ວິທີການເຂົ້າລະຫັດ DNS ຂອງທ່ານໂດຍບໍ່ຕ້ອງແຕະ router ຂອງທ່ານໂດຍໃຊ້ DNS ຜ່ານ HTTPS

DoH ເຂົ້າລະຫັດການສອບຖາມ DNS ໂດຍໃຊ້ HTTPS (ພອດ 443), ປັບປຸງຄວາມເປັນສ່ວນຕົວ ແລະປ້ອງກັນການລົບກວນ.
ມັນສາມາດຖືກເປີດໃຊ້ໃນຕົວທ່ອງເວັບແລະລະບົບ (ລວມທັງ Windows Server 2022) ໂດຍບໍ່ມີການຂຶ້ນກັບ router.
ການປະຕິບັດທີ່ຄ້າຍຄືກັນກັບ DNS ຄລາສສິກ; ປະກອບໂດຍ DNSSEC ເພື່ອກວດສອບຄໍາຕອບ.
ເຊີບເວີ DoH ທີ່ນິຍົມ (Cloudflare, Google, Quad9) ແລະຄວາມສາມາດໃນການເພີ່ມຫຼືຕັ້ງຄ່າຕົວແກ້ໄຂຂອງທ່ານເອງ.

¿ວິທີການເຂົ້າລະຫັດ DNS ຂອງທ່ານໂດຍບໍ່ຕ້ອງແຕະ router ຂອງທ່ານໂດຍໃຊ້ DNS ຜ່ານ HTTPS? ຖ້າເຈົ້າກັງວົນວ່າໃຜສາມາດເຂົ້າໄປເບິ່ງໄດ້ວ່າເຈົ້າເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ໃດແດ່, ເຂົ້າລະຫັດແບບສອບຖາມລະບົບຊື່ໂດເມນດ້ວຍ DNS ຜ່ານ HTTPS ມັນເປັນຫນຶ່ງໃນວິທີທີ່ງ່າຍທີ່ສຸດທີ່ຈະເພີ່ມຄວາມເປັນສ່ວນຕົວຂອງທ່ານໂດຍບໍ່ຈໍາເປັນຕ້ອງຕໍ່ສູ້ກັບ router ຂອງທ່ານ. ດ້ວຍ DoH, ຕົວແປທີ່ປ່ຽນໂດເມນໄປຫາທີ່ຢູ່ IP ຢຸດການເດີນທາງໃນຄວາມຊັດເຈນແລະຜ່ານອຸໂມງ HTTPS.

ໃນຄູ່ມືນີ້ເຈົ້າຈະພົບເຫັນ, ໃນພາສາໂດຍກົງແລະບໍ່ມີຄໍາສັບຫຼາຍເກີນໄປ, DoH ແມ່ນຫຍັງ, ມັນແຕກຕ່າງຈາກທາງເລືອກອື່ນເຊັ່ນ DoT ແນວໃດ, ວິທີການເປີດໃຊ້ມັນໃນຕົວທ່ອງເວັບແລະລະບົບປະຕິບັດການ (ລວມທັງ Windows Server 2022), ວິທີການກວດສອບວ່າມັນເຮັດວຽກຈິງ, ເຄື່ອງແມ່ຂ່າຍທີ່ສະຫນັບສະຫນູນ, ແລະ, ຖ້າທ່ານຮູ້ສຶກກ້າຫານ, ເຖິງແມ່ນວ່າຈະຕັ້ງຄ່າຕົວແກ້ໄຂ DoH ຂອງທ່ານເອງ. ທຸກຢ່າງ, ໂດຍບໍ່ມີການສໍາຜັດກັບ router…ຍົກເວັ້ນພາກສ່ວນທາງເລືອກສໍາລັບຜູ້ທີ່ຕ້ອງການຕັ້ງຄ່າມັນຢູ່ໃນ MikroTik.

DNS ຜ່ານ HTTPS (DoH) ແມ່ນຫຍັງ ແລະເປັນຫຍັງເຈົ້າອາດຈະສົນໃຈ

DNS ຂອງ Google

ເມື່ອທ່ານພິມໂດເມນ (ຕົວຢ່າງ, Xataka.com) ຄອມພິວເຕີຖາມຕົວແກ້ໄຂ DNS ວ່າ IP ຂອງມັນແມ່ນຫຍັງ; ຂະບວນການນີ້ແມ່ນປົກກະຕິແລ້ວຢູ່ໃນຂໍ້ຄວາມທໍາມະດາ ແລະທຸກຄົນໃນເຄືອຂ່າຍຂອງທ່ານ, ຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດຂອງທ່ານ, ຫຼືອຸປະກອນລະດັບປານກາງສາມາດ snoop ຫຼື manipulate ມັນ. ນີ້ແມ່ນເນື້ອແທ້ຂອງ DNS ຄລາສສິກ: ໄວ, ຢູ່ທົ່ວທຸກແຫ່ງ ... ແລະໂປ່ງໃສກັບບຸກຄົນທີສາມ.

ນີ້ແມ່ນບ່ອນທີ່ DoH ເຂົ້າມາ: ມັນຍ້າຍຄຳຖາມ ແລະຄຳຕອບ DNS ເຫຼົ່ານັ້ນໄປຫາຊ່ອງທີ່ເຂົ້າລະຫັດດຽວກັນທີ່ໃຊ້ໂດຍເວັບທີ່ປອດໄພ (HTTPS, port 443)ຜົນໄດ້ຮັບແມ່ນວ່າພວກເຂົາບໍ່ໄດ້ເດີນທາງ "ໃນບ່ອນເປີດ", ຫຼຸດຜ່ອນຄວາມເປັນໄປໄດ້ຂອງການສອດແນມ, ການລັກລອບສອບຖາມ, ແລະການໂຈມຕີບາງຢ່າງຂອງຜູ້ຊາຍໃນກາງ. ນອກຈາກນັ້ນ, ໃນການທົດສອບຈໍານວນຫຼາຍ latency ບໍ່ຮ້າຍແຮງຂຶ້ນຢ່າງຫຼວງຫຼາຍ ແລະເຖິງແມ່ນວ່າສາມາດໄດ້ຮັບການປັບປຸງຍ້ອນການເພີ່ມປະສິດທິພາບການຂົນສົ່ງ.

