使用 CloudFlare 1.1.1.1 DNS over HTTPS 的一个例子

DNS 参考资料

› dnslib for Python

This topic created in 2965 days ago, the information mentioned may be changed or developed.

如果你用 curl：

curl "https://1.1.1.1/dns-query?ct=application/dns-json&name=example.com&type=A"

那么可以得到这样的结果：

{"Status": 0,"TC": false,"RD": true, "RA": true, "AD": true,"CD": false,"Question":[{"name": "example.com.", "type": 1}],"Answer":[{"name": "example.com.", "type": 1, "TTL": 2774, "data": "93.184.216.34"}]}

更多具体细节可以看 CloudFlare 的文档：

https://developers.cloudflare.com/1.1.1.1/dns-over-https/

关于 DNS over HTTPS 的 JSON 格式的具体说明可以见 Google 的文档：

https://developers.google.com/speed/public-dns/docs/dns-over-https

30 replies • 2018-04-11 09:18:43 +08:00

mashirozx

Apr 3, 2018 via Android

emmmm，所以需要网站支持吗？🤔

loginv2

Apr 3, 2018 via Android

这是给客户端用的？

Livid

MOD

PRO

Apr 3, 2018

@loginv2 对。相信很快就会有各种 HTTP 客户端库跟进。

这是在 Firefox 上启用 DNS over HTTPS 的方法：

https://www.v2ex.com/t/444059

linshixiong

Apr 3, 2018

https://github.com/facebookexperimental/doh-proxy

redsonic

Apr 3, 2018

@linshixiong

cloudflare 官方还在 userguide 里面推荐了 dnscrypt-proxy 2.0
https://github.com/jedisct1/dnscrypt-proxy/releases

2.0 用 go 重写了，所以直接发布静态编译版本了，没有比这个更简单了。

wzw

Apr 3, 2018 via iPhone

@redsonic #5 第一次看到，直接用？看来我得试试，可以防污染吧

kmahyyg

Apr 4, 2018 via Android

正在想为什么没人搞 DNS over TLS，我压 DoT

bazingaterry

Apr 4, 2018 via iPhone

感覺 1.1.1.1 的 443 端口在某些地區要準備被雙向 RST 了。

Livid

MOD

PRO

Apr 4, 2018

@bazingaterry 他们其实在国内有服务器。

techyan

Apr 4, 2018

@Livid 没有。CloudFlare 的 China Network 跟其他国家都是分开的。其他国家是把 IP 给 Anycast 到 CloudFlare 的数据中心，但在中国是直接用的百度云加速来分区解析。1.1.1.1 和 1.0.0.1 能 Anycast 到中国大陆的百度云节点，可能性几乎为零。

Livid

MOD

PRO

Apr 4, 2018

@techyan 在中国某些地区只有 10ms 左右的延迟：

http://ping.chinaz.com/1.1.1.1

redsonic

Apr 4, 2018

@wzw arm ,mips ,x86 亲测都是直接用。只是 mips 的静态程序跑在本来内存就不大的路由器上有点压力。用了几天没发现劫持，另外它还支持域名黑名单和缓存，和 1.x 版相比简直是进步巨大。

luminous

Apr 4, 2018 via Android

@Livid 那是因为有的地方 1.1.1.1 被 isp 使用了相当于被劫持了

Monstercat

Apr 4, 2018 via Android

@Livid 8.8.8.8 在中国某些地区还不到 10ms 延迟

realpg

PRO

Apr 4, 2018

@Livid #11
中国有很多 1.1.1.1 ……
各种 demo 配到了路由 loopback 上做模拟上线测试，然后上生产环境就忘了摘下来，然后被 ospf 广播到运营商大网

kmahyyg

Apr 4, 2018 via Android

@bazingaterry 正解，我这走 TLS，日常 Reset ……不得不配多个上游轮换

torbrowserbridge

Apr 4, 2018

这个可以。

n1dragon

Apr 4, 2018 via iPhone

不知道 DoH 性能怎样，昨天试了下 DNS over TLS，发现速度太慢，解析个网站要 5 秒以上。

linshixiong

Apr 4, 2018

深圳电信 ping 1.1.1.1 延时竟然有 160ms，没法接受，我现在的做法是在香港阿里云上部署 DoH 服务器将 dns 转发道 1.1.1.1,本地使用 DoH 代理将 dns 包通过 HTTPS 转发到阿里云，dns 解析时间大约是 25ms

flowfire

Apr 4, 2018

我只想知道为什么能给 ip 签证书。。。。

vibbow

Apr 4, 2018

@flowfire #20 如果你有 IP 的所有权，是可以给 IP 签发证书的

yexm0

Apr 4, 2018 via iPhone

@flowfire 首先买 ip 这一步就能难倒不少站长了
https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

YIem

Apr 4, 2018

延迟高的要死，ping370ms 还丢包，我输入 baidu.com 居然跳 http://activity.sifuhe.cn , 可能是我用假的 1.1.1.1 吧

xiaolanglang

Apr 4, 2018

我在 GCE 的台湾节点 ping 都有 100ms+ 的延迟，但是听说 HK 的机器却很低？

techyan

Apr 4, 2018

没试的就别想着试了，这玩意在中国就是减速的。本质上它就是 CloudFlare，只不过把自家的数据中心拿出来当公共 DNS 罢了。国内用 CloudFlare 速度本来就慢得一笔，电信跟 CF 的洛杉矶虽然直连但效果也不好，并且延迟上 150ms 是常态。联通走 GTT，遇到抽风的话能持续几分钟都完全连不上。移动走香港还强点。并且就算用上了，它对 CDN 之类分区解析的结果也都不好，最后结果还是减速。抱怨延迟高什么的一点意思都没有，在国内这玩意就不可能好用。