Kā šifrēt DNS, nepieskaroties maršrutētājam, izmantojot DoH: pilnīgs ceļvedis

Pēdējais atjauninājums: 2025. gada 16. oktobrī
Autors: Kristiāns Garsija

  • DoH šifrē DNS vaicājumus, izmantojot HTTPS (443. ports), uzlabojot privātumu un novēršot manipulācijas.
  • To var aktivizēt pārlūkprogrammās un sistēmās (tostarp Windows Server 2022) neatkarīgi no maršrutētāja.
  • Veiktspēja līdzīga klasiskajam DNS; papildināta ar DNSSEC atbilžu validācijai.
  • Populāri DoH serveri (Cloudflare, Google, Quad9) un iespēja pievienot vai iestatīt savu risinātāju.

Kā šifrēt DNS, nepieskaroties maršrutētājam, izmantojot DNS, izmantojot HTTPS

¿Kā šifrēt DNS, nepieskaroties maršrutētājam, izmantojot DNS, izmantojot HTTPS? Ja jūs uztrauc tas, kas var redzēt, ar kurām tīmekļa vietnēm jūs izveidojat savienojumu, Domēna vārdu sistēmas vaicājumu šifrēšana ar DNS, izmantojot HTTPS Tas ir viens no vienkāršākajiem veidiem, kā palielināt savu privātumu, necīnoties ar maršrutētāju. Izmantojot DoH, tulkotājs, kas konvertē domēnus uz IP adresēm, pārtrauc pārvietoties pa datu plūsmu un iet caur HTTPS tuneli.

Šajā ceļvedī jūs atradīsiet tiešā valodā un bez liekas žargona, Kas īsti ir DoH un kā tas atšķiras no citām iespējām, piemēram, DoT?, kā to iespējot pārlūkprogrammās un operētājsistēmās (tostarp Windows Server 2022), kā pārbaudīt, vai tas patiešām darbojas, atbalstītos serverus un, ja jūtaties drosmīgi, pat kā iestatīt savu DoH risinātāju. Viss, nepieskaroties maršrutētājam...izņemot papildu sadaļu tiem, kas vēlas to konfigurēt MikroTik ierīcē.

Kas ir DNS pār HTTPS (DoH) un kāpēc tas jums varētu interesēt?

Google DNS

Ievadot domēna nosaukumu (piemēram, Xataka.com), dators jautā DNS risinātājam tā IP adresi; Šis process parasti notiek vienkāršā tekstā. Un ikviens jūsu tīklā, jūsu interneta pakalpojumu sniedzējs vai starpniekserveris var to noklausīties vai manipulēt. Tā ir klasiskā DNS būtība: ātrs, visuresošs… un caurspīdīgs trešajām pusēm.

Šeit noder DoH: Tas pārvieto šos DNS jautājumus un atbildes uz to pašu šifrēto kanālu, ko izmanto drošais tīmeklis (HTTPS, 443. ports).Rezultātā tie vairs nepārvietojas "atklātā veidā", samazinot spiegošanas, vaicājumu nolaupīšanas un noteiktu starpnieka uzbrukumu iespējamību. Turklāt daudzos testos latentums ievērojami nepasliktinās un to var pat uzlabot, pateicoties transporta optimizācijai.

Galvenā priekšrocība ir tā, ka DoH var iespējot lietojumprogrammas vai sistēmas līmenī., tāpēc jums nav jāpaļaujas uz savu mobilo sakaru operatoru vai maršrutētāju, lai kaut ko iespējotu. Tas nozīmē, ka jūs varat pasargāt sevi "no pārlūkprogrammas āra", nepieskaroties nevienai tīkla iekārtai.

Ir svarīgi atšķirt DoH no DoT (DNS pār TLS): DoT šifrē DNS 853. portā tieši caur TLS, savukārt DoH to integrē HTTP(S). DoT teorētiski ir vienkāršāks, bet Visticamāk, to bloķēs ugunsmūri. kas samazina neparastu portu skaitu; DoH, izmantojot 443, labāk apiet šos ierobežojumus un novērš piespiedu “atpakaļejošas” uzbrukumus nešifrētam DNS.

Par privātumu: HTTPS izmantošana nenozīmē sīkfailu izmantošanu vai izsekošanu Veselības ministrijas (DoH) ietvaros; standarti nepārprotami neiesaka to lietot Šajā kontekstā TLS 1.3 arī samazina nepieciešamību restartēt sesijas, tādējādi samazinot korelācijas. Un, ja jūs uztrauc veiktspēja, HTTP/3, izmantojot QUIC, var nodrošināt papildu uzlabojumus, multipleksējot vaicājumus bez bloķēšanas.