Una ventaja clave es que DoH ສາມາດເປີດໃຊ້ໄດ້ໃນລະດັບແອັບພລິເຄຊັນ ຫຼືລະບົບ, ດັ່ງນັ້ນທ່ານບໍ່ຈໍາເປັນຕ້ອງອີງໃສ່ຜູ້ໃຫ້ບໍລິການຫຼື router ຂອງທ່ານເພື່ອເປີດໃຊ້ຫຍັງ. ນັ້ນແມ່ນ, ທ່ານສາມາດປົກປ້ອງຕົວທ່ານເອງ "ຈາກຕົວທ່ອງເວັບອອກ," ໂດຍບໍ່ຕ້ອງແຕະອຸປະກອນເຄືອຂ່າຍໃດໆ.

ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະຈໍາແນກ DoH ຈາກ DoT (DNS over TLS): DoT ເຂົ້າລະຫັດ DNS ໃນພອດ 853 ໂດຍກົງຜ່ານ TLS, ໃນຂະນະທີ່ DoH ປະສົມປະສານມັນເຂົ້າໄປໃນ HTTP(S). DoT ແມ່ນງ່າຍດາຍກວ່າໃນທິດສະດີ, ແຕ່ ມັນມັກຈະຖືກບລັອກໂດຍ firewalls ທີ່ຕັດທ່າເຮືອທີ່ບໍ່ທໍາມະດາ; DoH, ໂດຍການນໍາໃຊ້ 443, ດີກວ່າຫລີກລ້ຽງຂໍ້ຈໍາກັດເຫຼົ່ານີ້ແລະປ້ອງກັນການໂຈມຕີ "pushback" ທີ່ຖືກບັງຄັບໃຫ້ DNS ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ.

ກ່ຽວກັບຄວາມເປັນສ່ວນຕົວ: ການໃຊ້ HTTPS ບໍ່ໄດ້ຫມາຍເຖິງ cookies ຫຼືການຕິດຕາມໃນ DoH; ມາດຕະຖານໃຫ້ຄໍາແນະນໍາຢ່າງຈະແຈ້ງຕໍ່ກັບການນໍາໃຊ້ຂອງມັນ ໃນສະພາບການນີ້, TLS 1.3 ຍັງຫຼຸດຜ່ອນຄວາມຕ້ອງການທີ່ຈະເລີ່ມຕົ້ນເຊດຊັນໃຫມ່, ຫຼຸດຜ່ອນການພົວພັນກັນ. ແລະຖ້າທ່ານກັງວົນກ່ຽວກັບການປະຕິບັດ, HTTP/3 ໃນໄລຍະ QUIC ສາມາດສະຫນອງການປັບປຸງເພີ່ມເຕີມໂດຍການ multiplexing queries ໂດຍບໍ່ມີການສະກັດ.

DNS ເຮັດວຽກແນວໃດ, ຄວາມສ່ຽງທົ່ວໄປ, ແລະບ່ອນທີ່ DoH ເຫມາະ

ລະບົບປະຕິບັດການປົກກະຕິຮຽນຮູ້ວ່າຕົວແກ້ໄຂໃດທີ່ຈະໃຊ້ຜ່ານ DHCP; ຢູ່ເຮືອນເຈົ້າມັກຈະໃຊ້ ISP's, ໃນຫ້ອງການ, ເຄືອຂ່າຍຂອງບໍລິສັດ. ເມື່ອການສື່ສານນີ້ບໍ່ໄດ້ຖືກເຂົ້າລະຫັດ (UDP/TCP 53), ທຸກຄົນໃນ Wi-Fi ຂອງທ່ານຫຼືຢູ່ໃນເສັ້ນທາງສາມາດເຫັນໂດເມນທີ່ຖືກສອບຖາມ, ສັກຄໍາຕອບປອມ, ຫຼືປ່ຽນເສັ້ນທາງໃຫ້ທ່ານຄົ້ນຫາໃນເວລາທີ່ໂດເມນບໍ່ມີຢູ່, ດັ່ງທີ່ຜູ້ປະກອບການບາງຄົນເຮັດ.

ການວິເຄາະການຈະລາຈອນແບບປົກກະຕິເປີດເຜີຍພອດ, IPs ແຫຼ່ງ / ຈຸດຫມາຍປາຍທາງ, ແລະໂດເມນເອງໄດ້ຮັບການແກ້ໄຂ; ນີ້ບໍ່ພຽງແຕ່ເປີດເຜີຍນິໄສການທ່ອງເວັບເທົ່ານັ້ນ, ມັນຍັງເຮັດໃຫ້ມັນງ່າຍຕໍ່ການເຊື່ອມຕໍ່ການເຊື່ອມຕໍ່ຕໍ່ມາ, ສໍາລັບການຍົກຕົວຢ່າງ, ກັບທີ່ຢູ່ Twitter ຫຼືຄ້າຍຄືກັນ, ແລະ deduce ຫນ້າທີ່ແນ່ນອນທີ່ທ່ານໄດ້ໄປຢ້ຽມຢາມ.

