近日，美国国家安全局发布了一份指南，指导各组织如何采用加密域名系统协议，以防止DNS通信被窃听和操纵。虽然该机构的报告针对的是军事和国防承包商，但它的建议可以被所有部门采纳。

　　在传统的DNS架构中，当客户端提交一个DNS查询时，它首先转到企业递归DNS解析器。根据美国国家安全局的说法，这通常是通过动态主机配置协议(DHCP）分配的。

　　美国国家安全局解释说：“企业DNS解析器将从其缓存中返回已回答的查询，或通过企业网关将查询转发到外部权威DNS服务器。”DNS的响应将通过企业网关返回到企业DNS解析器，最后返回到客户端。在交换过程中，企业DNS解析器和企业网关都可以看到明文查询和响应，并将其记录下来进行分析，如果它看起来是恶意的或违反了企业策略，则可以阻止它。”

　　根据美国国家安全局的说法，DoH对DNS请求进行加密，以防止窃听和操纵DNS流量。虽然DoH有利于确保家庭和小型企业网络的隐私，但如果不正确实施的话，它可能会给企业网络带来风险如何用代理服务器改ip。

　　DoH也保护客户端和DNS解析器之间的DNS通信。由于该流量是加密的，并与其他HTTPS流量混合到网站上，黑客很难确定哪些数据包包含DNS请求或响应，并查看请求的域名和IP地址。

　　美国国家安全局表示：“DNS解析器的响应也经过了认证，并受到保护，不会被未经授权的修改。”“相比之下，传统的DNS交易是在专门用于DNS的端口上以明文形式进行的，因此网络威胁参与者可以很容易地读取和修改传统的DNS流量。”美国国家安全局表示，使用DoH的潜在缺陷包括绕过通常的DNS监控和保护，造成网络错误配置，并允许攻击者利用上游DNS流量。

　　2020年5月，美国网络安全与基础设施安全局发布了一份备忘录，提醒联邦机构仅可使用已获批准的DNS解析服务，以确保网络流量的安全。

　　美国国家安全局建议，没有企业DNS控制保护的家庭、移动和远程办公用户使用DoH来保护DNS通信的机密性和完整性。该机构补充说，一些信誉良好的DNS解析器提供了额外的保护，公众可以免费使用。

　　该机构指出：“如果外部源提供了保护DNS功能，那么该特定解析器应该允许加密DNS，其他所有DNS都应该被屏蔽。”