Маршрутизаторға DoH қолданбай DNS-ті қалай шифрлауға болады: толық нұсқаулық

Соңғы жаңарту: 16.10.2025
Автор: Кристиан Гарсия

  • DoH DNS сұрауларын HTTPS (порт 443) арқылы шифрлайды, құпиялылықты жақсартады және бұрмалауды болдырмайды.
  • Оны браузерлерде және жүйелерде (соның ішінде Windows Server 2022) маршрутизаторға тәуелділіксіз белсендіруге болады.
  • Классикалық DNS-ге ұқсас өнімділік; жауаптарды тексеру үшін DNSSEC арқылы толықтырылған.
  • Танымал DoH серверлері (Cloudflare, Google, Quad9) және өзіңіздің шешушіңізді қосу немесе орнату мүмкіндігі.

HTTPS арқылы DNS арқылы маршрутизаторды ұстамай DNS қалай шифрлауға болады

¿HTTPS арқылы DNS арқылы маршрутизаторды ұстамай DNS-ті қалай шифрлауға болады? Сіз қосылған веб-сайттарды кім көре алады деп алаңдасаңыз, HTTPS арқылы DNS арқылы домендік атау жүйесінің сұрауларын шифрлау Бұл маршрутизатормен күреспей-ақ құпиялылықты арттырудың ең оңай жолдарының бірі. DoH көмегімен домендерді IP мекенжайларына түрлендіретін аудармашы таза жерде жүруді тоқтатады және HTTPS туннелі арқылы өтеді.

Бұл нұсқаулықта сіз тікелей тілде және тым көп жаргонсыз, DoH дегеніміз не, оның DoT сияқты басқа опциялардан айырмашылығы, оны браузерлерде және операциялық жүйелерде (соның ішінде Windows Server 2022) қалай қосуға болады, оның шынымен жұмыс істеп тұрғанын қалай тексеруге болады, қолдау көрсетілетін серверлер және өзіңізді батыл сезінсеңіз, тіпті жеке DoH шешу құралын қалай орнатуға болады. Барлығы, маршрутизаторға қол тигізбестен…оны MikroTik-те конфигурациялағысы келетіндерге арналған қосымша бөлімнен басқа.

HTTPS (DoH) арқылы DNS дегеніміз не және сізге неліктен мән беруі мүмкін

Google DNS

Доменді терген кезде (мысалы, Xataka.com) компьютер DNS шешушіден оның IP мекенжайын сұрайды; Бұл процесс әдетте қарапайым мәтінде болады Желідегі, интернет провайдеріңіздегі немесе аралық құрылғылардағы кез келген адам оны аңдып немесе басқара алады. Бұл классикалық DNS мәні: жылдам, барлық жерде… және үшінші тараптар үшін мөлдір.

Мұнда DoH кіреді: Ол сол DNS сұрақтары мен жауаптарын қауіпсіз веб пайдаланатын бірдей шифрланған арнаға жылжытады (HTTPS, порт 443)Нәтиже – олар бұдан былай «ашық жерде» саяхаттамайды, бұл тыңшылық, сұрауларды ұрлау және белгілі бір ортадағы адам шабуылдары мүмкіндігін азайтады. Сонымен қатар, көптеген сынақтарда кідіріс айтарлықтай нашарламайды және тіпті көлікті оңтайландырудың арқасында жақсартуға болады.

Una ventaja clave es que DoH қолданбасын немесе жүйе деңгейінде қосылуы мүмкін, сондықтан ештеңені қосу үшін операторға немесе маршрутизаторға сенудің қажеті жоқ. Яғни, кез келген желілік жабдықты ұстамай-ақ, өзіңізді «шолғыштан» қорғай аласыз.