ດ້ວຍ DoT, ຂໍ້ຄວາມ DNS ເຂົ້າໄປໃນ TLS ໃນພອດ 853; ກັບ DoH, ການສອບຖາມ DNS ແມ່ນ encapsulated ໃນຄໍາຮ້ອງຂໍ HTTPS ມາດຕະຖານ, ເຊິ່ງຍັງເຮັດໃຫ້ການນໍາໃຊ້ຂອງມັນໂດຍຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ໂດຍຜ່ານ APIs ຂອງຕົວທ່ອງເວັບ. ກົນໄກທັງສອງແບ່ງປັນພື້ນຖານດຽວກັນ: ການກວດສອບຄວາມຖືກຕ້ອງຂອງເຊີບເວີດ້ວຍໃບຢັ້ງຢືນແລະຊ່ອງທາງການເຂົ້າລະຫັດແບບ end-to-end.

ເນື້ອຫາສະເພາະ - ຄລິກທີ່ນີ້ ວິທີການບລັອກບອທ໌ໃນ Instagram

ບັນຫາກັບພອດໃຫມ່ແມ່ນວ່າມັນເປັນເລື່ອງທົ່ວໄປສໍາລັບ ບາງເຄືອຂ່າຍຕັນ 853, ຊຸກຍູ້ໃຫ້ຊອບແວ "ກັບຄືນ" ກັບ DNS ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ. DoH ຫຼຸດຜ່ອນສິ່ງນີ້ໂດຍໃຊ້ 443, ເຊິ່ງເປັນເລື່ອງທົ່ວໄປສໍາລັບເວັບ. DNS/QUIC ຍັງເປັນທາງເລືອກທີ່ດີອີກອັນໜຶ່ງ, ເຖິງແມ່ນວ່າມັນຕ້ອງການເປີດ UDP ແລະບໍ່ມີຢູ່ສະເໝີ.

ເຖິງແມ່ນວ່າໃນເວລາທີ່ການເຂົ້າລະຫັດການຂົນສົ່ງ, ຈົ່ງລະມັດລະວັງກັບຫນຶ່ງ nuance: ຖ້າຕົວແກ້ໄຂຕົວະ, ລະຫັດລັບຈະບໍ່ແກ້ໄຂມັນ.ສໍາລັບຈຸດປະສົງນີ້, DNSSEC ມີຢູ່, ເຊິ່ງອະນຸຍາດໃຫ້ມີການກວດສອບຄວາມຖືກຕ້ອງຂອງການຕອບສະຫນອງ, ເຖິງແມ່ນວ່າການຮັບຮອງເອົາຂອງມັນບໍ່ໄດ້ແຜ່ຫຼາຍແລະບາງຕົວກາງທໍາລາຍການເຮັດວຽກຂອງມັນ. ເຖິງແມ່ນວ່າ, DoH ປ້ອງກັນບໍ່ໃຫ້ບຸກຄົນທີສາມຕາມທາງຈາກການ snooping ຫຼືລົບກວນການສອບຖາມຂອງທ່ານ.

ເປີດໃຊ້ມັນໂດຍບໍ່ມີການສໍາຜັດກັບ router: ຕົວທ່ອງເວັບແລະລະບົບ

ວິທີທີ່ງ່າຍທີ່ສຸດທີ່ຈະເລີ່ມຕົ້ນແມ່ນການເປີດໃຊ້ DoH ໃນຕົວທ່ອງເວັບຫຼືລະບົບປະຕິບັດການຂອງທ່ານ. ນີ້ແມ່ນວິທີທີ່ທ່ານປົກປ້ອງການສອບຖາມຈາກທີມງານຂອງທ່ານ ໂດຍບໍ່ມີການຂຶ້ນກັບເຟີມແວ router.

Google Chrome

ໃນສະບັບປະຈຸບັນທ່ານສາມາດໄປທີ່ chrome://settings/security ແລະພາຍໃຕ້ "ໃຊ້ DNS ທີ່ປອດໄພ", ເປີດໃຊ້ຕົວເລືອກແລະເລືອກຜູ້ໃຫ້ບໍລິການ (ຜູ້ໃຫ້ບໍລິການປັດຈຸບັນຂອງທ່ານຖ້າພວກເຂົາສະຫນັບສະຫນູນ DoH ຫຼືຫນຶ່ງຈາກບັນຊີລາຍຊື່ຂອງ Google ເຊັ່ນ Cloudflare ຫຼື Google DNS).

ໃນລຸ້ນກ່ອນໜ້ານີ້, Chrome ສະເໜີໃຫ້ມີການປ່ຽນແບບທົດລອງ: ປະເພດ chrome://flags/#dns-over-https, ຄົ້ນຫາ "ການຄົ້ນຫາ DNS ທີ່ປອດໄພ" ແລະ ປ່ຽນມັນຈາກຄ່າເລີ່ມຕົ້ນເປັນ Enabled. ຣີສະຕາດບຣາວເຊີຂອງທ່ານເພື່ອນຳໃຊ້ການປ່ຽນແປງ.

Microsoft Edge (Chromium)

Chromium-based Edge ປະກອບມີທາງເລືອກທີ່ຄ້າຍຄືກັນ. ຖ້າທ່ານຕ້ອງການ, ໄປທີ່ edge://flags/#dns-over-https, ຊອກຫາ "ການຄົ້ນຫາ DNS ທີ່ປອດໄພ" ແລະ ເປີດໃຊ້ມັນຢູ່ໃນ Enabledໃນສະບັບທີ່ທັນສະໄຫມ, ການເປີດໃຊ້ງານຍັງມີຢູ່ໃນການຕັ້ງຄ່າຄວາມເປັນສ່ວນຕົວຂອງທ່ານ.