Kā darbojas DNS, biežāk sastopamie riski un kur DoH iederas

Operētājsistēma parasti apgūst, kuru risinātāju izmantot, izmantojot DHCP; Mājās parasti izmantojat interneta pakalpojumu sniedzējus., birojā, korporatīvajā tīklā. Ja šī saziņa nav šifrēta (UDP/TCP 53), ikviens jūsu Wi-Fi tīklā vai maršrutā var redzēt vaicājumā esošos domēnus, ievadīt viltotas atbildes vai novirzīt jūs uz meklējumiem, ja domēns neeksistē, kā to dara daži operatori.

Tipiska datplūsmas analīze atklāj portus, avota/galamērķa IP adreses un pašu domēnu; Tas ne tikai atklāj pārlūkošanas paradumus, tas arī atvieglo turpmāko savienojumu korelāciju, piemēram, ar Twitter adresēm vai tamlīdzīgi, un secina, kuras tieši lapas esat apmeklējis.

Izmantojot DoT, DNS ziņojums tiek nosūtīts TLS ietvaros caur 853. portu; izmantojot DoH, DNS vaicājums ir iekapsulēts standarta HTTPS pieprasījumā, kas arī ļauj to izmantot tīmekļa lietojumprogrammās, izmantojot pārlūkprogrammas API. Abiem mehānismiem ir viens un tas pats pamatprincips: servera autentifikācija ar sertifikātu un pilnībā šifrēts kanāls.

Ekskluzīvs saturs — noklikšķiniet šeit  Kā bloķēt robotprogrammatūras vietnē Instagram

Problēma ar jaunajām ostām ir tā, ka tas ir bieži sastopams daži tīkli bloķē 853, mudinot programmatūru “atgriezties” pie nešifrēta DNS. DoH to mazina, izmantojot 443, kas ir izplatīts tīmeklī. DNS/QUIC pastāv arī kā vēl viena daudzsološa iespēja, lai gan tai ir nepieciešams atvērts UDP un tā ne vienmēr ir pieejama.

Pat šifrējot transportu, esiet uzmanīgi ar vienu niansi: Ja atrisinātājs melo, šifrs to neizlabo.Šim nolūkam pastāv DNSSEC, kas ļauj validēt atbildes integritāti, lai gan tā ieviešana nav plaši izplatīta un daži starpnieki pārkāpj tā funkcionalitāti. Pat ja tā, DoH neļauj trešajām personām izlūkot vai manipulēt ar jūsu vaicājumiem.

Aktivizējiet to, nepieskaroties maršrutētājam: pārlūkprogrammas un sistēmas

Vienkāršākais veids, kā sākt darbu, ir iespējot DoH savā pārlūkprogrammā vai operētājsistēmā. Lūk, kā jūs pasargājat vaicājumus no savas komandas neatkarīgi no maršrutētāja programmaparatūras.

Google Chrome

Pašreizējās versijās varat doties uz chrome://settings/security un sadaļā “Izmantot drošu DNS” aktivizējiet opciju un izvēlieties pakalpojumu sniedzēju (jūsu pašreizējais pakalpojumu sniedzējs, ja tas atbalsta DoH, vai kāds no Google saraksta, piemēram, Cloudflare vai Google DNS).

Iepriekšējās versijās Chrome piedāvāja eksperimentālu slēdzi: type chrome://flags/#dns-over-https, meklējiet “Droša DNS meklēšana” un mainīt to no noklusējuma uz iespējotu. Restartējiet pārlūkprogrammu, lai lietotu izmaiņas.

Microsoft Edge (Chromium)

Chromium bāzes Edge piedāvā līdzīgu opciju. Ja jums tā ir nepieciešama, dodieties uz edge://flags/#dns-over-https, atrodiet “Droša DNS meklēšana” un iespējojiet to sadaļā IespējotsMūsdienu versijās aktivizēšana ir pieejama arī jūsu privātuma iestatījumos.

Mozilla Firefox

Atveriet izvēlni (augšējā labajā stūrī) > Iestatījumi > Vispārīgi > ritiniet uz leju līdz “Tīkla iestatījumi”, pieskarieties Konfigurācija un atzīmējiet “Iespējot DNS, izmantojot HTTPS". Jūs varat izvēlēties no tādiem pakalpojumu sniedzējiem kā Cloudflare vai NextDNS.