DoH-ті DoT-тен (DNS over TLS) ажырату маңызды: DoT 853 портындағы DNS шифрлайды тікелей TLS арқылы, ал DoH оны HTTP(S) ішіне біріктіреді. DoT теориялық тұрғыдан қарапайым, бірақ Оның брандмауэр арқылы бұғатталуы ықтимал сирек кездесетін порттарды кесетін; DoH, 443 пайдалану арқылы бұл шектеулерді жақсырақ айналып өтіп, шифрланбаған DNS-ке мәжбүрлі «өткізу» шабуылдарына жол бермейді.

Құпиялылық туралы: HTTPS пайдалану Cookie файлдарын немесе DoH жүйесінде бақылауды білдірмейді; стандарттар оны қолдануға қарсы кеңес береді Осы контекстте TLS 1.3 корреляцияларды азайта отырып, сеанстарды қайта бастау қажеттілігін де азайтады. Егер өнімділікке алаңдасаңыз, QUIC арқылы HTTP/3 сұрауларды блоктаусыз мультиплекстеу арқылы қосымша жақсартуларды қамтамасыз ете алады.

DNS қалай жұмыс істейді, жалпы тәуекелдер және DoH қайда сәйкес келеді

Операциялық жүйе әдетте DHCP арқылы қандай шешуші пайдалану керектігін үйренеді; Үйде сіз әдетте Интернет провайдерлерін пайдаланасыз, кеңседе, корпоративтік желіде. Бұл байланыс шифрланбаған кезде (UDP/TCP 53), Wi-Fi желісіндегі немесе маршруттағы кез келген адам сұралған домендерді көре алады, жалған жауаптар енгізе алады немесе кейбір операторлар сияқты домен жоқ кезде сізді іздеуге қайта бағыттай алады.

Әдеттегі трафик талдауы порттарды, бастапқы/тағайындалған IP мекенжайларын және шешілген доменді көрсетеді; Бұл тек шолу әдеттерін ашып қана қоймайды, ол сондай-ақ кейінгі қосылымдарды, мысалы, Twitter мекенжайларымен немесе ұқсастармен салыстыруды және нақты қай беттерге кіргеніңізді шығаруды жеңілдетеді.

DoT көмегімен DNS хабары 853 портындағы TLS ішіне кіреді; DoH-мен, DNS сұрауы стандартты HTTPS сұрауында инкапсуляцияланған, ол сонымен қатар оны браузер API интерфейстері арқылы веб-қосымшаларға пайдалануға мүмкіндік береді. Екі механизм де бірдей негізге ие: сертификатпен сервердің аутентификациясы және шифрланған арна.

Эксклюзивті мазмұн - Мұнда басыңыз  Инстаграмдағы боттарды қалай бұғаттауға болады

Жаңа порттардың мәселесі - бұл жалпыға ортақ кейбір желілер 853 блоктайды, бағдарламалық құралды шифрланбаған DNS жүйесіне «қайта түсуге» ынталандыру. DoH мұны веб үшін кең таралған 443 көмегімен азайтады. DNS/QUIC басқа перспективалы опция ретінде де бар, бірақ ол ашық UDP талап етеді және әрқашан қол жетімді емес.

Тасымалдауды шифрлау кезінде де бір нюанста абай болыңыз: Егер шешуші өтірік айтса, шифр оны түзетпейді.Осы мақсатта жауаптың тұтастығын тексеруге мүмкіндік беретін DNSSEC бар, бірақ оны қабылдау кең таралмаған және кейбір делдалдар оның функционалдығын бұзады. Солай бола тұрса да, DoH үшінші тараптардың сіздің сұрауларыңызды қарауына немесе бұрмалауына жол бермейді.

Маршрутизаторға қол тигізбестен оны іске қосыңыз: браузерлер мен жүйелер

Жұмысты бастаудың ең қарапайым жолы - браузерде немесе операциялық жүйеде DoH қосу. Осылайша сіз өзіңіздің командаңыздан сұрауларды қорғайсыз маршрутизатордың микробағдарламасына тәуелді емес.