Mozilla Firefox

ເປີດເມນູ (ຂວາເທິງ) > ການຕັ້ງຄ່າ > ທົ່ວໄປ > ເລື່ອນລົງໄປທີ່ “ການຕັ້ງຄ່າເຄືອຂ່າຍ”, ແຕະໃສ່ ການຕັ້ງຄ່າ ແລະຫມາຍ "ເປີດໃຊ້ DNS ຜ່ານ HTTPS”. ທ່ານສາມາດເລືອກຈາກຜູ້ໃຫ້ບໍລິການເຊັ່ນ Cloudflare ຫຼື NextDNS.

ຖ້າທ່ານຕ້ອງການການຄວບຄຸມທີ່ດີ, ໃນ about:config ປັບ network.trr.mode: 2 (ຜູ້ສວຍໂອກາດ) ໃຊ້ DoH ແລະເຮັດໃຫ້ການຫຼຸດລົງ ຖ້າບໍ່ມີ; 3 (ເຂັ້ມງວດ) ມອບໝາຍ DoH ແລະລົ້ມເຫລວຖ້າບໍ່ມີການສະຫນັບສະຫນູນ. ດ້ວຍໂຫມດທີ່ເຄັ່ງຄັດ, ກໍານົດຕົວແກ້ໄຂ bootstrap ເປັນ network.trr.bootstrapAddress=1.1.1.1.

ໂອເປຣາ

ນັບຕັ້ງແຕ່ສະບັບ 65, Opera ປະກອບມີທາງເລືອກທີ່ຈະ ເປີດໃຊ້ DoH ດ້ວຍ 1.1.1.1. ມັນມາຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນແລະດໍາເນີນການໃນຮູບແບບໂອກາດ: ຖ້າ 1.1.1.1:443 ຕອບສະຫນອງ, ມັນຈະໃຊ້ DoH; ຖ້າບໍ່ດັ່ງນັ້ນ, ມັນຈະກັບຄືນໄປຫາຕົວແກ້ໄຂທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ.

Windows 10/11: Autodetect (AutoDoH) ແລະ Registry

Windows ສາມາດເປີດໃຊ້ DoH ໂດຍອັດຕະໂນມັດກັບຕົວແກ້ໄຂທີ່ຮູ້ຈັກບາງຢ່າງ. ໃນສະບັບເກົ່າ, ທ່ານສາມາດບັງຄັບພຶດຕິກໍາ ຈາກ Registry: ແລ່ນ regedit ແລະໄປທີ່ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

ສ້າງ DWORD (32-bit) ເອີ້ນວ່າ EnableAutoDoh ດ້ວຍມູນຄ່າ 2 y ປິດເປີດຄອມພິວເຕີຄືນໃໝ່ນີ້ເຮັດວຽກຖ້າຫາກວ່າທ່ານກໍາລັງໃຊ້ເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ສະຫນັບສະຫນູນ DoH.

Windows Server 2022: ລູກຄ້າ DNS ກັບ DoH ເດີມ

ລູກຄ້າ DNS ທີ່ສ້າງຂຶ້ນໃນ Windows Server 2022 ຮອງຮັບ DoH. ທ່ານຈະສາມາດໃຊ້ DoH ກັບເຊີບເວີທີ່ຢູ່ໃນລາຍຊື່ “Known DoH” ຂອງເຂົາເຈົ້າເທົ່ານັ້ນ. ຫຼືວ່າເຈົ້າເພີ່ມຕົວເອງ. ເພື່ອ configure ມັນຈາກການໂຕ້ຕອບຂອງກາຟິກ:

ເປີດ Windows Settings > ເຄືອຂ່າຍ ແລະ ອິນເຕີເນັດ.
ເຂົ້າໄປ ອີເທີເນັດ ແລະເລືອກການໂຕ້ຕອບຂອງທ່ານ.
ໃນຫນ້າຈໍເຄືອຂ່າຍ, ເລື່ອນລົງໄປ ການຕັ້ງຄ່າ DNS ແລະກົດ ແກ້ໄຂ.
ເລືອກ "ຄູ່ມື" ເພື່ອກໍານົດເຄື່ອງແມ່ຂ່າຍທີ່ຕ້ອງການແລະທາງເລືອກ.
ຖ້າທີ່ຢູ່ເຫຼົ່ານັ້ນຢູ່ໃນລາຍຊື່ DoH ທີ່ຮູ້ຈັກ, ມັນຈະຖືກເປີດໃຊ້ "ການເຂົ້າລະຫັດ DNS ທີ່ຕ້ອງການ" ມີສາມທາງເລືອກ:
- ການເຂົ້າລະຫັດເທົ່ານັ້ນ (DNS ຜ່ານ HTTPS): ບັງຄັບ DoH; ຖ້າເຄື່ອງແມ່ຂ່າຍບໍ່ສະຫນັບສະຫນູນ DoH, ມັນຈະບໍ່ມີການແກ້ໄຂ.
- ຕ້ອງການການເຂົ້າລະຫັດ, ອະນຸຍາດໃຫ້ບໍ່ມີການເຂົ້າລະຫັດ: ພະຍາຍາມ DoH ແລະຖ້າມັນລົ້ມເຫລວ, ກັບຄືນໄປຫາ DNS ຄລາສສິກທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ.
- ບໍ່ໄດ້ເຂົ້າລະຫັດເທົ່ານັ້ນ: ໃຊ້ DNS plaintext ແບບດັ້ງເດີມ.
ບັນທຶກເພື່ອນຳໃຊ້ການປ່ຽນແປງ.