Ja dodat priekšroku precīzai kontrolei, about:config pielāgot network.trr.mode: 2 (oportūnists) izmanto DoH un veic rezerves risinājumu ja nav pieejams; 3 (stingri) mandāti DoH un neizdodas, ja nav atbalsta. Izmantojot stingro režīmu, definējiet sāknēšanas risinātāju kā network.trr.bootstrapAddress=1.1.1.1.

Opera

Kopš 65. versijas Opera ietver iespēju Iespējot DoH ar 1.1.1.1Pēc noklusējuma tas ir atspējots un darbojas oportūnistiskā režīmā: ja 1.1.1.1:443 atbild, tas izmantos DoH; pretējā gadījumā tas atgriežas pie nešifrēta atrisinātāja.

Windows 10/11: automātiskā noteikšana (AutoDoH) un reģistrs

Windows var automātiski iespējot DoH ar noteiktiem zināmiem atrisinātājiem. Vecākās versijās jūs varat piespiest uzvedību no reģistra: palaist regedit un dodieties uz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Izveidojiet DWORD (32 bitu) ar nosaukumu EnableAutoDoh ar vērtību 2 y Restartējiet datoruTas darbojas, ja izmantojat DNS serverus, kas atbalsta DoH.

Windows Server 2022: DNS klients ar iebūvētu DoH

Iebūvētais DNS klients operētājsistēmā Windows Server 2022 atbalsta DoH. DoH varēsiet izmantot tikai ar serveriem, kas ir iekļauti viņu “Zināmo DoH” sarakstā. vai arī to, ko pievienojat pats. Lai to konfigurētu no grafiskās saskarnes:

  1. Atveriet Windows iestatījumus > Tīkls un internets.
  2. Ieiet Ethernet un izvēlieties savu saskarni.
  3. Tīkla ekrānā ritiniet uz leju līdz Configuración de DNS un nospiediet Rediģēt.
  4. Izvēlieties “Manuāli”, lai definētu vēlamos un alternatīvos serverus.
  5. Ja šīs adreses ir zināmajā DoH sarakstā, tas tiks iespējots. “Vēlamā DNS šifrēšana” ar trim iespējām:
    • Tikai šifrēšana (DNS, izmantojot HTTPS): Piespiedu kārtā ieviest DoH; ja serveris neatbalsta DoH, risinājums netiks nodrošināts.
    • Priekšroka šifrēšanai, atļaut nešifrētuMēģina veikt DoH un, ja tas neizdodas, atgriežas pie nešifrēta klasiskā DNS.
    • Tikai nešifrētiIzmanto tradicionālo vienkāršā teksta DNS.
  6. Saglabāt, lai lietotu izmaiņas.

Varat arī vaicāt un paplašināt zināmo DoH atrisinātāju sarakstu, izmantojot PowerShell. Lai skatītu pašreizējo sarakstu:

Get-DNSClientDohServerAddress

Lai reģistrētu jaunu zināmu DoH serveri ar savu veidni, izmantojiet:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ņemiet vērā, ka cmdlet Set-DNSClientServerAddress nekontrolē sevi DoH izmantošana; šifrēšana ir atkarīga no tā, vai šīs adreses ir zināmo DoH serveru tabulā. Pašlaik nevar konfigurēt DoH Windows Server 2022 DNS klientam no Windows administrēšanas centra vai ar sconfig.cmd.

Grupas politika operētājsistēmā Windows Server 2022

Ir direktīva, ko sauc par “DNS konfigurēšana, izmantojot HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKad šī opcija ir iespējota, varat izvēlēties:

  • Atļaut DoHIzmantojiet DoH, ja serveris to atbalsta; pretējā gadījumā vaicājums tiek veikts nešifrētā veidā.
  • Aizliegt DoHnekad neizmanto DoH.
  • Nepieciešama DoH: piespiež DoH; ja nav atbalsta, atrisināšana neizdodas.
Ekskluzīvs saturs — noklikšķiniet šeit  Como Descifrar Contraseñas De Celular

Svarīgi: Neiespējojiet domēnam pievienotajos datoros opciju “Pieprasīt DoH”Active Directory izmanto DNS, un Windows Server DNS servera loma neatbalsta DoH vaicājumus. Ja AD vidē ir nepieciešams nodrošināt DNS datplūsmas drošību, apsveriet iespēju izmantot IPsec noteikumi starp klientiem un iekšējiem risinātājiem.

Ja jūs interesē konkrētu domēnu novirzīšana uz konkrētiem atrisinātājiem, varat izmantot NRPT (nosaukuma atpazīšanas politikas tabula)Ja mērķa serveris ir iekļauts zināmo DoH sarakstā, šīs konsultācijas ceļos caur DoH.

