阿里公共DNS安全传输服务_阿里云公共DNS安全传输服务介绍（DoH/DoT）

概述

阿里公共DNS专注于为广大网民提供高效、可靠和保障的域名解析服务。但传统的DNS查询与响应过程，主要依赖UDP和TCP的明文传输方式，这导致了一系列潜在的安全隐患，如网络监听、DNS劫持以及中间设备的干扰等问题。

为应对这些挑战，阿里公共DNS遵循DoH及DoT标准，向用户提供安全的DNS传输服务。该服务包括支持DNS通过HTTP(s)传输、DNS JSON API以及DNS通过TLS传输的三种安全传输方式。DNS安全传输服务适用于多种场合，包括移动应用、浏览器、操作系统、物联网设备以及网关路由器等。它通过加密传输DNS查询，提升了用户上网的安全性、解析的稳定性以及隐私保护水平。

除了对隐私进行加密之外，DNS安全传输服务通过TCP与HTTP协议连接用户终端与DNS服务器，这不仅能够提供精确的基于地理位置的DNS解析及流量分配，而且依托于DNS端到端连接的特性，DNS的变动能够迅速在秒级内实现端到端的生效。

在DoH与DoT传输服务领域，阿里公共DNS能够兼容TLS 1.2及TLS 1.3版本。

[]

阿里公共DNS服务采用RFC 8484标准，确保通过TLS加密的HTTP连接进行DNS查询解析。

DNS over HTTPs（DoH）的URI接口仅支持TLS API。

请注意，涉及到的A和AAAA记录，可能对应以下四个地址中的任意一个：223.5.5.5、223.6.6.6、2400:3200::1或2400:3200:baba::1。

请求方式： GET

请求参数 ：

参数类型描述示例默认值

dns

编码的DNS请求内容

dig d A, dns=

必须包含

请求示例 :

返回的DNS二进制数据 ：

严禁对编号为b869 8180 0001 0004 0000 0001 0761 6c69的资料进行任何形式的篡改。
此代码序列禁止被篡改，其组成部分包括：6261、6261、0363、6f6d、0000、0100、0107、616l。
此序列禁止进行任何形式的修改，包括但不限于编辑、篡改或删除。
此代码序列由八个字符组成，依次是：012c，0004，6a0b，d097，0761，6c69，6261，6261。
严禁对特定代码进行篡改，确保数据块的完整性，不得随意修改起始序列，维持原有格式不变。
该指令禁止对特定内容进行修改，确保了信息的准确性，同时维护了数据的完整性。
严格禁止对专有名词进行修改，同时不允许在文中插入任何英文单词，确保改写后的内容与原文在风格上保持一致，并去除原文最前面的序号。将较长的句子拆分为若干短句，以逗号分隔，确保不遗漏任何句末标点。
此序列码6c69 6261 6261 0363 6f6d 0000 0100 0100系禁止修改之唯一标识。
严禁对专有标识进行篡改，确保数据的完整性与准确性，不得擅自修改编码序列，维护系统的一致性和可靠性。
该序列禁止用于修改专有名词，2018年6月发布的规范中明确指出，22e6编码不得随意更改。

根据定义，DoH服务主要适用于两种情境：一是DNS通过HTTPS隧道进行传输，二是应用层直接访问DNS数据。由于DNS的二进制格式对应用来说不够友好，例如需要处理DNS名字的压缩机制等问题，因此，DNS Json的API被设计出来，旨在为应用提供更为便捷的接入途径。

2. DNS JSON API

DNS JSON API的URL接口支持两种通信方式，分别是基于TLS加密的API和未加密的API。

注意：其中是 的A和AAAA记录，可以是以下四个地址之一 ：223.5.5.5，223.6.6.6，2400:3200::1, 2400:3200:baba::1.

请求方式 ： GET

请求参数 ：

参数类型描述示例使用方法和默认值

name

请求域名

name=.

必选，无默认值

type

请求类型

type=1

可选，1

IP

ECS IP

=1.2.3.4/24

DNS代理使用，普通客户端不适用

**

关于参数 ：

旨在促进DNS与ECS功能的协同作用，需将用户的子网资料传递至权威DNS，以实现更精确的域名解析及流量分配。在此过程中，地址信息的精确度随掩码长度的增加而提升，而隐私保护效果则随掩码长度的缩短而增强。因此，推荐采用"/24"掩码长度。

本参数系专为DNS代理（proxy）在应用DNS JSON API时定制，当用户向DNS代理发起DNS查询时，该参数会携带用户的子网信息，随后将其传递至阿里公共DNS，并最终抵达权威DNS服务器。

当用户接入网络时，权威服务器会根据1.2.3.0/24地址前缀信息进行接收，此信息有助于用户挑选合适的DNS路径。

关于type参数支持类型：

记录类型ID意义示例（以 , 为例）

IPv4 地址

101.37.183.171

NS

NS 记录

.

CNAME

域名 CNAME 记录

..

SOA

ZONE 的 SOA 记录

. . 3600 360

TXT

16

TXT 记录

"v=spf1 : -all"

AAAA

28