ທ່ານຍັງສາມາດສອບຖາມ ແລະຂະຫຍາຍລາຍຊື່ຕົວແກ້ໄຂ DoH ທີ່ຮູ້ຈັກໂດຍໃຊ້ PowerShell. ເພື່ອເບິ່ງລາຍຊື່ປະຈຸບັນ:

Get-DNSClientDohServerAddress

ເພື່ອລົງທະບຽນເຊີບເວີ DoH ທີ່ຮູ້ຈັກໃໝ່ກັບແມ່ແບບຂອງທ່ານ, ໃຫ້ໃຊ້:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

ໃຫ້ສັງເກດວ່າ cmdlet Set-DNSClientServerAddress ບໍ່ໄດ້ຄວບຄຸມຕົນເອງ ການນໍາໃຊ້ DoH; ການເຂົ້າລະຫັດແມ່ນຂຶ້ນກັບວ່າທີ່ຢູ່ເຫຼົ່ານັ້ນຢູ່ໃນຕາຕະລາງຂອງເຊີບເວີ DoH ທີ່ຮູ້ຈັກຫຼືບໍ່. ໃນປັດຈຸບັນທ່ານບໍ່ສາມາດກໍາຫນົດຄ່າ DoH ສໍາລັບ Windows Server 2022 DNS client ຈາກ Windows Admin Center ຫຼືກັບ sconfig.cmd.

ນະໂຍບາຍກຸ່ມໃນ Windows Server 2022

ມີຄໍາສັ່ງທີ່ເອີ້ນວ່າ "ຕັ້ງຄ່າ DNS ຜ່ານ HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. ເມື່ອເປີດໃຊ້, ທ່ານສາມາດເລືອກ:

ອະນຸຍາດໃຫ້ DoH: ໃຊ້ DoH ຖ້າເຄື່ອງແມ່ຂ່າຍສະຫນັບສະຫນູນມັນ; ຖ້າບໍ່ດັ່ງນັ້ນ, ສອບຖາມບໍ່ໄດ້ເຂົ້າລະຫັດ.
Ban DoH: ບໍ່ເຄີຍໃຊ້ DoH.
ຕ້ອງການ DoH: ກໍາລັງ DoH; ຖ້າບໍ່ມີການສະຫນັບສະຫນູນ, ການແກ້ໄຂລົ້ມເຫລວ.

ເນື້ອຫາສະເພາະ - ຄລິກທີ່ນີ້ ວິທີການຖອດລະຫັດລະຫັດຜ່ານໂທລະສັບມືຖື

ສຳຄັນ: ຢ່າເປີດໃຊ້ “Require DoH” ໃນຄອມພິວເຕີທີ່ເຂົ້າຮ່ວມໂດເມນActive Directory ຂຶ້ນກັບ DNS, ແລະບົດບາດຂອງ Windows Server DNS Server ບໍ່ຮອງຮັບການສອບຖາມ DoH. ຖ້າທ່ານຕ້ອງການຮັບປະກັນການຈະລາຈອນ DNS ພາຍໃນສະພາບແວດລ້ອມ AD, ພິຈາລະນານໍາໃຊ້ ກົດລະບຽບ IPsec ລະຫວ່າງລູກຄ້າແລະຜູ້ແກ້ໄຂພາຍໃນ.

ຖ້າທ່ານສົນໃຈໃນການປ່ຽນເສັ້ນທາງໂດເມນສະເພາະໄປຫາຕົວແກ້ໄຂສະເພາະ, ທ່ານສາມາດນໍາໃຊ້ NRPT (ຕາຕະລາງນະໂຍບາຍການແກ້ໄຂຊື່). ຖ້າເຄື່ອງແມ່ຂ່າຍປາຍທາງຢູ່ໃນບັນຊີລາຍຊື່ DoH ທີ່ຮູ້ຈັກ, ການປຶກສາຫາລືເຫຼົ່ານັ້ນ ຈະເດີນທາງຜ່ານ DoH.

Android, iOS ແລະ Linux

ໃນ Android 9 ແລະສູງກວ່າ, ທາງເລືອກ DNS privado ອະນຸຍາດໃຫ້ DoT (ບໍ່ແມ່ນ DoH) ດ້ວຍສອງໂຫມດ: "ອັດຕະໂນມັດ" (ໂອກາດ, ເອົາຕົວແກ້ໄຂເຄືອຂ່າຍ) ແລະ "ເຂັ້ມງວດ" (ທ່ານຕ້ອງລະບຸຊື່ໂຮດທີ່ຖືກກວດສອບໂດຍໃບຢັ້ງຢືນ; IPs ໂດຍກົງແມ່ນບໍ່ສະຫນັບສະຫນູນ).

ໃນ iOS ແລະ Android, ແອັບຯ 1.1.1.1 Cloudflare ເປີດໃຊ້ DoH ຫຼື DoT ໃນໂຫມດທີ່ເຄັ່ງຄັດໂດຍໃຊ້ VPN API ເພື່ອສະກັດຄໍາຮ້ອງຂໍທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດແລະ ສົ່ງຕໍ່ພວກເຂົາຜ່ານຊ່ອງທາງທີ່ປອດໄພ.

ໃນ Linux, systemd-resolved ຮອງຮັບ DoT ຕັ້ງແຕ່ systemd 239. ມັນຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ; ມັນສະຫນອງຮູບແບບການສວຍໂອກາດໂດຍບໍ່ມີການກວດສອບໃບຢັ້ງຢືນແລະຮູບແບບທີ່ເຄັ່ງຄັດ (ນັບຕັ້ງແຕ່ 243) ທີ່ມີການກວດສອບ CA ແຕ່ບໍ່ມີ SNI ຫຼືການຢັ້ງຢືນຊື່, ເຊິ່ງ ເຮັດໃຫ້ຮູບແບບຄວາມໄວ້ວາງໃຈອ່ອນແອລົງ ຕ້ານຜູ້ໂຈມຕີຢູ່ໃນຖະຫນົນຫົນທາງ.

