Si të Enkriptoni DNS-in tuaj pa prekur routerin tuaj me DoH: Një udhëzues i plotë

Përditësimi i fundit: 16/10/2025
Autori: Kristian Garcia

  • DoH i enkripton pyetjet DNS duke përdorur HTTPS (porti 443), duke përmirësuar privatësinë dhe duke parandaluar ndërhyrjen.
  • Mund të aktivizohet në shfletues dhe sisteme (përfshirë Windows Server 2022) pa u varur nga routeri.
  • Performancë e ngjashme me DNS klasike; e plotësuar nga DNSSEC për të validuar përgjigjet.
  • Serverë të njohur DoH (Cloudflare, Google, Quad9) dhe mundësia për të shtuar ose konfiguruar zgjidhësin tuaj.

Si të enkriptoni DNS-in tuaj pa prekur routerin tuaj duke përdorur DNS mbi HTTPS

¿Si ta enkriptoni DNS-in tuaj pa prekur routerin tuaj duke përdorur DNS mbi HTTPS? Nëse jeni të shqetësuar se kush mund të shohë se me cilat faqe interneti lidheni, Enkripto pyetjet e Sistemit të Emrave të Domaineve me DNS mbi HTTPS Është një nga mënyrat më të lehta për të rritur privatësinë tuaj pa pasur nevojë të luftoni me routerin tuaj. Me DoH, përkthyesi që konverton domenet në adresa IP ndalon së udhëtuari në mënyrë të qartë dhe kalon nëpër një tunel HTTPS.

Në këtë udhëzues do të gjeni, me gjuhë të drejtpërdrejtë dhe pa shumë zhargon, Çfarë është saktësisht DoH, si ndryshon nga opsionet e tjera si DoT, si ta aktivizoni në shfletues dhe sisteme operative (përfshirë Windows Server 2022), si të verifikoni që po funksionon vërtet, serverat e mbështetur dhe, nëse ndiheni të guximshëm, madje edhe si ta konfiguroni zgjidhësin tuaj DoH. Gjithçka, pa prekur ruterin...me përjashtim të një seksioni opsional për ata që duan ta konfigurojnë atë në një MikroTik.

Çfarë është DNS mbi HTTPS (DoH) dhe pse mund t'ju interesojë

DNS e Google-it

Kur shkruani një domen (për shembull, Xataka.com), kompjuteri i kërkon një zgjidhësi DNS se cila është IP-ja e tij; Ky proces zakonisht është në tekst të thjeshtë Dhe kushdo në rrjetin tuaj, ofruesin tuaj të internetit ose pajisjet ndërmjetëse mund ta përgjojë ose manipulojë atë. Ky është thelbi i DNS-së klasike: i shpejtë, i kudondodhur… dhe transparent ndaj palëve të treta.

Këtu hyn në lojë DoH: I zhvendos ato pyetje dhe përgjigje të DNS-së në të njëjtin kanal të koduar të përdorur nga uebi i sigurt (HTTPS, porta 443)Rezultati është se ato nuk udhëtojnë më "në hapësirë ​​të hapur", duke zvogëluar mundësinë e spiunazhit, rrëmbimit të pyetjeve dhe disa sulmeve "njeriu në mes". Për më tepër, në shumë teste latenca nuk përkeqësohet ndjeshëm dhe madje mund të përmirësohet falë optimizimeve të transportit.

Një avantazh kyç është se DoH mund të aktivizohet në nivelin e aplikacionit ose sistemit, kështu që nuk keni pse të mbështeteni te operatori juaj ose routeri për të aktivizuar asgjë. Kjo do të thotë, mund ta mbroni veten "nga shfletuesi jashtë", pa prekur asnjë pajisje rrjeti.

Është e rëndësishme të dallohet DoH nga DoT (DNS mbi TLS): DoT enkripton DNS-in në portin 853 direkt mbi TLS, ndërsa DoH e integron atë në HTTP(S). DoT është më i thjeshtë në teori, por Ka më shumë të ngjarë të bllokohet nga firewall-et që ndërpresin portat e pazakonta; DoH, duke përdorur 443, i anashkalon më mirë këto kufizime dhe parandalon sulmet e detyruara të "kthimit prapa" në DNS të pakriptuara.

Mbi privatësinë: Përdorimi i HTTPS nuk nënkupton cookie-t ose gjurmimin në DoH; standardet këshillojnë shprehimisht kundër përdorimit të tij Në këtë kontekst, TLS 1.3 zvogëlon gjithashtu nevojën për të rinisur seancat, duke minimizuar korrelacionet. Dhe nëse jeni të shqetësuar për performancën, HTTP/3 mbi QUIC mund të ofrojë përmirësime shtesë duke multipleksuar pyetjet pa bllokuar.

