DNS 如何運作：網際網路的電話簿

當你在瀏覽器中輸入一個網址時，你可能沒有想過背後發生了什麼。例如，輸入「example.com」之後，你的電腦需要找到該網站實際所在的伺服器位址。這個看似簡單的動作涉及一個名為 DNS（域名系統）的全球基礎設施。DNS 是網際網路的電話簿——它將人類可讀的域名轉換為機器能夠理解的數字位址。理解 DNS 的運作方式至關重要，因為它不僅影響你如何訪問網站，還直接影響你的隱私和言論自由。

DNS 查詢的旅程

當你在瀏覽器中輸入一個網址時，你的電腦並不知道該網站的實際 IP 位址（想像 IP 位址就像一棟房子的街道地址）。它需要詢問某個知道答案的人。這個過程稱為遞迴 DNS 查詢，涉及四層不同的伺服器，每一層都扮演特定的角色。

首先，你的電腦聯繫一個稱為「存根解析器」的小程式。這個程式實際上就在你的裝置上，或者由你的網際網路服務提供商（ISP）提供。它就像你的私人助手，負責代表你提出問題。存根解析器向上一級傳遞你的問題：遞迴解析器。

遞迴解析器是一個功能強大的伺服器，通常由你的 ISP 或公共 DNS 服務商營運。如果這個解析器不知道答案，它會開始一次追蹤。它首先聯繫根伺服器——這是 DNS 系統的最頂層。根伺服器不知道 example.com 的具體位址，但它知道「.com」這個頂級域名（TLD）由誰管理。

根伺服器將遞迴解析器指向 TLD 伺服器。TLD 伺服器是管理所有 .com、.org、.cn 等頂級域名的伺服器。TLD 伺服器也不知道 example.com 的確切位址，但它知道 example.com 的權威名稱伺服器在哪裡。

最後，遞迴解析器聯繫權威名稱伺服器——這個伺服器由 example.com 的所有者控制，包含該域名的實際 IP 位址。它提供答案。這個答案向後傳遞：從權威伺服器回到 TLD 伺服器，再回到遞迴解析器，最後回到你的電腦。你的瀏覽器現在知道該連接到哪個 IP 位址了。

整個過程通常在幾毫秒內完成，你甚至不會注意到它發生了。但是這個系統有一個關鍵的弱點。

DNS 和隱私問題

DNS 查詢默認情況下完全不加密。這意味著任何能夠監控你的網路流量的人——包括你的 ISP、你的網路管理員、甚至咖啡館的 Wi-Fi 提供商——都可以看到你查詢的每個域名。他們可以看到你何時訪問了新聞網站、銀行、社交媒體、醫療資訊網站或任何其他網站。

想像一下，將每個網址查詢寫在一張明信片上，然後通過郵政系統發送它。郵遞員可以閱讀明信片上的所有內容。你的 ISP 就像那個郵遞員——他們可以看到你在尋找什麼，即使他們無法看到你從那些網站下載了什麼內容。

VPN（虛擬私人網路）可以加密你的所有網路流量，但許多人甚至沒有意識到 DNS 是一個獨立的問題。一個只使用 VPN 但仍然使用 ISP 的預設 DNS 伺服器的人仍然會洩露他們的瀏覽習慣。

加密 DNS：DoH 和 DoT

為了解決這個問題，提出了兩種主要的加密 DNS 方法：DNS over HTTPS（DoH）和 DNS over TLS（DoT）。

DoH 將 DNS 查詢封裝在 HTTPS 連接中——這就是你的瀏覽器已經用來安全連接網站的相同加密協議。你的 ISP 可以看到你在聯繫 DoH 伺服器，但無法看到你實際查詢的域名。

DoT 使用 TLS（傳輸層安全）協議，這是 HTTPS 中使用的基礎加密技術。它提供類似的隱私保護，但通過不同的技術路徑。

DoH 和 DoT 的權衡在於，雖然它們向你的 ISP 隱藏了查詢，但你現在依賴於你選擇的 DoH 或 DoT 服務提供商。如果你使用一個不可信的提供商，你只是將你的信任從 ISP 轉移到了別的地方。選擇一個有良好隱私政策和審計記錄的提供商很重要。

DNS 過濾和審查

DNS 過濾是網際網路審查中最常見和最便宜的方法。政府和組織可以簡單地命令 DNS 伺服器返回虛假答案或不回答特定域名的查詢，有效地阻止對這些網站的訪問。用戶甚至可能不會意識到發生了什麼——他們只是得到「找不到網站」的錯誤。

DNS 過濾便宜、廣泛應用且難以察覺。它不需要深度數據包檢查或複雜的基礎設施。這就是為什麼許多受到審查的網絡在其境內廣泛使用 DNS 過濾。

關鍵要點

DNS 是一個優雅而必要的系統，但它也是你網路隱私和自由的一個關鍵點。默認情況下，你的 DNS 查詢對你的 ISP 是透明的。加密 DNS 選項存在，但它們涉及權衡。了解 DNS 的運作方式是理解網際網路如何工作、你的隱私在哪裡受到威脅，以及審查如何實施的基礎。從這裡，探索 VPN 如何工作、如何評估不同的加密協議，以及如何在實踐中應用這些知識。