ໃນ Linux, macOS, ຫຼື Windows, ທ່ານສາມາດເລືອກຮູບແບບທີ່ເຂັ້ມງວດ DoH client ເຊັ່ນ: cloudflared proxy-dns (ໂດຍຄ່າເລີ່ມຕົ້ນມັນໃຊ້ 1.1.1.1, ເຖິງແມ່ນວ່າ ທ່ານສາມາດກໍານົດນ້ໍາ ທາງເລືອກ).

ເຊີບເວີ DoH ທີ່ຮູ້ຈັກ (Windows) ແລະວິທີເພີ່ມຕື່ມ

Windows Server ປະກອບມີບັນຊີລາຍຊື່ຂອງຕົວແກ້ໄຂທີ່ຮູ້ຈັກເພື່ອສະຫນັບສະຫນູນ DoH. ທ່ານສາມາດກວດເບິ່ງມັນໄດ້ດ້ວຍ PowerShell ແລະເພີ່ມລາຍການໃຫມ່ຖ້າທ່ານຕ້ອງການ.

ເຫຼົ່ານີ້ແມ່ນ ເຊີບເວີ DoH ທີ່ຮູ້ຈັກອອກຈາກກ່ອງ:

ເຈົ້າຂອງເຊີບເວີ	ທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍ DNS
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
ກູໂກ	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

ສຳລັບ ver la lista, ແລ່ນ:

Get-DNSClientDohServerAddress

ສຳລັບ ເພີ່ມຕົວແກ້ໄຂ DoH ໃໝ່ດ້ວຍແມ່ແບບຂອງມັນ, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

ຖ້າທ່ານຈັດການ namespaces ຫຼາຍ, NRPT ຈະອະນຸຍາດໃຫ້ທ່ານ ຈັດການໂດເມນສະເພາະ ກັບຕົວແກ້ໄຂສະເພາະທີ່ສະຫນັບສະຫນູນ DoH.

ວິທີການກວດສອບວ່າ DoH ເຮັດວຽກຢູ່

ໃນຕົວທ່ອງເວັບ, ໄປຢ້ຽມຢາມ https://1.1.1.1/help; ຢູ່ທີ່ນັ້ນເຈົ້າຈະເບິ່ງວ່າ ການຈະລາຈອນຂອງເຈົ້າກໍາລັງໃຊ້ DoH ກັບ 1.1.1.1 ຫຼືບໍ່. ມັນເປັນການທົດສອບໄວເພື່ອເບິ່ງວ່າເຈົ້າຢູ່ໃນສະຖານະໃດ.

ໃນ Windows 10 (ຮຸ່ນ 2004), ທ່ານສາມາດຕິດຕາມການຈະລາຈອນ DNS ຄລາສສິກ (ພອດ 53) ດ້ວຍ pktmon ຈາກ console ສິດທິພິເສດ:

pktmon filter add -p 53
pktmon start --etw -m real-time

ຖ້າແພັກເກັດສະຕຣີມຄົງທີ່ປາກົດຢູ່ໃນ 53, ມັນເປັນໄປໄດ້ຫຼາຍ ທ່ານຍັງໃຊ້ DNS ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ. ຈືຂໍ້ມູນການ: ຕົວກໍານົດການ --etw -m real-time ຮຽກຮ້ອງໃຫ້ປີ 2004; ໃນຮຸ່ນກ່ອນຫນ້າທ່ານຈະເຫັນ "ພາລາມິເຕີທີ່ບໍ່ຮູ້ຈັກ" ຂໍ້ຜິດພາດ.

ທາງເລືອກ: ຕັ້ງຄ່າມັນຢູ່ໃນ router (MikroTik)

ຖ້າຫາກວ່າທ່ານຕ້ອງການທີ່ຈະສູນກາງການເຂົ້າລະຫັດໃນ router, ທ່ານໄດ້ຢ່າງງ່າຍດາຍສາມາດເປີດ DoH ໃນອຸປະກອນ MikroTik. ທໍາອິດ, ນໍາເຂົ້າຮາກ CA ເຊິ່ງຈະຖືກເຊັນໂດຍເຊີບເວີທີ່ທ່ານຈະເຊື່ອມຕໍ່ກັບ. ສໍາລັບ Cloudflare ທ່ານສາມາດດາວໂຫລດໄດ້ DigiCertGlobalRootCA.crt.pem.

ອັບໂຫລດໄຟລ໌ໃສ່ router (ໂດຍການລາກມັນໄປທີ່ "Files"), ແລະໄປທີ່ ລະບົບ> ໃບຮັບຮອງ> ນໍາເຂົ້າ ເພື່ອລວມເອົາມັນ. ຫຼັງຈາກນັ້ນ, configure DNS ຂອງ router ກັບ the Cloudflare DoH URLsເມື່ອເປີດໃຊ້ງານແລ້ວ, ເຣົາເຕີຈະຈັດລຳດັບຄວາມສຳຄັນຂອງການເຊື່ອມຕໍ່ທີ່ເຂົ້າລະຫັດໄວ້ຫຼາຍກວ່າ DNS ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດໄວ້ໃນຕອນຕົ້ນ.

ເນື້ອຫາສະເພາະ - ຄລິກທີ່ນີ້ ຂ້ອຍຈະໃຊ້ Kaspersky Anti-Virus ໄດ້ແນວໃດ?

ເພື່ອກວດສອບວ່າທຸກຢ່າງຢູ່ໃນລະບຽບ, ເຂົ້າໄປເບິ່ງ 1.1.1.1/ຊ່ວຍ ຈາກຄອມພິວເຕີທີ່ຢູ່ເບື້ອງຫຼັງ router. ນອກນັ້ນທ່ານຍັງສາມາດເຮັດທຸກສິ່ງທຸກຢ່າງໂດຍຜ່ານ terminal ໃນ RouterOS ຖ້າທ່ານຕ້ອງການ.