Si funksionon DNS, rreziqet e zakonshme dhe ku përfshihet DoH

Sistemi operativ normalisht mëson se cilin resolver të përdorë nëpërmjet DHCP-së; Në shtëpi zakonisht përdorni ofruesit e shërbimeve të internetit (ISP), në zyrë, rrjeti i korporatës. Kur ky komunikim është i pakriptuar (UDP/TCP 53), kushdo në Wi-Fi-në tuaj ose në rrugë mund të shohë domenet e kërkuara, të injektojë përgjigje të rreme ose t'ju ridrejtojë në kërkime kur domeni nuk ekziston, siç bëjnë disa operatorë.

Një analizë tipike e trafikut zbulon portet, IP-të burimore/destinacionale dhe vetë domenin e zgjidhur; Kjo jo vetëm që ekspozon zakonet e shfletimit, gjithashtu e bën më të lehtë lidhjen e lidhjeve të mëvonshme, për shembull, me adresat e Twitter-it ose të ngjashme, dhe nxjerrjen e përfundimit se cilat faqe saktësisht keni vizituar.

Me DoT, mesazhi DNS shkon brenda TLS në portin 853; me DoH, pyetja DNS është e kapsuluar në një kërkesë standarde HTTPS, i cili gjithashtu mundëson përdorimin e tij nga aplikacionet web përmes API-ve të shfletuesit. Të dy mekanizmat ndajnë të njëjtin themel: vërtetimin e serverit me një certifikatë dhe një kanal të enkriptuar nga fillimi në fund.

Përmbajtje ekskluzive - Kliko këtu  Si të bllokoni botët në Instagram

Problemi me portet e reja është se është e zakonshme për disa rrjete bllokojnë 853, duke inkurajuar softuerët që të “kthehen” te DNS-i i pakriptuar. DoH e zbut këtë duke përdorur 443, i cili është i zakonshëm për uebin. DNS/QUIC ekziston gjithashtu si një tjetër opsion premtues, megjithëse kërkon UDP të hapur dhe nuk është gjithmonë i disponueshëm.

Edhe kur kodoni transportin, kini kujdes me një nuancë: Nëse zgjidhësi gënjen, shifra nuk e korrigjon atë.Për këtë qëllim, ekziston DNSSEC, i cili lejon validimin e integritetit të përgjigjeve, megjithëse përdorimi i tij nuk është i përhapur dhe disa ndërmjetës e prishin funksionalitetin e tij. Megjithatë, DoH parandalon palët e treta gjatë rrugës që të përgjojnë ose të manipulojnë pyetjet tuaja.

Aktivizojeni pa prekur ruterin: shfletuesit dhe sistemet

Mënyra më e drejtpërdrejtë për të filluar është të aktivizoni DoH në shfletuesin ose sistemin tuaj operativ. Ja se si i mbroni pyetjet nga ekipi juaj pa u varur nga firmware-i i ruterit.

Google Chrome

Në versionet aktuale mund të shkoni te chrome://settings/security dhe, nën "Përdor DNS të sigurt", aktivizoni opsionin dhe zgjidhni ofruesin (ofruesi juaj aktual nëse mbështet DoH ose një nga lista e Google si Cloudflare ose Google DNS).

Në versionet e mëparshme, Chrome ofroi një çelës eksperimental: type chrome://flags/#dns-over-https, kërkoni për “Kërkime të Sigurta të DNS” dhe ndryshoje atë nga Parazgjedhur në AktivizuarRinisni shfletuesin tuaj për të aplikuar ndryshimet.

Microsoft Edge (Chromium)

Edge i bazuar në Chromium përfshin një opsion të ngjashëm. Nëse ju nevojitet, shkoni te edge://flags/#dns-over-https, gjeni "Kërkimet e Sigurta të DNS" dhe aktivizoje atë në AktivizuarNë versionet moderne, aktivizimi është gjithashtu i disponueshëm në cilësimet e privatësisë.

Mozilla Firefox

Hapni menynë (sipër djathtas) > Cilësimet > Të përgjithshme > shkoni poshtë te “Cilësimet e rrjetit”, prekni Konfigurimi dhe shënoni "Aktivizo DNS mbi HTTPSMund të zgjidhni nga ofrues si Cloudflare ose NextDNS.