Android, iOS un Linux

Operētājsistēmā Android 9 un jaunākās versijās šī opcija DNS privado ļauj izmantot DoT (nevis DoH) ar diviem režīmiem: “Automātiski” (oportūnistisks, izmanto tīkla risinātāju) un “Stingri” (jums jānorāda resursdatora nosaukums, kas ir apstiprināts ar sertifikātu; tiešās IP adreses netiek atbalstītas).

Lietotne operētājsistēmās iOS un Android 1.1.1.1 Cloudflare iespējo DoH vai DoT stingrā režīmā, izmantojot VPN API, lai pārtvertu nešifrētus pieprasījumus un pārsūtīt tos caur drošu kanālu.

Linux sistēmā systemd-resolved atbalsta DoT kopš systemd 239. Pēc noklusējuma tas ir atspējots; tas piedāvā oportūnistisku režīmu bez sertifikātu validācijas un stingru režīmu (kopš 243) ar CA validāciju, bet bez SNI vai nosaukuma verifikācijas, kas vājina uzticības modeli pret uzbrucējiem uz ceļa.

Operētājsistēmās Linux, macOS vai Windows varat izvēlēties stingrā režīma DoH klientu, piemēram, cloudflared proxy-dns (pēc noklusējuma tiek izmantota versija 1.1.1.1, lai gan jūs varat definēt augšupējos alternatīvas).

Zināmi DoH serveri (Windows) un kā pievienot vēl

Windows Server ietver risinātāju sarakstu, kas, kā zināms, atbalsta DoH. To var pārbaudīt, izmantojot PowerShell un pievienojiet jaunus ierakstus, ja nepieciešams.

Šie ir zināmi DoH serveri pēc noklusējuma:

Servera īpašnieks DNS servera IP adreses
Mākoņa uzliesmojums 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Priekš ver la lista, palaist:

Get-DNSClientDohServerAddress

Priekš pievienot jaunu DoH risinātāju ar tā veidni, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ja pārvaldāt vairākas vārdtelpas, NRPT ļaus jums pārvaldīt konkrētus domēnus uz konkrētu atrisinātāju, kas atbalsta DoH.

Kā pārbaudīt, vai DoH ir aktīvs

Pārlūkprogrammās apmeklējiet https://1.1.1.1/helptur tu redzēsi, vai jūsu datplūsma izmanto DoH ar 1.1.1.1 vai nē. Tas ir ātrs tests, lai redzētu, kādā statusā atrodaties.

Operētājsistēmā Windows 10 (2004. gada versija) varat uzraudzīt klasisko DNS trafiku (53. ports), izmantojot pktmon no priviliģētas konsoles:

pktmon filter add -p 53
pktmon start --etw -m real-time

Ja 53. kanālā parādās pastāvīga pakešu plūsma, ir ļoti iespējams, ka jūs joprojām izmantojat nešifrētu DNSAtcerieties: parametrs --etw -m real-time nepieciešama 2004. gada versija; iepriekšējās versijās tiks parādīta kļūda “nezināms parametrs”.

Pēc izvēles: konfigurējiet to maršrutētājā (MikroTik)

Ja vēlaties centralizēt šifrēšanu maršrutētājā, varat viegli iespējot DoH MikroTik ierīcēs. Vispirms importējiet saknes sertificēšanas iestādi (root CA). ko parakstīs serveris, ar kuru izveidosit savienojumu. Cloudflare varat lejupielādēt DigiCertGlobalRootCA.crt.pem.

Augšupielādējiet failu maršrutētājā (velkot to uz “Faili”) un dodieties uz Sistēma > Sertifikāti > Importēt lai to iekļautu. Pēc tam konfigurējiet maršrutētāja DNS ar Cloudflare DoH URLKad tas būs aktīvs, maršrutētājs piešķirs prioritāti šifrētajam savienojumam, nevis noklusējuma nešifrētajam DNS.

Ekskluzīvs saturs — noklikšķiniet šeit  Kā lietot Kaspersky Anti-Virus?

Lai pārliecinātos, ka viss ir kārtībā, apmeklējiet 1.1.1.1/palīdzība no datora, kas atrodas aiz maršrutētāja. Visu var izdarīt arī caur termināli RouterOS, ja vēlaties.

Veiktspēja, papildu privātums un pieejas ierobežojumi

Runājot par ātrumu, svarīgi ir divi rādītāji: atrisināšanas laiks un faktiskā lapas ielāde. Neatkarīgi testi (piemēram, SamKnows) Viņi secina, ka atšķirība starp DoH un klasisko DNS (Do53) abos aspektos ir niecīga; praksē nevajadzētu pamanīt nekādu lēnumu.

