域名系统（DNS）对于Internet的运行至关重要。该协议创建于30多年前，以取代手动更新Internet / Arpanet上服务器列表（IP地址）的过程。DNS已变得越来越容易受到网络和订户的一系列恶意攻击。多年来，业界已通过多项安全性增强措施来应对这些日益增长的担忧-最新提出的标准是HTTPS上的DNS（DoH）。

什么是域名系统及其运作方式？

可以将DNS看作是一个地址簿，它将每个目标的IP地址转换为易于记忆的域名。DNS查询是如何启动每个Web会话的。如果查询失败，则用户将无法访问他们尝试访问的网站。每个人都与DNS的正常运作息息相关。对于服务提供商，其服务的安全性，速度和可靠性取决于DNS查询的正确执行。对于企业而言，关键任务运营和在线商务取决于客户和员工查找和访问所需内容的能力。每天的网络冲浪者都只是想快速，安全地到达在线浏览的目的地。

域名系统不是为安全而设计的

DNS于1983年被批准为一种标准的互联网协议，当时人们对安全性和DNS攻击几乎没有什么关注，也就是说，在我们今天看到的恶意网络罪犯类型出现之前就已经很久了。该协议没有内置的安全性或加密功能，并且以明文形式传输，很容易被拦截和欺骗以发起DNS攻击。由于DNS查询的中断为网络服务和应用程序带来了单点故障，因此DNS已成为网络犯罪分子的常见攻击媒介。

当试图访问特定网站的用户通过其设备向本地ISP的递归DNS服务器发送DNS查询时，就会启动典型的DNS查询。然后，ISP查询一个权威DNS服务器，以找到所请求网站的IP地址。如上所述，整个过程的传输很少或没有安全性。因此，业界已经认识到需要一种更好的方法来保护DNS解析过程。

基于HTTPS的DNS：增强DNS安全解决方案和用户隐私的新方法

输入基于HTTPS（DoH）的DNS，这是最近起草的标准，可更改DNS解析过程的工作方式。DoH仅解决设备与本地DNS解析器之间的初始连接（即所谓的“最后一英里”）。它提供了一个加密DNS查询传输的选项，使它们与HTTPS不可区分。但是，未解决解析DNS服务器与权威服务器之间的其余查询链。相反，DoH仅将重点放在DNS劫持以及操纵，重定向或削弱查询的恶意活动中，这些查询使DNS解析容易受到多种DNS攻击。

当前，如何缓解这些攻击漏洞是一个热门话题。但是，由于当今受COVID-19影响，越来越偏远的员工队伍越来越关注隐私和DNS安全，因此我们认为DoH将遵循与HTTPS相似的模式，并会加速行业采用。HTTPS于1994年创建，并于2000年正式使用。在2013年Edward Snowden泄露高度机密情报之后，HTTPS的使用率上升到现在的水平，使用该协议的Web页面已超过80％。

风险：谁能解决DNS查询？

最初由Internet工程任务组（IETF）于2018年底提出的DNS over HTTPS（DoH）很快引发了一场地盘战争。传统上，DNS是在操作系统级别解决的，但是Mozilla和Google最初的DoH实现是在应用程序级别的。这将改变DNS的解析方式，从而改变谁来解析它。

对于ISP，DoH会将其置于被第三方DNS供应商排除在解析过程之外的风险中，从而可能对其订户产生影响。订户付费的许多增值服务（例如，家长控制和反恶意软件）取决于能够看到DNS查询。此外，服务提供商担心会失去对服务质量的控制，因为使用不同的DNS解析器可能会导致延迟增加。对执法要求的响应也可能会受到影响。对于订户，他们只希望保护其通信安全并免受DNS攻击，而DoH似乎确实解决了他们长期以来对恶意软件，入侵，数据盗窃和隐私的担忧。

防御吧的HTTPS上的DNS解决方案

基于HTTPS的DNS标准仍处于草稿形式。该过程尚处于早期阶段，但讨论仍在进行中，并且该行业正在迅速做出响应。在防御吧 Networks，我们相信大多数运营商最终都将DoH作为一种选择。因此，防御吧 使用我们的运营商级Thunder®融合防火墙（CFW）开发了一种DNS安全解决方案，该解决方案使ISP可以在不破坏现有DNS基础架构或投资的情况下做到这一点。

我们的DNS安全解决方案最近被美洲的一家一级运营商选择，希望确保随着DNS标准的发展并防止DNS攻击，它可以继续满足其订户的需求。该解决方案可帮助运营商确保其现有增值服务的连续性，并保持对服务质量的控制。此外，防御吧的DNS over HTTPS解决方案有助于降低成本，并将对现有DNS基础架构的影响降至最低。在DNS服务器之前实施的防御吧解决方案可以保护DNS投资，同时确保高性能和低延迟。阅读案例研究，了解防御吧的客户如何部署加密的DNS协议来保护其订户的隐私和安全。

查看DoH网络研讨会

现在观看点播网络研讨会“ DoH –加强DNS基础结构安全性并改善订户隐私”。我们将介绍域名系统的作用，常见的DNS攻击类型以及与DoH相关的行业发展。将探讨ISP和订户的利弊，并审查防御吧的DNS安全解决方案，包括一个演示雷电融合防火墙（CFW）中的防御吧 DoH解决方案的演示。