Hoe kinne jo jo DNS fersiferje sûnder jo router oan te reitsjen mei DoH: in folsleine hantlieding

Lêste update: 16-10-2025
Skriuwer: Cristian Garcia

  • DoH fersiferet DNS-fragen mei HTTPS (poarte 443), wêrtroch't de privacy ferbettere wurdt en manipulaasje foarkomt.
  • It kin aktivearre wurde yn browsers en systemen (ynkl. Windows Server 2022) sûnder ôfhinklik te wêzen fan 'e router.
  • Prestaasjes fergelykber mei klassike DNS; oanfolle troch DNSSEC om antwurden te falidearjen.
  • Populêre DoH-tsjinners (Cloudflare, Google, Quad9) en de mooglikheid om jo eigen resolver ta te foegjen of yn te stellen.

Hoe kinne jo jo DNS fersiferje sûnder jo router oan te reitsjen mei DNS oer HTTPS

¿Hoe kinne jo jo DNS fersiferje sûnder jo router oan te reitsjen mei DNS oer HTTPS? As jo ​​soargen meitsje oer wa't sjen kin mei hokker websiden jo ferbine, Fersiferje domeinnammesysteemfragen mei DNS oer HTTPS It is ien fan 'e maklikste manieren om jo privacy te fergrutsjen sûnder dat jo mei jo router hoege te striden. Mei DoH hâldt de oersetter dy't domeinen nei IP-adressen konvertearret op mei reizgjen sûnder problemen en giet troch in HTTPS-tunnel.

Yn dizze hantlieding fine jo, yn direkte taal en sûnder al tefolle jargon, Wat is DoH krekt, en hoe ferskilt it fan oare opsjes lykas DoT, hoe't jo it ynskeakelje kinne yn browsers en bestjoeringssystemen (ynklusyf Windows Server 2022), hoe't jo ferifiearje kinne dat it eins wurket, stipe servers, en, as jo jo dapper fiele, sels hoe't jo jo eigen DoH-resolver ynstelle kinne. Alles, sûnder de router oan te reitsjen...útsein in opsjonele seksje foar dyjingen dy't it wol op in MikroTik konfigurearje wolle.

Wat is DNS oer HTTPS (DoH) en wêrom jo jo miskien soargen meitsje

Google DNS

As jo ​​in domein ynfiere (bygelyks Xataka.com) freget de kompjûter in DNS-resolver wat it IP-adres is; Dit proses is meastal yn gewoane tekst En elkenien op jo netwurk, jo ynternetprovider, of tuskenlizzende apparaten kin it ôfspionearje of manipulearje. Dit is de essinsje fan klassike DNS: rap, oeral oanwêzich ... en transparant foar tredden.

Hjir komt DoH yn byld: It ferpleatst dy DNS-fragen en antwurden nei itselde fersifere kanaal dat brûkt wurdt troch it feilige web (HTTPS, poarte 443)It resultaat is dat se net mear "yn it iepenbier" reizgje, wêrtroch't de mooglikheid fan spionaazje, query-kaping en bepaalde man-in-the-middle-oanfallen ferminderet. Fierder, yn in protte testen latency wurdt net merkber slimmer en kin sels ferbettere wurde tanksij ferfieroptimalisaasjes.

In wichtich foardiel is dat DoH kin ynskeakele wurde op applikaasje- of systeemnivo, sadat jo net hoege te fertrouwen op jo provider of router om wat dan ek yn te skeakeljen. Dat wol sizze, jo kinne josels beskermje "fan 'e browser út", sûnder netwurkapparatuer oan te reitsjen.

It is wichtich om DoH te ûnderskieden fan DoT (DNS oer TLS): DoT fersiferet DNS op poarte 853 direkt oer TLS, wylst DoH it yntegreart yn HTTP(S). DoT is yn teory ienfâldiger, mar It is wierskynliker dat it blokkearre wurdt troch firewalls dy't ûngewoane poarten ôfsnije; DoH, troch 443 te brûken, omseilt dizze beheiningen better en foarkomt twongen "backtracking"-oanfallen op net-fersifere DNS.

