对于 DNS over TLS 服务器,可以使用 DNS 解析器的主机名而不是 IP 地址(例如在 Android 9+ 中)。
Googledns.google
和 Cloudflare 也提供1dot1dot1dot1.cloudflare-dns.com
,但正如您所见,这些不是 IP 地址。
那么,既然他们本身就是解析器,那么他们自己的地址究竟是如何解析的呢?
答案1
有几种方法:
客户端可以使用常规纯文本 DNS 作为引导机制。一旦知道 DoH/DoT 解析器的 IP 地址,它就会切换到 TLS 模式。这适用于任何提供商。
有些服务器实际上具有对其 IP 地址有效的证书,因此您无需输入主机名 - 您可以像过去一样输入 IP 地址。例如,Google
8.8.8.8
和 Cloudflare1.1.1.1
都会直接接受 DoH 和 DoT 的 TLS 连接。这种情况相对罕见。有些客户端会要求您输入 IP 地址和单独指定证书名称。例如,在以 Unbound 为 DoT 客户端的 Linux 上,您可以指定“使用 8.8.8.8 作为解析器,但期望使用‘dns.google’作为其证书”。(是的,Google 确实对 DoH/DoT 使用与常规 DNS 相同的 8.8.8.8 IP 地址。)
答案2
大多数 DNS 服务器都配置为将自己作为解析器(主解析器或辅解析器)。此操作在设置服务器时手动完成。
在某些体系结构下,DNS 服务器应仅将自身配置为辅助解析器。例如,如果 DNS 服务器也是域控制器,并且它仅指向自身进行名称解析,则它可能会成为一个孤岛,无法与其他域控制器进行复制(关联)。
各种来源都建议(或强制)这样做。快速搜索发现: