例如,用户 A 的 WAN IP 是 2.2.2.2,当用户在其路由器或操作系统的 IPv4 设置中设置此特定的 DNS 服务器时,他的 WAN IP 将更改为其他内容,例如 3.3.3.3。
这怎么可能?
出于安全原因,我认为这将使客户端更安全,因为它的工作方式类似于 VPN。
我看到的唯一问题是,如果两个用户使用此 DNS 并访问同一个网站,他们将显示在同一个 IP 中,因此该网站的管理员可能会认为他们是重复记账并可能禁止他们。
答案1
这怎么可能?
事实并非如此。
好吧,这在某种程度上是可能的,但它并不像听起来那么好。
DNS 服务器仅告知客户端其真实目的地在哪里 - 它实际上并不传输数据包,因此无法更改它们。(客户端甚至可以使用完全不同的 Internet 链接进行 DNS 请求和实际数据连接。)
为了实现您的目标,DNS 服务器需要提供虚假响应,这些响应始终指向中继服务器作为目标(并希望客户端不会因为 DNSSEC 验证失败而拒绝这些响应,认为它们明显是虚假的)。该中继服务器需要充当“透明代理”,接受所有连接,读取握手,然后与真实目标建立新连接并中继数据。(已经有软件可以做到这一点,尽管它旨在代理来自单个 LAN 的连接。)
中继服务器无法通过任何通用方式了解哪个 TCP 连接或哪个 UDP 数据报对应哪个原始域。这只能通过一些特定协议来实现,例如 HTTP 或 TLS(HTTPS、SMTPS、IMAPS、FTPS),这些协议将域作为初始握手的一部分。
出于安全原因,我认为这将使客户端更安全,因为它的工作方式类似于 VPN。
仅适用于实际涉及 DNS 的请求 - 它无法对“直接”IP 连接执行任何操作,例如当游戏从登录服务器获取服务器 IP 地址时,或者当 BitTorrent 客户端从跟踪器获取对等 IP 地址时。这些将完全绕过您的系统。
此外,仅适用于前面提到的在初始握手中发送主机名的少数协议。您的客户端将完全无法使用任何其他协议 - 几乎没有游戏、没有 VoIP、没有 SSH、没有 BitTorrent,而且几乎没有实际的 VPN。
此外,只有当客户禁用称为“DNSSEC”的安全功能,并相信您故意向所有DNS查询提供虚假信息。
还,它不能提供数据包加密(甚至没有完整性保护),而这正是 VPN 的主要卖点之一!对于许多用户来说,大部分“安全”都来自于此。
(此外,许多客户端 IPv4 地址已经是动态的和/或共享的;隐藏它们的需要处于优先级列表中相当低的位置。)
所以,它并不像 VPN。
答案2
您应该考虑设置一个 代理服务器:
代理服务器是一种服务器(计算机系统或应用程序),充当客户端向其他服务器寻求资源的请求的中介
然后,代理可以让您以不同的 IP 地址身份上网,该 IP 地址是代理本身的 IP 地址。
每个使用代理的客户端都是不同的连接,因此许多人都可以使用代理,似乎都有相同的 IP 地址,而没有任何问题。