Google Chrome

Ағымдағы нұсқаларда келесіге өтуге болады chrome://settings/security және «Қауіпсіз DNS пайдалану» астында опцияны іске қосыңыз және провайдерді таңдаңыз (қазіргі провайдеріңіз DoH немесе Cloudflare немесе Google DNS сияқты Google тізіміндегі біреуін қолдаса).

Алдыңғы нұсқаларда Chrome эксперименттік қосқышты ұсынды: түрі chrome://flags/#dns-over-https, «Қауіпсіз DNS іздеулерін» іздеңіз және оны Әдепкіден Қосылғанға өзгертіңіз. Өзгерістерді қолдану үшін браузерді қайта іске қосыңыз.

Microsoft Edge (Chromium)

Chromium негізіндегі Edge ұқсас опцияны қамтиды. Қажет болса, барыңыз edge://flags/#dns-over-https, «Қауіпсіз DNS іздеулерін» табыңыз және оны Enabled ішінде қосыңызҚазіргі нұсқаларда белсендіру құпиялылық параметрлерінде де қолжетімді.

Mozilla Firefox

Мәзірді ашыңыз (жоғарғы оң жақта) > Параметрлер > Жалпы > «Желі параметрлері» тармағына төмен жылжып, түймесін түртіңіз. Конфигурация және «HTTPS арқылы DNS қосыңыз”. Cloudflare немесе NextDNS сияқты провайдерлерден таңдауға болады.

Жақсы бақылауды қаласаңыз, в about:config реттеу network.trr.mode: 2 (оппортунист) DoH пайдаланады және резервті жасайды қол жетімді болмаса; 3 (қатаң) мандат DoH және қолдау болмаған жағдайда сәтсіздікке ұшырайды. Қатаң режимде жүктеу жолын шешу құралын келесідей анықтаңыз network.trr.bootstrapAddress=1.1.1.1.

Опера

65 нұсқасынан бастап Opera опциясын қамтиды 1.1.1.1 арқылы DoH қосыңыз. Ол әдепкі бойынша өшірілген және оппортунистік режимде жұмыс істейді: 1.1.1.1:443 жауап берсе, ол DoH пайдаланады; әйтпесе, ол шифрланбаған шешушіге қайта түседі.

Windows 10/11: автоматты анықтау (AutoDoH) және тізілім

Windows белгілі бір белгілі шешушілермен DoH автоматты түрде қоса алады. Ескі нұсқаларда, мінез-құлықты мәжбүрлей аласыз Тізілімнен: іске қосыңыз regedit және бару HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

деп аталатын DWORD (32-бит) жасаңыз EnableAutoDoh құндылығы бар 2 y Компьютерді қайта іске қосыңызБұл DoH қолдайтын DNS серверлерін пайдалансаңыз жұмыс істейді.

Windows Server 2022: жергілікті DoH бар DNS клиенті

Windows Server 2022 жүйесіндегі кірістірілген DNS клиенті DoH қызметін қолдайды. Сіз DoH қызметін тек олардың "Белгілі DoH" тізіміндегі серверлермен пайдалана аласыз. немесе сіз өзіңіз қосасыз. Оны графикалық интерфейстен конфигурациялау үшін:

  1. Windows параметрлері > ашыңыз Желі және интернет.
  2. Кіру Ethernet және интерфейсті таңдаңыз.
  3. Желі экранында төмен қарай жылжыңыз Configuración de DNS және басыңыз Өңдеу.
  4. Таңдаулы және балама серверлерді анықтау үшін «Қолмен» таңдаңыз.
  5. Бұл мекенжайлар белгілі DoH тізімінде болса, ол қосылады «Таңдаулы DNS шифрлауы» үш опциямен:
    • Тек шифрлау (HTTPS арқылы DNS): Force DoH; сервер DoH қолдамаса, ажыратымдылық болмайды.
    • Шифрлауға артықшылық беріңіз, шифрланбауға рұқсат беріңіз: DoH әрекетін жасайды және ол сәтсіз болса, шифрланбаған классикалық DNS жүйесіне қайта оралады.
    • Тек шифрланбаған: дәстүрлі ашық мәтіндік DNS пайдаланады.
  6. Өзгерістерді қолдану үшін сақтаңыз.