Oer privacy: It brûken fan HTTPS ymplisearret gjin cookies of tracking yn DoH; de noarmen advisearje útdruklik tsjin it gebrûk dêrfan Yn dizze kontekst ferminderet TLS 1.3 ek de needsaak om sesjes opnij te starten, wêrtroch korrelaasjes minimalisearre wurde. En as jo soargen binne oer prestaasjes, kin HTTP/3 oer QUIC ekstra ferbetteringen leverje troch query's te multiplexen sûnder te blokkearjen.

Hoe DNS wurket, mienskiplike risiko's, en wêr't DoH yn past

It bestjoeringssysteem leart normaal hokker resolver te brûken fia DHCP; Thús brûke jo meastentiids de ynternetprovider, op it kantoar, it bedriuwsnetwurk. As dizze kommunikaasje net fersifere is (UDP/TCP 53), kin elkenien op jo Wi-Fi of op 'e rûte opfrege domeinen sjen, falske antwurden ynjeksje, of jo trochferwize nei sykaksjes as it domein net bestiet, lykas guon operators dogge.

In typyske ferkearsanalyse lit poarten, boarne-/bestimmings-IP's en it domein sels sjen; Dit bleat net allinich blêdzjegewoanten, it makket it ek makliker om folgjende ferbiningen te korrelearjen, bygelyks mei Twitter-adressen of ferlykber, en ôf te lieden hokker krekte siden jo besocht hawwe.

Mei DoT giet it DNS-berjocht binnen TLS op poarte 853; mei DoH, De DNS-fraach is ynkapsele yn in standert HTTPS-fersyk, wat it ek mooglik makket foar webapplikaasjes fia browser-API's. Beide meganismen diele deselde basis: serverautentikaasje mei in sertifikaat en in end-to-end fersifere kanaal.

Eksklusive ynhâld - Klik hjir  Hoe kinne jo bots op Instagram blokkearje

It probleem mei nije havens is dat it gewoan is foar guon netwurken blokkearje 853, en stimulearret software om "werom te fallen" op net-fersifere DNS. DoH mitigearret dit troch 443 te brûken, wat gewoan is foar it web. DNS/QUIC bestiet ek as in oare beloftefolle opsje, hoewol it in iepen UDP fereasket en net altyd beskikber is.

Sels by it fersiferjen fan ferfier, wês foarsichtich mei ien nuânse: As de resolver leit, korrizjearret de sifer it net.Foar dit doel bestiet DNSSEC, dat it mooglik makket om de yntegriteit fan antwurden te falidearjen, hoewol de oannimmen dêrfan net wiidferspraat is en guon tuskenpersoanen de funksjonaliteit derfan ûnderbrekke. Dochs foarkomt DoH dat tredden ûnderweis jo fragen besjogge of manipulearje.

Aktivearje it sûnder de router oan te reitsjen: browsers en systemen

De ienfâldichste manier om te begjinnen is om DoH yn te skeakeljen yn jo browser of bestjoeringssysteem. Sa beskermje jo fragen fan jo team sûnder ôfhinklik te wêzen fan 'e firmware fan' e router.

Google Chrome

Yn aktuele ferzjes kinne jo gean nei chrome://settings/security en, ûnder "Brûk feilige DNS", aktivearje de opsje en kies de provider (dyn hjoeddeistige provider as se DoH stypje of ien fan 'e list fan Google lykas Cloudflare of Google DNS).

Yn eardere ferzjes bea Chrome in eksperimintele skeakel oan: type chrome://flags/#dns-over-https, sykje nei "Feilige DNS-opslach" en feroarje it fan Standert nei YnskeakeleStart jo browser op 'e nij om de feroarings ta te passen.

Microsoft Edge (Chromium)

Edge basearre op Chromium befettet in ferlykbere opsje. As jo ​​it nedich binne, gean dan nei edge://flags/#dns-over-https, sykje "Feilige DNS-opslach" en ynskeakelje it yn YnskeakeleYn moderne ferzjes is aktivearring ek beskikber yn jo privacyynstellingen.

Mozilla Firefox

Iepenje it menu (rjochtsboppe) > Ynstellings > Algemien > rôlje nei ûnderen nei "Netwurkynstellingen", tik op Konfiguraasje en markearje "DNS oer HTTPS ynskeakeljeJo kinne kieze út oanbieders lykas Cloudflare of NextDNS.

