Jinsi ya Kusimba DNS Yako Bila Kugusa Kipanga njia chako na DoH: Mwongozo Kamili

Sasisho la mwisho: 16/10/2025
Mwandishi: Cristian Garcia

  • DoH husimba kwa njia fiche hoja za DNS kwa kutumia HTTPS (bandari 443), kuboresha faragha na kuzuia kuchezewa.
  • Inaweza kuamilishwa katika vivinjari na mifumo (pamoja na Windows Server 2022) bila kutegemea kipanga njia.
  • Utendaji sawa na DNS ya kawaida; inayokamilishwa na DNSSEC ili kuthibitisha majibu.
  • Seva maarufu za DoH (Cloudflare, Google, Quad9) na uwezo wa kuongeza au kusanidi kitatuzi chako mwenyewe.

Jinsi ya kusimba DNS yako bila kugusa kipanga njia chako kwa kutumia DNS kupitia HTTPS

¿Jinsi ya kusimba DNS yako bila kugusa kipanga njia chako kwa kutumia DNS kupitia HTTPS? Ikiwa una wasiwasi kuhusu ni nani anayeweza kuona ni tovuti gani unaunganisha, Simba kwa njia fiche hoja za Mfumo wa Jina la Kikoa kwa kutumia DNS kupitia HTTPS Ni mojawapo ya njia rahisi zaidi za kuongeza faragha yako bila kugombana na kipanga njia chako. Kwa kutumia DoH, mtafsiri anayebadilisha vikoa kuwa anwani za IP huacha kusafiri kwa uwazi na kupitia handaki ya HTTPS.

Katika mwongozo huu utapata, kwa lugha ya moja kwa moja na bila jargon nyingi, DoH ni nini hasa, jinsi inavyotofautiana na chaguzi zingine kama vile DoT, jinsi ya kuiwezesha katika vivinjari na mifumo ya uendeshaji (ikiwa ni pamoja na Windows Server 2022), jinsi ya kuthibitisha kwamba inafanya kazi kweli, seva zinazotumika, na, ikiwa unahisi ujasiri, hata jinsi ya kusanidi kisuluhishi chako cha DoH. Kila kitu, bila kugusa router…isipokuwa sehemu ya hiari kwa wale ambao wanataka kuisanidi kwenye MikroTik.

DNS ni nini juu ya HTTPS (DoH) na kwa nini unaweza kujali

Google DNS

Unapoandika kwenye kikoa (kwa mfano, Xataka.com) kompyuta inauliza kisuluhishi cha DNS IP yake ni nini; Utaratibu huu kwa kawaida huwa katika maandishi wazi Na mtu yeyote kwenye mtandao wako, mtoa huduma wako wa Intaneti, au vifaa vya kati anaweza kuukagua au kuutumia. Hiki ndicho kiini cha DNS ya kawaida: haraka, kila mahali… na uwazi kwa wahusika wengine.

Hapa ndipo DoH inapoingia: Huhamisha maswali na majibu hayo ya DNS kwa chaneli iliyosimbwa kwa njia ile ile inayotumiwa na wavuti salama (HTTPS, bandari 443)Matokeo yake ni kwamba hawasafiri tena "hadharani," kupunguza uwezekano wa ujasusi, utekaji nyara wa hoja, na mashambulizi fulani ya mtu katikati. Zaidi ya hayo, katika vipimo vingi latency haina mbaya zaidi appreciably na inaweza hata kuboreshwa kutokana na uboreshaji wa usafiri.

Una ventaja clave es que DoH inaweza kuwashwa katika kiwango cha programu au mfumo, kwa hivyo huna kutegemea mtoa huduma wako au kipanga njia kuwezesha chochote. Hiyo ni, unaweza kujikinga "kutoka kwa kivinjari nje," bila kugusa vifaa vyovyote vya mtandao.

Ni muhimu kutofautisha DoH na DoT (DNS dhidi ya TLS): DoT husimba kwa njia fiche DNS kwenye bandari 853 moja kwa moja juu ya TLS, huku DoH ikiiunganisha kwenye HTTP(S). DoT ni rahisi katika nadharia, lakini Kuna uwezekano mkubwa wa kuzuiwa na firewalls kwamba kukata bandari zisizo za kawaida; DoH, kwa kutumia 443, inakwepa vyema vikwazo hivi na kuzuia mashambulizi ya kulazimishwa ya "kurudisha nyuma" kwa DNS ambayo haijasimbwa.