Сондай-ақ, PowerShell көмегімен белгілі DoH шешушілер тізімін сұрауға және кеңейтуге болады. Ағымдағы тізімді көру үшін:

Get-DNSClientDohServerAddress

Үлгіңізбен жаңа белгілі DoH серверін тіркеу үшін мынаны пайдаланыңыз:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Командлет екенін ескеріңіз Set-DNSClientServerAddress өзін басқара алмайды DoH қолдану; шифрлау сол мекенжайлардың белгілі DoH серверлерінің кестесінде болуына байланысты. Қазіргі уақытта Windows басқару орталығынан немесе Windows Server 2022 DNS клиенті үшін DoH параметрін теңшей алмайсыз sconfig.cmd.

Windows Server 2022 жүйесіндегі топтық саясат

деп аталатын директивасы бар «HTTPS (DoH) арқылы DNS конфигурациялау» en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Қосылған кезде таңдауға болады:

  • DoH рұқсат етіңіз: Сервер қолдайтын болса, DoH пайдаланыңыз; әйтпесе, шифрланбаған сұрау.
  • DoH тыйым салу: ешқашан DoH қолданбайды.
  • DoH талап етеді: күштер DoH; қолдау болмаса, ажыратымдылық орындалмайды.
Эксклюзивті мазмұн - Мұнда басыңыз  Ұялы телефон құпия сөздерін қалай шешуге болады

Маңызды: Доменге қосылған компьютерлерде «DoH талап ету» параметрін қоспаңызActive Directory DNS жүйесіне сүйенеді және Windows Server DNS серверінің рөлі DoH сұрауларына қолдау көрсетпейді. AD ортасында DNS трафигін қорғау қажет болса, пайдалануды қарастырыңыз IPsec ережелері клиенттер мен ішкі шешушілер арасында.

Арнайы домендерді нақты шешушілерге қайта бағыттағыңыз келсе, пайдалана аласыз NRPT (атауды шешу саясатының кестесі). Егер тағайындалған сервер белгілі DoH тізімінде болса, сол консультациялар DoH арқылы саяхаттайды.

Android, iOS және Linux

Android 9 және одан жоғары нұсқаларында опция DNS privado DoT (DoH емес) екі режиммен мүмкіндік береді: «Автоматты» (оппортунистік, желіні шешуші қабылдайды) және «Қатаң» (сертификатпен расталған хост атауын көрсету керек; тікелей IP-ге қолдау көрсетілмейді).

iOS және Android жүйелерінде қолданба 1.1.1.1 Cloudflare шифрланбаған сұрауларды ұстау үшін VPN API арқылы DoH немесе DoT қызметін қатаң режимде қосады. оларды қауіпсіз арна арқылы жіберіңіз.

Linux жүйесінде, systemd-resolved systemd 239 бастап DoT қолдайды. Ол әдепкі бойынша өшірілген; ол сертификаттарсыз оппортунистік режимді және CA валидациясы бар қатаң режимді (243 жылдан бастап), бірақ SNI немесе атауды тексерусіз ұсынады. сенім моделін әлсіретеді жолда шабуылдаушыларға қарсы.

Linux, macOS немесе Windows жүйелерінде DoH клиенті сияқты қатаң режимді таңдауға болады cloudflared proxy-dns (әдепкі бойынша ол 1.1.1.1 пайдаланады, дегенмен жоғары ағындарды анықтауға болады баламалар).

Белгілі DoH серверлері (Windows) және басқаларын қалай қосуға болады

Windows сервері DoH қызметін қолдайтын белгілі шешушілер тізімін қамтиды. Оны PowerShell арқылы тексеруге болады және қажет болса, жаңа жазбаларды қосыңыз.