Nëse preferoni kontroll të imët, në about:config rregulloj network.trr.mode: 2 (oportunist) përdor DoH dhe bën alternativë nëse nuk është i disponueshëm; 3 mandate (të rrepta) të DoH dhe dështon nëse nuk ka mbështetje. Me modalitetin strikt, përcaktoni një zgjidhës bootstrap si network.trr.bootstrapAddress=1.1.1.1.

Opera

Që nga versioni 65, Opera përfshin një opsion për të aktivizo DoH me 1.1.1.1Vjen i çaktivizuar si parazgjedhje dhe funksionon në modalitetin oportunist: nëse 1.1.1.1:443 përgjigjet, do të përdorë DoH; përndryshe, i rikthehet zgjidhësit të paenkriptuar.

Windows 10/11: Zbulimi automatik (AutoDoH) dhe Regjistri

Windows mund ta aktivizojë automatikisht DoH me disa zgjidhës të njohur. Në versionet më të vjetra, mund ta detyrosh sjelljen nga Regjistri: ekzekuto regedit dhe shko te HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Krijo një DWORD (32-bit) të quajtur EnableAutoDoh me vlerë 2 y Rinisni kompjuterinKjo funksionon nëse përdorni serverë DNS që mbështesin DoH.

Windows Server 2022: Klient DNS me DoH vendas

Klienti DNS i integruar në Windows Server 2022 mbështet DoH. Do të jeni në gjendje të përdorni DoH vetëm me servera që janë në listën e tyre "DoH të Njohur". ose që e shtoni vetë. Për ta konfiguruar nga ndërfaqja grafike:

  1. Hap Cilësimet e Windows > Rrjeti dhe interneti.
  2. Hyr Ethernet dhe zgjidhni ndërfaqen tuaj.
  3. Në ekranin e rrjetit, lëvizni poshtë te Configuración de DNS dhe shtyp Modifiko.
  4. Zgjidhni "Manual" për të përcaktuar serverat e preferuar dhe alternativë.
  5. Nëse ato adresa janë në listën e njohur të DoH, do të aktivizohet “Enkriptimi i preferuar i DNS” me tre opsione:
    • Vetëm enkriptim (DNS mbi HTTPS)Detyro DoH; nëse serveri nuk e mbështet DoH, nuk do të ketë zgjidhje.
    • Preferoj enkriptimin, lejo të pakriptuarinPërpiqet të kryejë DoH dhe nëse dështon, kthehet në DNS klasik të paenkriptuar.
    • Vetëm të paenkriptuaraPërdor DNS tradicionale me tekst të thjeshtë.
  6. Ruaj për të aplikuar ndryshimet.

Gjithashtu mund të kërkoni dhe zgjeroni listën e zgjidhësve të njohur të DoH duke përdorur PowerShell. Për të parë listën aktuale:

Get-DNSClientDohServerAddress

Për të regjistruar një server të ri të njohur DoH me shabllonin tuaj, përdorni:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Vini re se cmdlet-i Set-DNSClientServerAddress nuk e kontrollon veten përdorimi i DoH; enkriptimi varet nëse ato adresa janë në tabelën e serverëve të njohur DoH. Aktualisht nuk mund ta konfiguroni DoH për klientin DNS të Windows Server 2022 nga Qendra e Administrimit të Windows ose me sconfig.cmd.

Politika e Grupit në Windows Server 2022

Ekziston një direktivë e quajtur "Konfiguro DNS mbi HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKur aktivizohet, mund të zgjidhni:

  • Lejo DoHPërdorni DoH nëse serveri e mbështet atë; përndryshe, pyetja është e pakriptuar.
  • Ban DoH: nuk përdor kurrë DoH.
  • Kërko DoH: detyron DoH; nëse nuk ka mbështetje, zgjidhja dështon.
Përmbajtje ekskluzive - Kliko këtu  Como Descifrar Contraseñas De Celular

E rëndësishme: Mos e aktivizoni "Kërkoni DoH" në kompjuterët e bashkuar me domeninActive Directory mbështetet në DNS, dhe roli i Serverit DNS të Windows Server nuk mbështet pyetjet DoH. Nëse keni nevojë të siguroni trafikun DNS brenda një mjedisi AD, merrni në konsideratë përdorimin e Rregullat e IPsec midis klientëve dhe zgjidhësve të brendshëm.

Nëse jeni të interesuar të ridrejtoni domene specifike në zgjidhës specifikë, mund të përdorni NRPT (Tabela e Politikave të Zgjidhjes së Emrit)Nëse serveri i destinacionit është në listën e njohur të DoH, ato konsultime do të udhëtojë nëpër DoH.

