Shayan Asked: 2019-07-24 10:20:59 +0800 CST2019-07-24 10:20:59 +0800 CST 2019-07-24 10:20:59 +0800 CST DNS 服务器如何更改用户的 IP? 772 例如,用户 A 的 WAN IP 是 2.2.2.2,当用户在其路由器或操作系统的 IPv4 设置中设置此特定 DNS 服务器时,他的 WAN IP 将更改为其他内容,例如 3.3.3.3。 这怎么可能? 出于安全原因,我认为这将使客户更安全,因为它像 VPN 一样工作。 我看到的唯一问题是,如果两个用户使用此 DNS 并访问同一个网站,他们将显示在同一个 IP 中,因此该网站的管理员可能会认为他们是双重账户,并可能禁止他们。 dns vpn 2 个回答 Voted Best Answer user1686 2019-07-24T10:33:13+08:002019-07-24T10:33:13+08:00 这怎么可能? 它不是。 好吧,这在某种程度上是可能的,但它并不像听起来那么好。 DNS 服务器只告诉客户端它们真正的目的地在哪里——它实际上并不传输数据包,因此它无法更改它们。(客户端甚至可以为 DNS 请求和真实数据连接使用完全不同的 Internet 链接。) 为了实现你想要的,DNS 服务器需要提供始终指向中继服务器作为目的地的虚假响应(并希望客户端不会因为 DNSSEC 验证失败而拒绝这些响应,因为这些响应显然是虚假的)。该中继服务器需要充当“透明代理”,接受所有连接,读取握手信息,然后建立到真实目的地的新连接并中继数据。(已经有用于执行此操作的软件,尽管它旨在代理来自单个 LAN 的连接。) 中继服务器没有任何通用的方法来知道哪个 TCP 连接或哪个 UDP 数据报对应于哪个原始域。这只能通过一些特定的协议来完成,例如 HTTP 或 TLS(HTTPS、SMTPS、IMAPS、FTPS),这些协议将域作为初始握手的一部分。 出于安全原因,我认为这将使客户更安全,因为它像 VPN 一样工作。 仅针对实际涉及 DNS 的请求——它不能为“直接”IP 连接做任何事情,例如,当游戏从登录服务器获取服务器 IP 地址时,或者当 BitTorrent 客户端从跟踪器获取对等 IP 地址时。这些将完全绕过您的系统。 此外,仅适用于前面提到的少数几个在初始握手中发送主机名的协议。您的客户将完全无法使用任何其他协议——几乎没有游戏、没有 VoIP、没有 SSH、没有 BitTorrent,而且几乎没有真正的 VPN。 此外,仅当客户端禁用称为“DNSSEC”的安全功能并相信您故意向其所有 DNS 查询提供虚假信息时。 此外,它不能提供数据包加密(甚至完整性保护),这是 VPN 的主要卖点之一!对于许多用户来说,这是大部分“安全”的来源。 (此外,许多客户端 IPv4 地址已经是动态的和/或共享的;隐藏它们的需求在优先级列表中相当低。) 所以不,它不像 VPN。 harrymc 2019-07-24T10:47:09+08:002019-07-24T10:47:09+08:00 您应该考虑设置 代理服务器,而不是 DNS 服务器: 代理服务器是一个服务器(计算机系统或应用程序),充当从其他服务器寻求资源的客户端请求的中介 代理然后让您以不同的 IP 地址身份上网,这是代理本身的 IP 地址。 每个使用代理的客户端都是不同的连接,所以很多人都可以使用代理,看起来都具有相同的IP地址,没有任何问题。
它不是。
好吧,这在某种程度上是可能的,但它并不像听起来那么好。
DNS 服务器只告诉客户端它们真正的目的地在哪里——它实际上并不传输数据包,因此它无法更改它们。(客户端甚至可以为 DNS 请求和真实数据连接使用完全不同的 Internet 链接。)
为了实现你想要的,DNS 服务器需要提供始终指向中继服务器作为目的地的虚假响应(并希望客户端不会因为 DNSSEC 验证失败而拒绝这些响应,因为这些响应显然是虚假的)。该中继服务器需要充当“透明代理”,接受所有连接,读取握手信息,然后建立到真实目的地的新连接并中继数据。(已经有用于执行此操作的软件,尽管它旨在代理来自单个 LAN 的连接。)
中继服务器没有任何通用的方法来知道哪个 TCP 连接或哪个 UDP 数据报对应于哪个原始域。这只能通过一些特定的协议来完成,例如 HTTP 或 TLS(HTTPS、SMTPS、IMAPS、FTPS),这些协议将域作为初始握手的一部分。
仅针对实际涉及 DNS 的请求——它不能为“直接”IP 连接做任何事情,例如,当游戏从登录服务器获取服务器 IP 地址时,或者当 BitTorrent 客户端从跟踪器获取对等 IP 地址时。这些将完全绕过您的系统。
此外,仅适用于前面提到的少数几个在初始握手中发送主机名的协议。您的客户将完全无法使用任何其他协议——几乎没有游戏、没有 VoIP、没有 SSH、没有 BitTorrent,而且几乎没有真正的 VPN。
此外,仅当客户端禁用称为“DNSSEC”的安全功能并相信您故意向其所有 DNS 查询提供虚假信息时。
此外,它不能提供数据包加密(甚至完整性保护),这是 VPN 的主要卖点之一!对于许多用户来说,这是大部分“安全”的来源。
(此外,许多客户端 IPv4 地址已经是动态的和/或共享的;隐藏它们的需求在优先级列表中相当低。)
所以不,它不像 VPN。
您应该考虑设置 代理服务器,而不是 DNS 服务器:
代理然后让您以不同的 IP 地址身份上网,这是代理本身的 IP 地址。
每个使用代理的客户端都是不同的连接,所以很多人都可以使用代理,看起来都具有相同的IP地址,没有任何问题。