ການປະຕິບັດ, ຄວາມເປັນສ່ວນຕົວເພີ່ມເຕີມແລະຂໍ້ຈໍາກັດຂອງວິທີການ

ໃນເວລາທີ່ມັນມາກັບຄວາມໄວ, ສອງ metrics ສໍາຄັນ: ເວລາການແກ້ໄຂແລະການໂຫຼດຫນ້າຕົວຈິງ. ການທົດສອບເອກະລາດ (ເຊັ່ນ: SamKnows) ພວກເຂົາເຈົ້າສະຫຼຸບວ່າຄວາມແຕກຕ່າງລະຫວ່າງ DoH ແລະ DNS ຄລາສສິກ (Do53) ແມ່ນຢູ່ແຄມຂອງທັງສອງດ້ານ; ໃນທາງປະຕິບັດ, ທ່ານບໍ່ຄວນສັງເກດເຫັນຄວາມຊ້າໃດໆ.

DoH ເຂົ້າລະຫັດ "DNS query," ແຕ່ມີສັນຍານເພີ່ມເຕີມໃນເຄືອຂ່າຍ. ເຖິງແມ່ນວ່າທ່ານຈະເຊື່ອງ DNS, ISP ສາມາດ infer ສິ່ງຕ່າງໆ ຜ່ານການເຊື່ອມຕໍ່ TLS (ເຊັ່ນ: SNI ໃນບາງສະຖານະການທີ່ເປັນມໍລະດົກ) ຫຼືການຕິດຕາມອື່ນໆ. ເພື່ອເພີ່ມຄວາມເປັນສ່ວນຕົວ, ທ່ານສາມາດຄົ້ນຫາ DoT, DNSCrypt, DNSCurve, ຫຼືລູກຄ້າທີ່ຫຼຸດຜ່ອນ metadata.

ບໍ່ແມ່ນລະບົບນິເວດທັງໝົດທີ່ຮອງຮັບ DoH ເທື່ອ. ຜູ້ແກ້ໄຂມໍລະດົກຫຼາຍຄົນບໍ່ໄດ້ສະເຫນີເລື່ອງນີ້., ບັງຄັບໃຫ້ອີງໃສ່ແຫຼ່ງສາທາລະນະ (Cloudflare, Google, Quad9, ແລະອື່ນໆ). ນີ້ເປີດການໂຕ້ວາທີກ່ຽວກັບການລວມສູນ: ການສຸມໃສ່ການສອບຖາມກ່ຽວກັບນັກສະແດງຈໍານວນຫນ້ອຍປະກອບມີຄ່າໃຊ້ຈ່າຍຄວາມເປັນສ່ວນຕົວແລະຄວາມໄວ້ວາງໃຈ.

ໃນສະພາບແວດລ້ອມຂອງບໍລິສັດ, DoH ອາດຈະຂັດແຍ້ງກັບນະໂຍບາຍຄວາມປອດໄພທີ່ອີງໃສ່ ການກວດສອບ DNS ຫຼືການກັ່ນຕອງ (malware, ການຄວບຄຸມຂອງພໍ່ແມ່, ການປະຕິບັດຕາມກົດຫມາຍ). ການແກ້ໄຂລວມມີ MDM/Group Policy ເພື່ອຕັ້ງຕົວແກ້ໄຂ DoH/DoT ໃຫ້ເປັນໂໝດທີ່ເຂັ້ມງວດ, ຫຼືລວມເຂົ້າກັບການຄວບຄຸມລະດັບແອັບພລິເຄຊັນ, ເຊິ່ງແມ່ນຊັດເຈນກວ່າການບລັອກທີ່ອີງໃສ່ໂດເມນ.

DNSSEC ເສີມ DoH: DoH ປົກປ້ອງການຂົນສົ່ງ; DNSSEC ກວດສອບການຕອບສະໜອງການຮັບຮອງເອົາແມ່ນບໍ່ສະເຫມີພາບ, ແລະບາງອຸປະກອນກາງທໍາລາຍມັນ, ແຕ່ແນວໂນ້ມແມ່ນໃນທາງບວກ. ຕາມເສັ້ນທາງລະຫວ່າງຕົວແກ້ໄຂແລະເຄື່ອງແມ່ຂ່າຍທີ່ມີອໍານາດ, DNS ແບບດັ້ງເດີມຍັງຄົງບໍ່ໄດ້ເຂົ້າລະຫັດ; ມີການທົດລອງໃຊ້ DoT ໃນບັນດາຜູ້ປະກອບການຂະຫນາດໃຫຍ່ (e.g., 1.1.1.1 ກັບເຄື່ອງແມ່ຂ່າຍທີ່ມີອໍານາດຂອງ Facebook) ເພື່ອເພີ່ມການປົກປ້ອງ.

ທາງເລືອກລະດັບປານກາງແມ່ນການເຂົ້າລະຫັດລະຫວ່າງ router ແລະຕົວແກ້ໄຂ, ເຮັດໃຫ້ການເຊື່ອມຕໍ່ລະຫວ່າງອຸປະກອນແລະ router ບໍ່ໄດ້ເຂົ້າລະຫັດ. ເປັນປະໂຫຍດໃນເຄືອຂ່າຍທີ່ມີສາຍທີ່ປອດໄພ, ແຕ່ບໍ່ແນະນໍາໃນເຄືອຂ່າຍ Wi-Fi ເປີດ: ຜູ້ໃຊ້ອື່ນສາມາດສອດແນມ ຫຼືຈັດການການສອບຖາມເຫຼົ່ານີ້ພາຍໃນ LAN ໄດ້.