Android, iOS dhe Linux

Në Android 9 dhe më të lartë, opsioni DNS privado lejon DoT (jo DoH) me dy mënyra: "Automatik" (oportunist, merr zgjidhësin e rrjetit) dhe "Strict" (duhet të specifikoni një emër host-i që validohet nga certifikata; IP-të direkte nuk mbështeten).

Në iOS dhe Android, aplikacioni 1.1.1.1 Cloudflare mundëson DoH ose DoT në modalitetin strikt duke përdorur API-në VPN për të kapur kërkesat e pakriptuara dhe përcillni ato përmes një kanali të sigurt.

Në Linux, systemd-resolved mbështet DoT që nga systemd 239. Është çaktivizuar si parazgjedhje; ofron modalitetin oportunist pa validuar certifikatat dhe modalitetin strikt (që nga 243) me validim CA por pa verifikim SNI ose emri, i cili dobëson modelin e besimit kundër sulmuesve në rrugë.

Në Linux, macOS ose Windows, mund të zgjidhni një klient DoH në modalitetin strikt, siç është cloudflared proxy-dns (si parazgjedhje përdor 1.1.1.1, megjithëse ju mund të përcaktoni rrjedhat e sipërme alternativa).

Serverat e njohur të DoH (Windows) dhe si të shtoni më shumë

Windows Server përfshin një listë të resolverëve që dihet se mbështesin DoH. Mund ta kontrolloni me PowerShell dhe shtoni hyrje të reja nëse është e nevojshme.

Këto janë servera të njohur të DoH menjëherë:

Pronari i serverit Adresat IP të serverit DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Për ver la lista, drejtuar:

Get-DNSClientDohServerAddress

Për shtoni një zgjidhës të ri të DoH me shabllonin e tij, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Nëse menaxhoni hapësira të shumta emrash, NRPT do t'ju lejojë të menaxhoni domene specifike te një zgjidhës specifik që mbështet DoH.

Si të kontrolloni nëse DoH është aktiv

Në shfletues, vizitoni https://1.1.1.1/help; aty do të shihni nëse Trafiku juaj po përdor DoH me 1.1.1.1 ose jo. Është një test i shpejtë për të parë se në çfarë statusi ndodheni.

Në Windows 10 (versioni 2004), mund të monitoroni trafikun klasik të DNS (porti 53) me pktmon nga një konsol i privilegjuar:

pktmon filter add -p 53
pktmon start --etw -m real-time

Nëse një rrjedhë konstante paketash shfaqet në 53, ka shumë të ngjarë që Ju ende po përdorni DNS të pakriptuarMbani mend: parametri --etw -m real-time kërkon vitin 2004; në versionet e mëparshme do të shihni një gabim "parametër i panjohur".

Opsionale: konfigurojeni në router (MikroTik)

Nëse preferoni ta centralizoni enkriptimin në router, mund ta aktivizoni lehtësisht DoH në pajisjet MikroTik. Së pari, importoni CA rrënjë i cili do të nënshkruhet nga serveri me të cilin do të lidheni. Për Cloudflare mund ta shkarkoni DigiCertGlobalRootCA.crt.pem.

Ngarko skedarin në router (duke e zvarritur te "Skedarët") dhe shko te Sistemi > Certifikatat > Importi për ta përfshirë atë. Pastaj, konfiguroni DNS-in e routerit me URL-të e DoH të CloudflarePasi të jetë aktiv, routeri do t'i japë përparësi lidhjes së enkriptuar mbi DNS-in e parazgjedhur të paenkriptuar.

Përmbajtje ekskluzive - Kliko këtu  Si mund ta përdor Kaspersky Anti-Virus?

Për të verifikuar që gjithçka është në rregull, vizitoni 1.1.1.1/ndihmë nga një kompjuter pas ruterit. Ju gjithashtu mund të bëni gjithçka përmes terminalit. në RouterOS nëse preferoni.

Performanca, privatësia shtesë dhe kufizimet e qasjes

Kur bëhet fjalë për shpejtësinë, dy metrika kanë rëndësi: koha e zgjidhjes dhe ngarkesa aktuale e faqes. Teste të pavarura (siç është SamKnows) Ata arrijnë në përfundimin se ndryshimi midis DoH dhe DNS klasik (Do53) është i vogël në të dyja frontet; në praktikë, nuk duhet të vini re ndonjë ngadalësi.