Бұлар белгілі DoH серверлері қораптан шықты:

Сервер иесі DNS серверінің IP мекенжайлары
бұлтты жалын 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Үшін ver la lista, орындаңыз:

Get-DNSClientDohServerAddress

Үшін оның үлгісімен жаңа DoH шешушісін қосыңыз, пайдаланады:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Бірнеше аттар кеңістігін басқарсаңыз, NRPT сізге мүмкіндік береді арнайы домендерді басқару DoH қолдайтын арнайы шешушіге.

DoH белсенді екенін қалай тексеруге болады

Браузерлерде кіріңіз https://1.1.1.1/help; онда сіз көресіз сіздің трафик DoH пайдалануда 1.1.1.1 бар немесе жоқ. Бұл сіздің қандай күйде екеніңізді көрсететін жылдам сынақ.

Windows 10 жүйесінде (2004 нұсқасы) классикалық DNS трафигін (порт 53) бақылай аласыз. пктмон артықшылықты консольден:

pktmon filter add -p 53
pktmon start --etw -m real-time

Егер 53-де дестелердің тұрақты ағыны пайда болса, бұл өте ықтимал сіз әлі де шифрланбаған DNS пайдаланасыз. Есте сақтаңыз: параметр --etw -m real-time 2004 талап етеді; алдыңғы нұсқаларда сіз «белгісіз параметр» қатесін көресіз.

Қосымша: оны маршрутизаторда конфигурациялаңыз (MikroTik)

Маршрутизаторда шифрлауды орталықтандыруды қаласаңыз, MikroTik құрылғыларында DoH қызметін оңай қосуға болады. Біріншіден, CA түбірін импорттаңыз оған сіз қосылатын сервер қол қояды. Cloudflare үшін жүктеп алуға болады DigiCertGlobalRootCA.crt.pem.

Файлды маршрутизаторға жүктеңіз («Файлдар» бөліміне сүйреп апару арқылы) және өтіңіз Жүйе > Сертификаттар > Импорттау оны енгізу. Содан кейін маршрутизатордың DNS-ін конфигурациялаңыз Cloudflare DoH URL мекенжайларыБелсендірілгеннен кейін маршрутизатор шифрланған қосылымға әдепкі шифрланбаған DNS-ге басымдық береді.

Эксклюзивті мазмұн - Мұнда басыңыз  ¿Cómo se usa Kaspersky Anti-Virus?

Барлығы тәртіпте екенін тексеру үшін кіріңіз 1.1.1.1/анықтама маршрутизатордың артындағы компьютерден. Сондай-ақ терминал арқылы бәрін жасауға болады Қаласаңыз, RouterOS жүйесінде.

Өнімділік, қосымша құпиялылық және тәсілдің шектеулері

Жылдамдыққа келетін болсақ, екі көрсеткіш маңызды: ажыратымдылық уақыты және беттің нақты жүктелуі. Тәуелсіз тесттер (мысалы, SamKnows) Олар DoH және классикалық DNS (Do53) арасындағы айырмашылық екі жақта да шекті деген қорытындыға келеді; іс жүзінде ешқандай баяулықты байқамау керек.

DoH «DNS сұрауын» шифрлайды, бірақ желіде көбірек сигналдар бар. Тіпті DNS-ті жасырсаңыз да, Интернет провайдері нәрселерді болжауы мүмкін TLS қосылымдары (мысалы, кейбір бұрынғы сценарийлерде SNI) немесе басқа жолдар арқылы. Құпиялықты жақсарту үшін DoT, DNSCrypt, DNSCurve немесе метадеректерді азайтатын клиенттерді зерттеуге болады.

Барлық экожүйе әлі DoH қолдамайды. Көптеген мұрагерлер мұны ұсынбайды., қоғамдық көздерге (Cloudflare, Google, Quad9 және т.б.) сенім артуға мәжбүрлеу. Бұл орталықтандыру туралы пікірталастарды ашады: сұрауларды бірнеше қатысушыларға шоғырландыру құпиялылық пен сенім шығындарын талап етеді.

