AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1708212
Accepted
SneakyShrike
SneakyShrike
Asked: 2022-03-06 05:58:26 +0800 CST2022-03-06 05:58:26 +0800 CST 2022-03-06 05:58:26 +0800 CST

如何验证您是否通过 Quad9/其他非 Cloudflare DNS 提供商使用 DNS over HTTPS (DoH)

  • 772

我将 pihole 与 Quad9 DoH 的上游 DNS 服务器一起使用。上游 DNS 和 pihole 通过 docker 配置,docker-compose.yml file上游 DoH 服务器使用cloudflared服务。

version: "3.5"
networks:
   network-pihole:
     name: "dns-pihole"
     driver: bridge
     ipam:
       driver: default
       config:
         - subnet: 192.10.0.0/24    #Internal Docker Network between pihole and wirguard, bridged
  
  cloudflared:
    image: crazymax/cloudflared:latest
    container_name: cloudflared
    ports:
      - '5053:5053/udp'
      - '5053:5053/tcp'
    environment:
      - "TZ=Europe/Budapest"
      - "TUNNEL_DNS_UPSTREAM=https://9.9.9.9/dns-query,https://149.112.112.112/dns-query"
      # - "TUNNEL_DNS_UPSTREAM=https://1.1.1.1/dns-query,https://1.0.0.1/dns-query"
    restart: unless-stopped
    networks:
      network-pihole:
        ipv4_address: 192.10.0.2

  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
      - "443:443/tcp"
    environment:
      - "TZ=Europe/London"
      - "PIHOLE_DNS_=192.10.0.2#5053"
    dns:
      - 127.0.0.1
      - 9.9.9.9
    # Volumes store your data between container upgrades
    volumes:
      - "./etc-pihole/:/etc/pihole/"
      - "./etc-dnsmasq.d/:/etc/dnsmasq.d/"
    cap_add:
      - NET_ADMIN
    restart: unless-stopped
    networks:
      network-pihole:
        ipv4_address: 192.10.0.3

环境下的cloudflared服务内: . 我将TUNNEL_DNS_UPSTREAM=设置设置为https://9.9.9.9/dns-query,https://149.112.112.112/dns-query. 以及dns: to下的pihole服务。9.9.9.9

一切都很好,但是当我浏览到这个和这个cloudflare 检查器时,它说我没有使用 dns over https/secure dns:

在此处输入图像描述 在此处输入图像描述

但是,如果我使用 cloudflares DoH,我将TUNNEL_DNS_UPSTREAM=设置设置为dns: to下TUNNEL_DNS_UPSTREAM=https://1.1.1.1/dns-query,https://1.0.0.1/dns-query的pihole服务,然后再次运行两个 cloudflare 测试,它现在显示:Using DNS over HTTPS (DoH) yes and a green tick for secure dns。1.1.1.1

我不确定为什么这些测试不适用于 Quad9 DoH。还有其他方法可以验证我使用的是 Quad9 DoH 吗?

我什至不确定是否可以使用wireshark 查看数据包以查看dns 查询是否已加密?我对wirehshark很陌生,所以如果这是一种验证Quad9 DoH的方法,那么我不确定我在寻找什么。

dns https
  • 2 2 个回答
  • 4511 Views

2 个回答

  • Voted
  1. Best Answer
    user1686
    2022-03-06T06:44:30+08:002022-03-06T06:44:30+08:00

    一切都很好,但是当我浏览到这个和这个 cloudflare 检查器时,它说我没有使用 dns over https/secure dns:

    Cloudflare 检查器通常无法知道您是否通过 HTTPS 使用 DNS。它唯一知道的是您是否专门使用Cloudflare DoH 服务。

    此检查器的工作方式是 Cloudflare 已将其服务器设置为根据查询的方式对某些域做出不同的响应。该网页实际上无法知道您的 DNS 设置是什么,而是查询一些只有1.1.1.1 才能识别的特殊域。

    例如,如果您向 1.1.1.1 询问 name is-cf.help.every1dns.net,您会得到成功的回复,但如果您向任何其他 DNS 服务器询问相同的名称,它会说该域不存在。(同样,is-dot如果查询是通过 DoT 到达的,子域只会为您提供结果,并且is-doh只会通过 DoH 响应。)

    但是所有这些神奇的子域都是 Cloudflare 特定的——如果您询问 9.9.9.9 中的任何一个,它总是会说该域不存在,因为从全球 DNS 的角度来看,它确实不存在。

    我什至不确定是否可以使用wireshark 查看数据包以查看dns 查询是否已加密?我对wirehshark很陌生,所以如果这是一种验证Quad9 DoH的方法,那么我不确定我在寻找什么。

    从过滤发送到配置的 DNS 服务器的数据包开始。例如,如果您配置了 DNS 服务器1.1.1.1+1.0.0.1和 DoH URL https://1.1.1.1/dns-query,那么您应该过滤这两个 IP 地址的捕获。

    • 捕获过滤器(libpcap 语法):host 1.1.1.1 or 1.0.0.1

      IPv6 使用相同的语法,例如host 1.1.1.1 or 2606:4700:4700::1111.

    • 显示过滤器(Wireshark 语法):ip.addr == 1.1.1.1 || ip.addr == 1.0.0.1

      对于 IPv6,语法为ipv6.addr == 2606:4700:4700::1111.

    明文 DNS 将立即被识别为明文 DNS - Wireshark 将向您显示每个查询和响应的实际内容。

    同时 DoH 和 DoT 都将显示为 TLS 数据包。两者都使用相同类型的 TLS,区分它们的主要方法是查看 TCP 端口号:如果您使用 DoT,您将看到与专用“DNS over TLS”端口 853 的连接,而 DoH 使用通常与 HTTPS 相同的端口 443。

    (这不仅仅是端口号——DoH 将查询放在 HTTP 请求中,而 DoT 没有。你不会在 Wireshark 中看到它,因为它是 TLS 加密的,但无论如何这对你的目的都没有关系。 )

    请注意,由于 DoH 与常规 HTTPS 无法区分(例如在浏览器中访问 https://1.1.1.1 网站),因此端口 443 上存在TLS 数据包并没有多大意义——它也缺少明文 DNS 数据包您还需要注意的端口 53。

    • 2
  2. Hermógenes Oliveira
    2022-03-06T06:35:12+08:002022-03-06T06:35:12+08:00

    您正在尝试确定上游是否为 DoH。但是,您的浏览器可能正在对 pihole 执行普通的旧 UDP 查询。

    在这种情况下,只有当您的 DNS 查询被发送到他们的服务器时,Cloudflare 检查程序才能可靠地评估您的设置。他们可以做到这一点,例如,让您在浏览器中查询一些随机生成的子域字符串,然后检查他们的服务器是否通过 DoH 接收到对该子域的查询。但是,如果您将 DNS 查询发送到他们无法控制的服务器,他们就无法做到这一点。

    • 1

相关问题

  • wget 返回 404 错误

  • 5355 UDP svchost.exe Dnscache

  • 使用 dnsmasq.conf 阻止内部 IP 地址

  • 需要验证 firebaseapp.com 子域

  • 迁移 Windows Server 2008

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    v15 为什么通过电缆(同轴电缆)的千兆位/秒 Internet 连接不能像光纤一样提供对称速度? 2020-01-25 08:53:31 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve