方案迎来了爆发式增长和普及的曙光，其中最引人注目的便是DNS over HTTPS（DoH）和DNS over TLS（DoT）。

• DNS over TLS (DoT)：它通过在DNS客户端和服务器之间建立一个加密的TLS隧道来传输DNS数据，有效防止了中间人窃听和篡改，DoT使用一个专用的端口（853），这使得网络管理员可以相对容易地识别和管理DNS流量。
• DNS over HTTPS (DoH)：这项技术则更进一步，它将DNS查询封装在HTTPS流量中，使用与常规网页浏览相同的端口（443），这使得DNS流量与其它网络流量混在一起，极难被区分和阻断，极大地提升了隐私性和抗审查能力，2019年，Mozilla Firefox和Google Chrome等主流浏览器相继宣布支持或实验性支持DoH，将其推向了公众视野的中心，引发了关于网络控制权、用户隐私和ISP角色的广泛讨论。

性能与速度的竞赛

随着用户对网络体验要求的不断提高,DNS解析速度成为影响网页加载、应用响应时间的关键因素，2019年，公共DNS服务提供商之间的竞争愈发激烈，它们不仅在速度上你追我赶，更在安全性和隐私保护上各显神通。

以下表格简要对比了2019年市场上几个主流公共DNS服务的特点：

这场竞赛的最终受益者是广大网民,他们可以根据自己对速度、安全或内容过滤的偏好，自由选择更优质的DNS服务。

DNS在现代架构中的新角色

2019年的DNS早已超越了“A记录指向IP地址”的简单功能，在云计算和微服务架构盛行的背景下，DNS扮演了更为动态和智能的角色，它成为全球服务器负载均衡（GSLB）、应用流量管理、故障切换和灾难恢复的核心技术，通过智能DNS解析，可以将用户流量引导至最近的数据中心，或者当某个服务器发生故障时，自动将请求切换到健康的节点，从而保障服务的高可用性，DNS的配置和管理也成为DevOps和SRE工作中不可或缺的一环。

DNSSEC的稳步推进

与DoH/DoT关注传输隐私不同，DNS安全扩展（DNSSEC）则致力于解决数据来源的真实性和完整性问题，它通过数字签名确保DNS响应数据在传输过程中未被篡改，有效防止了DNS缓存投毒等攻击，尽管DNSSEC的部署和管理相对复杂，但在2019年，其采用率仍在稳步提升，特别是顶级域名（TLD）和重要二级域名的签名覆盖率持续增长，为构建一个更可信的互联网奠定了基础。

相关问答FAQs

Q1: DoH和DoT有什么区别，我应该选择哪一个？

A: DoH（DNS over HTTPS）和DoT（DNS over TLS）的主要区别在于传输方式和端口，DoT使用专用的TCP端口853，加密特征明显，便于网络管理员进行识别和管理；而DoH则将DNS查询封装在标准的HTTPS流量中，使用端口443，与普通网页浏览流量难以区分，因此隐私性和抗干扰性更强，选择哪个取决于您的需求：如果您希望网络管理员能明确区分并管理DNS流量，或者希望协议更纯粹，可以选择DoT，如果您更看重隐私保护，希望DNS查询能完全融入常规网络流量中，避免被特定防火墙或策略阻止，那么DoH是更好的选择。

Q2: 切换到公共DNS服务（如1.1.1.1）安全吗？

A: 切换到像Cloudflare（1.1.1.1）或Google（8.8.8.8）这样信誉良好的公共DNS服务通常是安全且有益的，这些服务通常由顶级科技公司运营，在稳定性、解析速度和安全性方面往往优于许多默认的ISP提供的DNS，它们还内置了针对恶意网站和钓鱼攻击的防护功能，在隐私方面，主流公共DNS服务商都制定了明确的隐私政策，承诺不记录或会尽快删除用户的个人查询数据，前提是选择一个值得信赖的知名提供商，避免使用来源不明的DNS服务。