手撸纯净版 DoH 服务
💡
原文中文,约7300字,阅读约需18分钟。
📝
内容提要
本文介绍了DNS over HTTPS(DoH)服务的工作原理和使用Go语言开发的简易DoH服务,解决了传统DNS协议存在的安全和隐私问题。同时提到了公共DNS解析服务、DNS污染问题以及解决方法,包括使用海外服务器和EDNS Client Subnet(ECS)技术。最后,介绍了实现DoH代理和ECS功能的方法,并推荐了相关工具和项目。
🎯
关键要点
- 传统 DNS 协议存在安全和隐私问题,IETF 制定 RFC8484 以解决这些问题。
- DNS over HTTPS (DoH) 使用 HTTPS 加密链路传输 DNS 查询,提升安全性。
- 国内公共 DNS 解析服务如 DNSPod 和阿里云支持 DoH,但存在 DNS 污染问题。
- 解决 DNS 污染问题的方案是使用海外服务器和 EDNS Client Subnet (ECS) 技术。
- ECS 技术通过脱敏用户 IP 地址来保护隐私并提供就近访问。
- 使用 Go 语言实现 DoH 代理,支持 GET 和 POST 查询方式。
- Firefox 对 DoH 配置存在问题,需设置响应头的 Content-Type 为 application/dns-message。
- 实现 ECS 功能需要处理 DNS 查询消息并添加 ECS 信息。
- 使用 miekg/dns 包来解析和拼装 DNS 查询消息,处理 ECS。
- 通过 q 工具验证 ECS 是否生效,支持指定 ECS 参数。
- 解决 DoH 转发和 ECS 问题后,域名分流功能也可实现。
- DNSPod 在香港的 Anycast 节点可返回无污染的解析结果,简化了域名分流的需求。
- 整合代码到 ZNS 项目,部署在香港 VPS 上,并集成支付宝进行流量收费。
- SQLite 数据库在并发写入时存在问题,需优化配置以支持高并发。
- 鼓励用户尝试做自己的闭环产品,提升服务价值。
🏷️
标签
➡️