Корпоративтік орталарда DoH негізделген қауіпсіздік саясаттарымен қайшы келуі мүмкін DNS бақылау немесе сүзу (зиянды бағдарлама, ата-ана бақылауы, заңға сәйкестік). Шешімдерге DoH/DoT шешушісін қатаң режимге орнату үшін MDM/Group Policy немесе домен негізіндегі блоктауға қарағанда дәлірек болатын қолданба деңгейіндегі басқару элементтерімен біріктірілген.

DNSSEC DoH толықтырады: DoH көлікті қорғайды; DNSSEC жауапты растайдыБала асырап алу біркелкі емес, кейбір аралық құрылғылар оны бұзады, бірақ үрдіс оң. Шешуші және беделді серверлер арасындағы жолда DNS дәстүрлі түрде шифрланбаған күйінде қалады; қорғауды күшейту үшін ірі операторлар арасында DoT қолданатын тәжірибелер бар (мысалы, Facebook беделді серверлерімен 1.1.1.1).

Аралық балама – тек арасында шифрлау маршрутизатор және шешуші, құрылғылар мен маршрутизатор арасындағы байланысты шифрсыз қалдырады. Қауіпсіз сымды желілерде пайдалы, бірақ ашық Wi-Fi желілерінде ұсынылмайды: басқа пайдаланушылар LAN ішінде бұл сұрауларды тыңдай немесе басқара алады.

Өзіңіздің DoH шешушісін жасаңыз

Толық тәуелсіздікті қаласаңыз, өзіңіздің шешушіңізді қолдана аласыз. Байланбаған + Redis (L2 кэш) + Nginx DoH URL мекенжайларына қызмет көрсетуге және автоматты түрде жаңартылатын тізімдері бар домендерді сүзуге арналған танымал комбинация.

Бұл стек қарапайым VPS-де тамаша жұмыс істейді (мысалы, бір өзек/2 сым отбасы үшін). Осы репозиторий сияқты пайдалануға дайын нұсқаулары бар нұсқаулықтар бар: github.com/ousatov-ua/dns-filtering. Кейбір VPS провайдерлері сәлемдесу несиелерін ұсынады жаңа пайдаланушылар үшін, сондықтан төмен бағамен сынақ нұсқасын орнатуға болады.

Жеке шешуші арқылы сүзу көздерін таңдай аласыз, сақтау саясаттарын және сұрауларыңызды орталықтандырудан аулақ болыңыз үшінші тұлғаларға. Оның орнына сіз қауіпсіздікті, техникалық қызмет көрсетуді және жоғары қолжетімділікті басқарасыз.

Жабу алдында жарамдылық туралы ескерту: Интернетте опциялар, мәзірлер мен атаулар жиі өзгереді; кейбір ескі гидтер ескірген (Мысалы, соңғы нұсқаларда Chrome браузеріндегі «жалаушалар» арқылы өту қажет емес.) Әрқашан браузеріңізді немесе жүйе құжаттамасын тексеріңіз.

Осы уақытқа дейін жеткен болсаңыз, DoH не істейтінін, оның DoT және DNSSEC басқатырғыштарына қалай сәйкес келетінін және ең бастысы, оны дәл қазір құрылғыңызда қалай белсендіруге болады DNS таза жерде жүруіне жол бермеу үшін. Браузерді бірнеше рет басу немесе Windows жүйесіндегі түзетулер (тіпті Server 2022 саясат деңгейінде) сізде шифрланған сұраулар болады; егер сіз заттарды келесі деңгейге жеткізгіңіз келсе, шифрлауды MikroTik маршрутизаторына жылжытуға немесе өзіңіздің шешушіңізді құруға болады. Ең бастысы, Маршрутизаторға қол тигізбей-ақ, бүгінгі күні трафиктің ең көп өсек айтатын бөліктерінің бірін қорғай аласыз..