As jo ​​​​​​leaver fyn kontrôle hawwe, yn about:config oanpasse network.trr.mode: 2 (opportunist) brûkt DoH en makket fallback as net beskikber; 3 (strikte) mandaten DoH en mislearret as der gjin stipe is. Mei strikte modus, definiearje in bootstrap-resolver as network.trr.bootstrapAddress=1.1.1.1.

Opera

Sûnt ferzje 65 befettet Opera in opsje om DoH ynskeakelje mei 1.1.1.1It is standert útskeakele en wurket yn opportunistyske modus: as 1.1.1.1:443 reagearret, sil it DoH brûke; oars falt it werom op de net-fersifere resolver.

Windows 10/11: Autodeteksje (AutoDoH) en register

Windows kin DoH automatysk ynskeakelje mei bepaalde bekende resolvers. Yn âldere ferzjes, jo kinne it gedrach forsearje út it register: útfiere regedit en gean nei HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Meitsje in DWORD (32-bit) mei de namme EnableAutoDoh mei wearde 2 y Start de kompjûter opnij opDit wurket as jo DNS-tsjinners brûke dy't DoH stypje.

Windows Server 2022: DNS-kliïnt mei native DoH

De ynboude DNS-kliïnt yn Windows Server 2022 stipet DoH. Jo sille allinnich DoH brûke kinne mei servers dy't op har "Bekende DoH"-list steane. of dat jo sels tafoegje. Om it te konfigurearjen fanút de grafyske ynterface:

  1. Iepenje Windows-ynstellingen > Netwurk en ynternet.
  2. Yngean Ethernet en kies dyn ynterface.
  3. Rôlje op it netwurkskerm nei ûnderen nei Configuración de DNS en druk Bewurkje.
  4. Selektearje "Hânmjittich" om foarkars- en alternative servers te definiearjen.
  5. As dy adressen op 'e bekende DoH-list steane, sil it ynskeakele wurde "Foarkar DNS-fersifering" mei trije opsjes:
    • Allinnich fersifering (DNS oer HTTPS): DoH forsearje; as de tsjinner DoH net stipet, sil der gjin resolúsje wêze.
    • Foarkar foar fersifering, tastean net-fersifereBesiket DoH te dwaan en as it mislearret, falt werom op net-fersifere klassike DNS.
    • Allinnich net-fersifereBrûkt tradisjonele plattetekst DNS.
  6. Bewarje om wizigingen ta te passen.

Jo kinne ek de list mei bekende DoH-resolvers opfreegje en útwreidzje mei PowerShell. Om de aktuele list te sjen:

Get-DNSClientDohServerAddress

Om in nije bekende DoH-tsjinner te registrearjen mei jo sjabloan, brûk:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Tink derom dat de cmdlet Set-DNSClientServerAddress kontrolearret himsels net it gebrûk fan DoH; fersifering hinget ôf fan oft dy adressen yn 'e tabel fan bekende DoH-tsjinners steane. Jo kinne DoH op it stuit net konfigurearje foar de Windows Server 2022 DNS-kliïnt fanút Windows Admin Center of mei sconfig.cmd.

Groepsbelied yn Windows Server 2022

Der is in rjochtline neamd "DNS oer HTTPS (DoH) konfigurearje" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSAs ynskeakele, kinne jo kieze:

  • DoH tasteanBrûk DoH as de server it stipet; oars, freegje sûnder fersleuteling.
  • Ferbied DoH: brûkt noait DoH.
  • Fereaskje DoHtwingt DoH ôf; as der gjin stipe is, mislearret de resolúsje.
Eksklusive ynhâld - Klik hjir  Hoe kinne jo wachtwurden foar mobile tillefoans ûntsiferje

Belangryk: Skeakelje "DoH fereaskje" net yn op kompjûters dy't oan in domein ferbûn binneActive Directory is ôfhinklik fan DNS, en de Windows Server DNS Server-rol stipet gjin DoH-fragen. As jo ​​DNS-ferkear binnen in AD-omjouwing befeiligje moatte, beskôgje dan it brûken fan IPsec-regels tusken kliïnten en ynterne resolvers.

As jo ​​ynteressearre binne yn it trochferwizen fan spesifike domeinen nei spesifike resolvers, kinne jo de NRPT (Tabel foar namme-resolúsjebelied)As de bestimmingstsjinner op 'e bekende DoH-list stiet, dy oerlis sil troch DoH reizgje.

