例如,使用者 A 的 WAN IP 是 2.2.2.2,當使用者在其路由器中或作業系統的 IPv4 設定中設定此特定 DNS 伺服器時,他的 WAN IP 將變更為其他名稱,例如 3.3.3.3。
這怎麼可能?
出於安全原因,我認為這將使客戶端更安全,因為它像 VPN 一樣工作。
我看到的唯一問題是,如果兩個用戶使用此 DNS 並訪問同一個網站,他們將顯示在相同的 IP 中,因此該網站的管理員可能會認為他們是雙重帳戶,並可能禁止他們。
答案1
這怎麼可能?
事實並非如此。
好吧,這在某種程度上是可能的,但它並不像聽起來那麼好。
DNS 伺服器只告訴客戶端它們的真正目的地在哪裡——它實際上並不會傳輸資料包,因此它無法更改它們。 (用戶端甚至可以使用完全不同的 Internet 連結來進行 DNS 請求和真實資料連線。)
為了實現您想要的目的,DNS 伺服器需要提供始終指向中繼伺服器作為目的地的虛假回應(並希望用戶端不會因 DNSSEC 驗證失敗而拒絕這些顯然是虛假的回應)。此中繼伺服器需要充當“透明代理”,接受所有連接,讀取握手,然後與真實目的地建立新連接併中繼資料。 (已經有軟體可以做到這一點,儘管它的目標是代理來自單一 LAN 的連線。)
中繼伺服器沒有任何通用方法來了解哪個 TCP 連線或哪個 UDP 資料封包對應於哪個原始網域。這只能透過一些特定協定來完成,例如 HTTP 或 TLS(HTTPS、SMTPS、IMAPS、FTPS),這些協定將網域作為初始握手的一部分。
出於安全原因,我認為這將使客戶端更安全,因為它像 VPN 一樣工作。
僅對於實際涉及 DNS 的請求 - 它無法對「直接」IP 連線執行任何操作,例如,當遊戲從登入伺服器取得伺服器 IP 位址時,或當 BitTorrent 用戶端從追蹤器取得對等 IP 位址時。這些將完全繞過您的系統。
此外,僅適用於前面提到的少數在初始握手中發送主機名稱的協定。您的用戶端將完全無法使用任何其他協定 - 幾乎沒有遊戲、沒有 VoIP、沒有 SSH、沒有 BitTorrent,而且大多數情況下沒有實際的 VPN。
此外,僅當客戶停用稱為「DNSSEC」的安全功能,並信任您故意向其所有 DNS 查詢提供虛假資訊。
也,它無法提供資料包加密(甚至沒有完整性保護),這是VPN的主要賣點之一!對於許多用戶來說,這是大部分「安全」的來源。
(此外,許多客戶端 IPv4 位址已經是動態和/或共享的;隱藏它們的需要在優先列表中相當低。)
所以不,它不像 VPN。
答案2
您應該考慮設定一個 DNS 伺服器,而不是 DNS 伺服器 代理伺服器:
代理伺服器是充當客戶端從其他伺服器尋求資源的請求的中介的伺服器(電腦系統或應用程式)
然後,代理程式允許您使用不同的 IP 位址身分(即代理本身的 IP 位址)上網。
每個使用代理的客戶端都是不同的連接,所以很多人都可以使用代理,看起來都有相同的IP位址,沒有任何問題。