ສ້າງຕົວແກ້ໄຂ DoH ຂອງທ່ານເອງ

ຖ້າທ່ານຕ້ອງການຄວາມເປັນເອກະລາດຢ່າງສົມບູນ, ທ່ານສາມາດປະຕິບັດຕົວແກ້ໄຂຂອງທ່ານເອງ. Unbound + Redis (L2 cache) + Nginx ເປັນການປະສົມປະສານທີ່ນິຍົມສໍາລັບການຮັບໃຊ້ DoH URLs ແລະການກັ່ນຕອງໂດເມນທີ່ມີລາຍຊື່ທີ່ສາມາດປັບປຸງໄດ້ໂດຍອັດຕະໂນມັດ.

stack ນີ້ເຮັດວຽກຢ່າງສົມບູນໃນ VPS ເລັກນ້ອຍ (ຕົວຢ່າງ, ຫນຶ່ງຫຼັກ / 2 ສາຍ ສໍາລັບຄອບຄົວ). ມີຄູ່ມືທີ່ມີຄໍາແນະນໍາທີ່ພ້ອມທີ່ຈະໃຊ້, ເຊັ່ນ: repository ນີ້: github.com/ousatov-ua/dns-filtering. ບາງຜູ້ໃຫ້ບໍລິການ VPS ໃຫ້ສິນເຊື່ອຍິນດີຕ້ອນຮັບ ສໍາລັບຜູ້ໃຊ້ໃຫມ່, ດັ່ງນັ້ນທ່ານສາມາດຕັ້ງຄ່າການທົດລອງໃນລາຄາຕໍ່າ.

ດ້ວຍຕົວແກ້ໄຂສ່ວນຕົວຂອງທ່ານ, ທ່ານສາມາດເລືອກແຫຼ່ງການກັ່ນຕອງຂອງທ່ານ, ຕັດສິນໃຈນະໂຍບາຍການເກັບຮັກສາແລະ ຫຼີກເວັ້ນການສູນກາງການສອບຖາມຂອງທ່ານ ຕໍ່ກັບພາກສ່ວນທີສາມ. ໃນການກັບຄືນ, ທ່ານຄຸ້ມຄອງຄວາມປອດໄພ, ບໍາລຸງຮັກສາ, ແລະຄວາມພ້ອມສູງ.

ກ່ອນທີ່ຈະປິດ, ບັນທຶກຄວາມຖືກຕ້ອງ: ໃນອິນເຕີເນັດ, ທາງເລືອກ, ເມນູແລະຊື່ມີການປ່ຽນແປງເລື້ອຍໆ; ບາງຄູ່ມືເກົ່າແມ່ນລ້າສະໄຫມ (ຕົວຢ່າງເຊັ່ນ, ການໄປຜ່ານ “ທຸງ” ໃນ Chrome ແມ່ນບໍ່ຈໍາເປັນອີກຕໍ່ໄປໃນລຸ້ນທີ່ຜ່ານມາ.) ໃຫ້ກວດເບິ່ງກັບຕົວທ່ອງເວັບ ຫຼືເອກະສານລະບົບຂອງທ່ານສະເໝີ.

ຖ້າທ່ານໄດ້ເຮັດໃຫ້ມັນໄກ, ທ່ານຮູ້ແລ້ວວ່າ DoH ເຮັດຫຍັງ, ມັນເຫມາະສົມກັບການປິດສະ DoT ແລະ DNSSEC, ແລະສໍາຄັນທີ່ສຸດ, ວິທີການເປີດໃຊ້ມັນໃນປັດຈຸບັນຢູ່ໃນອຸປະກອນຂອງທ່ານ ເພື່ອປ້ອງກັນ DNS ຈາກການເດີນທາງທີ່ຊັດເຈນ. ດ້ວຍການຄລິກສອງສາມຄັ້ງໃນບຼາວເຊີຂອງທ່ານ ຫຼືການປັບຕົວໃນ Windows (ແມ້ແຕ່ຢູ່ໃນລະດັບນະໂຍບາຍໃນເຊີບເວີ 2022) ທ່ານຈະມີການສອບຖາມທີ່ຖືກເຂົ້າລະຫັດ; ຖ້າທ່ານຕ້ອງການເອົາສິ່ງຕ່າງໆໄປສູ່ລະດັບຕໍ່ໄປ, ທ່ານສາມາດຍ້າຍການເຂົ້າລະຫັດໄປຫາ router MikroTik ຫຼືສ້າງຕົວແກ້ໄຂຂອງທ່ານເອງ. ທີ່ສໍາຄັນແມ່ນວ່າ, ໂດຍບໍ່ມີການສໍາຜັດກັບ router ຂອງທ່ານ, ທ່ານສາມາດປ້ອງກັນຫນຶ່ງໃນພາກສ່ວນທີ່ຖືກນິນທາຫຼາຍທີ່ສຸດຂອງການຈະລາຈອນຂອງທ່ານໃນມື້ນີ້..

ຄຣິສຕຽນ ກາເຊຍ

ມີຄວາມກະຕືລືລົ້ນກ່ຽວກັບເຕັກໂນໂລຢີຕັ້ງແຕ່ລາວຍັງນ້ອຍ. ຂ້ອຍຮັກການເປັນທັນສະໄຫມໃນຂະແຫນງການແລະ, ສໍາຄັນທີ່ສຸດ, ການສື່ສານມັນ. ນັ້ນແມ່ນເຫດຜົນທີ່ຂ້ອຍໄດ້ອຸທິດຕົນເພື່ອການສື່ສານໃນເວັບໄຊທ໌ເຕັກໂນໂລຢີແລະວິດີໂອເກມເປັນເວລາຫລາຍປີ. ທ່ານສາມາດຊອກຫາຂ້ອຍຂຽນກ່ຽວກັບ Android, Windows, MacOS, iOS, Nintendo ຫຼືຫົວຂໍ້ທີ່ກ່ຽວຂ້ອງອື່ນໆທີ່ເຂົ້າມາໃນໃຈ.