DoH šifrē “DNS vaicājumu”, taču tīklā ir vairāk signālu. Pat ja slēpjat DNS, interneta pakalpojumu sniedzējs varētu secināt lietas izmantojot TLS savienojumus (piemēram, SNI dažos mantotos scenārijos) vai citus izsekošanas veidus. Lai uzlabotu privātumu, varat izpētīt DoT, DNSCrypt, DNSCurve vai klientus, kas samazina metadatus.

Ne visas ekosistēmas vēl atbalsta DoH. Daudzi mantotie risinātāji to nepiedāvā., piespiežot paļauties uz publiskiem avotiem (Cloudflare, Google, Quad9 utt.). Tas rosina debates par centralizāciju: vaicājumu koncentrēšana dažiem dalībniekiem rada privātuma un uzticēšanās izmaksas.

Korporatīvā vidē DoH var būt pretrunā ar drošības politikām, kas balstītas uz DNS uzraudzība vai filtrēšana (ļaunprogrammatūra, vecāku kontrole, atbilstība tiesību aktiem). Risinājumi ietver MDM/grupas politiku, lai iestatītu DoH/DoT risinātāju stingrā režīmā, vai apvienojumā ar lietojumprogrammu līmeņa kontrolēm, kas ir precīzākas nekā uz domēnu balstīta bloķēšana.

DNSSEC papildina DoH: DoH aizsargā transportu; DNSSEC validē atbildi.Pielietojums ir nevienmērīgs, un dažas starpposma ierīces to pārtrauc, taču tendence ir pozitīva. Ceļā starp risinātājiem un autoritatīviem serveriem DNS tradicionāli paliek nešifrēts; lielie operatori jau veic eksperimentus, izmantojot DoT (piemēram, 1.1.1.1 ar Facebook autoritatīvajiem serveriem), lai uzlabotu aizsardzību.

Starpposma alternatīva ir šifrēt tikai starp maršrutētājs un atrisinātājs, atstājot savienojumu starp ierīcēm un maršrutētāju nešifrētu. Noderīgi drošos vadu tīklos, bet nav ieteicams atvērtos Wi-Fi tīklos: citi lietotāji varētu izspiegot vai manipulēt ar šiem vaicājumiem lokālajā tīklā.

Izveidojiet savu DoH risinātāju

Ja vēlaties pilnīgu neatkarību, varat izvietot savu risinātāju. Neierobežots + Redis (2. līmeņa kešatmiņa) + Nginx ir populāra kombinācija DoH URL apkalpošanai un domēnu filtrēšanai ar automātiski atjaunināmiem sarakstiem.

Šis steks darbojas perfekti uz pieticīga VPS (piemēram, viens kodols/2 vadi ģimenei). Ir pieejamas rokasgrāmatas ar lietošanai gatavām instrukcijām, piemēram, šī krātuve: github.com/ousatov-ua/dns-filtering. Daži VPS pakalpojumu sniedzēji piedāvā sagaidīšanas kredītus jaunajiem lietotājiem, lai jūs varētu iestatīt izmēģinājuma versiju par zemu cenu.

Izmantojot savu privāto risinātāju, varat izvēlēties filtrēšanas avotus, noteikt saglabāšanas politikas un izvairieties no vaicājumu centralizēšanas trešajām pusēm. Apmaiņā pret to jūs pārvaldāt drošību, uzturēšanu un augstu pieejamību.

Pirms slēgšanas piezīme par derīgumu: internetā opcijas, izvēlnes un nosaukumi bieži mainās; daži vecie ceļveži ir novecojuši (Piemēram, jaunākajās Chrome versijās vairs nav nepieciešams iet cauri “karodziņiem”.) Vienmēr pārbaudiet to savas pārlūkprogrammas vai sistēmas dokumentācijā.

Ja esat ticis tik tālu, jūs jau zināt, ko DoH dara, kā tas iederas DoT un DNSSEC mīklā un, pats galvenais, kā to tūlīt aktivizēt savā ierīcē lai novērstu DNS izplatīšanos necaurspīdīgā veidā. Ar dažiem klikšķiem pārlūkprogrammā vai pielāgojumiem sistēmā Windows (pat politikas līmenī Server 2022) jums būs šifrēti vaicājumi; ja vēlaties pacelt lietas nākamajā līmenī, varat pārvietot šifrēšanu uz MikroTik maršrutētāju vai izveidot savu risinātāju. Galvenais ir tas, ka Nepieskaroties savam maršrutētājam, jūs varat pasargāt vienu no mūsdienās visvairāk aprunātajām datplūsmas daļām..