DoH enkripton "pyetjen DNS", por ka më shumë sinjale në rrjet. Edhe nëse e fshihni DNS-in, një ISP mund të nxjerrë përfundime nëpërmjet lidhjeve TLS (p.sh., SNI në disa skenarë të trashëguar) ose gjurmëve të tjera. Për të përmirësuar privatësinë, mund të eksploroni DoT, DNSCrypt, DNSCurve ose klientë që minimizojnë metadatat.

Jo të gjitha ekosistemet e mbështesin ende DoH. Shumë zgjidhës të trashëguar nuk e ofrojnë këtë., duke detyruar mbështetjen në burime publike (Cloudflare, Google, Quad9, etj.). Kjo hap debatin mbi centralizimin: përqendrimi i pyetjeve në disa aktorë përfshin kosto të privatësisë dhe besimit.

Në mjediset e korporatave, DoH mund të përplaset me politikat e sigurisë që bazohen në Monitorimi ose filtrimi i DNS-së (malware, kontrolle prindërore, pajtueshmëri ligjore). Zgjidhjet përfshijnë Politikën MDM/Grup për të vendosur një zgjidhës DoH/DoT në modalitetin strikt, ose të kombinuara me kontrolle në nivel aplikacioni, të cilat janë më të sakta sesa bllokimi i bazuar në domen.

DNSSEC plotëson DoH: DoH mbron transportin; DNSSEC vërteton përgjigjen.Përshtatja është e pabarabartë dhe disa pajisje të ndërmjetme e prishin atë, por trendi është pozitiv. Përgjatë rrugës midis zgjidhësve dhe serverëve autoritarë, DNS tradicionalisht mbetet i pakriptuar; tashmë ka eksperimente duke përdorur DoT midis operatorëve të mëdhenj (p.sh., 1.1.1.1 me serverët autoritarë të Facebook) për të rritur mbrojtjen.

Një alternativë e ndërmjetme është të enkriptohet vetëm midis ruteri dhe zgjidhësi, duke e lënë lidhjen midis pajisjeve dhe ruterit të pakriptuar. E dobishme në rrjete të sigurta me kabllo, por nuk rekomandohet në rrjete të hapura Wi-Fi: përdorues të tjerë mund të spiunojnë ose manipulojnë këto pyetje brenda LAN-it.

Krijoni zgjidhësin tuaj të DoH

Nëse dëshironi pavarësi të plotë, mund të vendosni zgjidhësin tuaj. I palidhur + Redis (cache L2) + Nginx është një kombinim i njohur për shërbimin e URL-ve të DoH dhe filtrimin e domeneve me lista që përditësohen automatikisht.

Ky stack funksionon në mënyrë perfekte në një VPS modeste (për shembull, një bërthamë/2 tela për një familje). Ka udhëzues me udhëzime të gatshme për përdorim, siç është ky depo: github.com/ousatov-ua/dns-filtering. Disa ofrues të VPS ofrojnë kredi mirëseardhjeje për përdoruesit e rinj, në mënyrë që të mund të caktoni një provë me kosto të ulët.

Me zgjidhësin tuaj privat, ju mund të zgjidhni burimet tuaja të filtrimit, të vendosni politikat e ruajtjes dhe shmangni centralizimin e pyetjeve tuaja palëve të treta. Në këmbim, ju menaxhoni sigurinë, mirëmbajtjen dhe disponueshmërinë e lartë.

Para mbylljes, një shënim mbi vlefshmërinë: në internet, opsionet, menutë dhe emrat ndryshojnë shpesh; Disa udhëzues të vjetër janë të vjetëruar (Për shembull, kalimi nëpër "flamuj" në Chrome nuk është më i nevojshëm në versionet e fundit.) Kontrolloni gjithmonë dokumentacionin e shfletuesit ose të sistemit tuaj.

Nëse keni arritur deri këtu, tashmë e dini se çfarë bën DoH, si përshtatet në mozaikun me DoT dhe DNSSEC, dhe më e rëndësishmja, si ta aktivizoni tani në pajisjen tuaj për të parandaluar që DNS të udhëtojë në mënyrë të qartë. Me disa klikime në shfletuesin tuaj ose rregullime në Windows (madje edhe në nivelin e politikave në Server 2022) do të keni pyetje të enkriptuara; nëse doni t'i çoni gjërat në nivelin tjetër, mund ta zhvendosni enkriptimin në routerin MikroTik ose të ndërtoni zgjidhësin tuaj. Çelësi është se, Pa prekur routerin tuaj, mund të mbroni një nga pjesët më të përfolura të trafikut tuaj sot..