從 Router 出去到目的地網站,中間到底有沒有人窺探您的資料? 若從 DNS 開始,都用 HTTPS,就可以將資料都加密起來,防止中間有人惡意搞鬼。
Mikrotik RouterOS 從 6.47 版開始支援 DoH (DNS over HTTPS) 功能,可以將 Router 到 DNS 服務商都用 HTTPS 加密包起來。例如 TWNIC 的 Quad 101 (https://dns.twnic.tw/dns-query)、Cloudflare DNS (https://cloudflare-dns.com/dns-query)或 Google DNS (https://dns.google/dns-query)。
但是,因為 DoH 有經過加解密,它需要 CPU 運算,所以 RouterOS 開啟這功能,會增加些 CPU 運算的壓力。
RouterOS 的 CPU 負荷差異。圖左紅框用 DoH 協定;圖右藍框用傳統的 DNS 協定。
若是原來 Router 的 CPU 負荷很重,在沒有緩解的方式前,可能用傳統的 DNS 方式較適合。若是可以承擔這個運算壓力,當然是用 DoH,降低使用網路時被駭客攻擊的風險。