Android, iOS en Linux

Op Android 9 en heger, de opsje Privee DNS lit DoT (net DoH) ta mei twa modi: "Automatysk" (opportunistysk, nimt de netwurkresolver) en "Strict" (jo moatte in hostnamme opjaan dy't validearre wurdt troch in sertifikaat; direkte IP's wurde net stipe).

Op iOS en Android, de app 1.1.1.1 Cloudflare stelt DoH of DoT yn strikte modus yn mei de VPN API om net-fersifere oanfragen te ûnderskeppen en stjoer se troch fia in feilich kanaal.

Yn Linux, systemd-resolved stipet DoT sûnt systemd 239. It is standert útskeakele; it biedt opportunistyske modus sûnder sertifikaten te falidearjen en strikte modus (sûnt 243) mei CA-falidaasje mar sûnder SNI- of nammeferifikaasje, wat ferswakket it fertrouwensmodel tsjin oanfallers op 'e dyk.

Op Linux, macOS of Windows kinne jo kieze foar in strikte modus DoH-kliïnt lykas cloudflared proxy-dns (standert brûkt it 1.1.1.1, hoewol jo kinne upstreams definiearje alternativen).

Bekende DoH-tsjinners (Windows) en hoe't jo mear tafoegje kinne

Windows Server befettet in list mei resolvers dy't bekend binne om DoH te stypjen. Jo kinne it kontrolearje mei PowerShell en nije yngongen taheakje as jo dat nedich binne.

Dit binne de bekende DoH-tsjinners út 'e doaze:

Tsjinnereigner DNS-tsjinner IP-adressen
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Foar Besjoch de list, rinne:

Get-DNSClientDohServerAddress

Foar foegje in nije DoH-resolver ta mei syn sjabloan, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

As jo ​​meardere nammeromten beheare, sil de NRPT jo tastean om spesifike domeinen beheare nei in spesifike resolver dy't DoH stipet.

Hoe kinne jo kontrolearje oft DoH aktyf is

Yn browsers, besykje https://1.1.1.1/help; dêr sille jo sjen as dyn ferkear brûkt DoH mei 1.1.1.1 of net. It is in flugge test om te sjen yn hokker status jo binne.

Yn Windows 10 (ferzje 2004) kinne jo kontrolearje op klassyk DNS-ferkear (poarte 53) mei pktmon fan in privilegearre konsole:

pktmon filter add -p 53
pktmon start --etw -m real-time

As der in konstante stream fan pakketten op 'e 53 ferskynt, is it tige wierskynlik dat jo brûke noch altyd net-fersifere DNSTink derom: de parameter --etw -m real-time fereasket 2004; yn eardere ferzjes sille jo in flatermelding "ûnbekende parameter" sjen.

Opsjoneel: konfigurearje it op 'e router (MikroTik)

As jo ​​leaver fersifering sintraal op 'e router sette wolle, kinne jo DoH maklik ynskeakelje op MikroTik-apparaten. Ymportearje earst de root CA dy't ûndertekene wurdt troch de server wêrmei jo ferbine. Foar Cloudflare kinne jo downloade DigiCertGlobalRootCA.crt.pem.

Upload it bestân nei de router (troch it nei "Bestân" te slepen), en gean nei Systeem > Sertifikaten > Ymportearje om it op te nimmen. Konfigurearje dan de DNS fan 'e router mei de Cloudflare DoH URL'sAs it ienris aktyf is, sil de router prioriteit jaan oan de fersifere ferbining boppe de standert net-fersifere DNS.

Eksklusive ynhâld - Klik hjir  Hoe brûk ik Kaspersky Anti-Virus?

Om te kontrolearjen oft alles yn oarder is, besykje 1.1.1.1/help fan in kompjûter efter de router. Jo kinne ek alles dwaan fia de terminal yn RouterOS as jo leaver hawwe.

Prestaasjes, ekstra privacy en beheiningen fan 'e oanpak

As it giet om snelheid, binne twa metriken wichtich: oplossingstiid en werklike sidelading. Unôfhinklike testen (lykas SamKnows) Se konkludearje dat it ferskil tusken DoH en klassike DNS (Do53) op beide fronten marzjinaal is; yn 'e praktyk moatte jo gjin traachheid fernimme.

