答案1
是也不是。
DoH 将加密您与 DNS 服务器之间的通信,使得通过 DNS 进行跟踪变得极其困难,但是
如果您的流量可以被嗅探,那么这些信息也是可用的 - 未加密的 - 作为 https 协商的一部分 - 因此对于网站来说它仍然可以被跟踪。(仅限请求的域 - 而不是完整的 URL。)
如果您不使用 VPN,那么防止这种情况发生的选项将非常有限 - 您将需要一个模拟 - 可能是具有加密或隧道的代理,它们实际上可以做同样的事情 - 将您的流量包装在第二个加密层中,不受中间人的控制。看看 SSH 隧道和 SOX。
答案2
不
安全 DNS 仅隐藏您的 DNS 流量。顾名思义,它仅保护您所做的和DNS 不是你用你得到的信息做什么从DNS。
“DNS over HTTPS 会隐藏我访问的网站名称吗?”这个问题引起了人们的疑问。那么,如果您只使用 DNS 安全性,会发生什么呢?当您向 DNS 服务器请求 whatever.com 时,它会阻止数据公开可见,而在大多数家庭安排中,DNS 服务器不在您自己的网络上。
您的计算机随后会获取它解析到的 IP 的响应并建立连接。该连接将以 IP 的形式存在,并且 IP 地址可以追溯到托管在其上的站点(通常)。如果同一 IP 上有多个站点,则情况可能不太清楚,但例如,一个是成人内容,另一个是钩针编织等……可以进行逻辑推理。现在,往返于该站点的数据几乎肯定会被加密。因此,您在该站点上所做的操作将不会被知道。您向 DNS 请求的内容也不会被知道,但它不会隐藏您最终连接到的内容。
参见图片,数据包捕获将显示往返于 IP 地址的流量。因此,使用安全 DNS,您不会看到我的计算机专门请求 facebook.com,但您可以看到它连接的 IP 属于 facebook
答案3
是的,这就像你使用 HTTPS 访问网站时,嗅探你的互联网流量的人无法真正看到它的内容,只有你和服务器才能看到。根据RFC8484 第 8.1 节他们声称:“DoH 加密 DNS 流量并要求对服务器进行身份验证。“并且它”减轻了被动监视RFC7258以及试图将 DNS 流量转移到恶意服务器的主动攻击”。
它还使用端口 443,该端口几乎用于 99% 的 HTTPS 流量,因此如果有人尝试使用 Wireshark 嗅探您的流量,将很难识别 DoH 流量,因为它会与正常的 HTTPS 流量(网站)混合在一起。
附注:它还可以防止 DNS 过滤,我的意思是,如果您的网络中存在某些防火墙过滤特定域(如恶意软件站点),则通过使用 DoH,防火墙将无法阻止您输入的任何域。
DNSCrypt FAQ 网站还列出了使用 DoH 的优点和缺点这里但如果您只是想防止简单的 Wireshark 嗅探,DoH 就足够了。