DoH fersiferet de "DNS-fraach", mar d'r binne mear sinjalen op it netwurk. Sels as jo DNS ferbergje, kin in ynternetprovider dingen ôfliede fia TLS-ferbiningen (bygelyks SNI yn guon âlde senario's) of oare spoaren. Om privacy te ferbetterjen, kinne jo DoT, DNSCrypt, DNSCurve of kliïnten ferkenne dy't metadata minimalisearje.

Net alle ekosystemen stypje DoH noch. In protte âlde resolvers biede dit net oan., wêrtroch't men ôfhinklik wurdt fan iepenbiere boarnen (Cloudflare, Google, Quad9, ensfh.). Dit iepenet it debat oer sintralisaasje: it konsintrearjen fan fragen op in pear akteurs bringt kosten mei foar privacy en fertrouwen.

Yn bedriuwsomjouwings kin DoH botsje mei feiligensbelied dat basearre is op DNS-monitoring of filterjen (malware, âlderlike kontrôles, neilibjen fan wetjouwing). Oplossingen omfetsje MDM/Groepsbelied om in DoH/DoT-resolver yn te stellen op strikte modus, of kombineare mei kontrôles op applikaasjenivo, dy't krekter binne as domeinbasearre blokkearjen.

DNSSEC komplementearret DoH: DoH beskermet it ferfier; DNSSEC validearret it antwurdDe oannimmen is ûngelikense, en guon tuskenlizzende apparaten brekke it, mar de trend is posityf. Op it paad tusken resolvers en autoritative servers bliuwt DNS tradisjoneel net-fersleutele; d'r binne al eksperiminten mei DoT ûnder grutte operators (bygelyks 1.1.1.1 mei de autoritative servers fan Facebook) om de beskerming te ferbetterjen.

In tuskentiids alternatyf is om allinich te fersiferjen tusken de router en de resolver, wêrtroch't de ferbining tusken apparaten en de router net fersifere wurdt. Nuttich op befeilige bedrade netwurken, mar net oanrikkemandearre op iepen Wi-Fi-netwurken: oare brûkers koenen dizze fragen binnen it LAN bespionearje of manipulearje.

Meitsje dyn eigen DoH-resolver

As jo ​​folsleine ûnôfhinklikens wolle, kinne jo jo eigen resolver ynsette. Unbûn + Redis (L2-cache) + Nginx is in populêre kombinaasje foar it tsjinjen fan DoH-URL's en it filterjen fan domeinen mei automatysk bywurkbere listen.

Dizze stapel rint perfekt op in beskieden VPS (bygelyks, ien kearn/2 triedden foar in gesin). Der binne hantliedingen mei klear-foar-gebrûk ynstruksjes, lykas dizze repository: github.com/ousatov-ua/dns-filtering. Guon VPS-oanbieders biede wolkomstkredyten oan foar nije brûkers, sadat jo in proefperioade kinne ynstelle tsjin lege kosten.

Mei jo privee resolver kinne jo jo filterboarnen kieze, behâldsbelied beslute en foarkom it sintralisearjen fan jo fragen oan tredden. Yn ruil dêrfoar beheare jo feiligens, ûnderhâld en hege beskikberens.

Foardat wy slute, in notysje fan jildigens: op it ynternet feroarje opsjes, menu's en nammen faak; guon âlde gidsen binne ferâldere (Bygelyks, it trochrinnen fan "flaggen" yn Chrome is net mear nedich yn resinte ferzjes.) Kontrolearje altyd de dokumintaasje fan jo browser of systeem.

As jo ​​safier kommen binne, witte jo al wat DoH docht, hoe't it yn 'e puzel past mei DoT en DNSSEC, en it wichtichste, hoe kinne jo it no direkt op jo apparaat aktivearje om te foarkommen dat DNS sûnder problemen reizget. Mei in pear klikken yn jo browser of oanpassingen yn Windows (sels op beliedsnivo yn Server 2022) sille jo fersifere fragen hawwe; as jo dingen nei in heger nivo wolle bringe, kinne jo de fersifering nei de MikroTik-router ferpleatse of jo eigen resolver bouwe. De kaai is dat, Sûnder jo router oan te reitsjen, kinne jo ien fan 'e meast roddeljende dielen fan jo ferkear hjoed de dei beskermje..