Kwa faragha: Kutumia HTTPS haimaanishi vidakuzi au ufuatiliaji katika DoH; viwango vinashauri waziwazi dhidi ya matumizi yake Katika muktadha huu, TLS 1.3 pia inapunguza hitaji la kuanzisha upya vipindi, na kupunguza uunganisho. Na ikiwa unajali kuhusu utendakazi, HTTP/3 juu ya QUIC inaweza kukupa maboresho ya ziada kwa kuzidisha hoja bila kuzuiwa.

Jinsi DNS inavyofanya kazi, hatari za kawaida, na mahali ambapo DoH inafaa

Mfumo wa uendeshaji kwa kawaida hujifunza kisuluhishi kipi cha kutumia kupitia DHCP; Nyumbani kwa kawaida hutumia ISP, katika ofisi, mtandao wa ushirika. Wakati mawasiliano haya yamesimbwa kwa njia fiche (UDP/TCP 53), mtu yeyote kwenye Wi-Fi yako au kwenye njia anaweza kuona vikoa vilivyoulizwa, kuingiza majibu ya uwongo, au kukuelekeza kwenye utafutaji wakati kikoa hakipo, kama waendeshaji wengine hufanya.

Uchanganuzi wa kawaida wa trafiki unaonyesha bandari, IP za chanzo/lengwa, na kikoa chenyewe kutatuliwa; Hii sio tu inafichua tabia za kuvinjari, pia hurahisisha kuunganisha miunganisho inayofuata, kwa mfano, kwa anwani za Twitter au sawa, na kuamua ni kurasa zipi haswa ambazo umetembelea.

Ukiwa na DoT, ujumbe wa DNS huenda ndani ya TLS kwenye bandari 853; na DoH, swala la DNS limewekwa katika ombi la kawaida la HTTPS, ambayo pia huwezesha matumizi yake na programu za wavuti kupitia API za kivinjari. Taratibu zote mbili zina msingi sawa: uthibitishaji wa seva na cheti na kituo kilichosimbwa kutoka mwisho hadi mwisho.

Maudhui ya kipekee - Bofya Hapa  Jinsi ya kuzuia roboti kwenye Instagram

Shida ya bandari mpya ni kwamba ni kawaida kwa baadhi ya mitandao huzuia 853, programu inayohimiza "kurudi nyuma" kwa DNS ambayo haijasimbwa. DoH inapunguza hili kwa kutumia 443, ambayo ni ya kawaida kwa wavuti. DNS/QUIC pia inapatikana kama chaguo jingine la kuahidi, ingawa inahitaji UDP wazi na haipatikani kila wakati.

Hata wakati wa kusimba usafiri, kuwa mwangalifu na nuance moja: Ikiwa kisuluhishi kinasema uwongo, msimbo hauisahihishi.Kwa madhumuni haya, DNSSEC ipo, ambayo inaruhusu uthibitishaji wa uadilifu wa majibu, ingawa kupitishwa kwake hakuenea na baadhi ya waamuzi huvunja utendakazi wake. Hata hivyo, DoH inazuia washirika wengine wasichunguze au kuchezea hoja zako.

Anzisha bila kugusa kipanga njia: vivinjari na mifumo

Njia iliyonyooka zaidi ya kuanza ni kuwezesha DoH katika kivinjari chako au mfumo wa uendeshaji. Hivi ndivyo unavyolinda maswali kutoka kwa timu yako bila kutegemea firmware ya router.

Google Chrome

Katika matoleo ya sasa unaweza kwenda chrome://settings/security na, chini ya "Tumia DNS salama", anzisha chaguo na uchague mtoaji (mtoa huduma wako wa sasa ikiwa anaauni DoH au mmoja kutoka kwenye orodha ya Google kama vile Cloudflare au Google DNS).

Katika matoleo ya awali, Chrome ilitoa swichi ya majaribio: aina chrome://flags/#dns-over-https, tafuta "Utafutaji salama wa DNS" na ibadilishe kutoka kwa Chaguomsingi hadi Imewezeshwa. Anzisha upya kivinjari chako ili kutekeleza mabadiliko.

Microsoft Edge (Chromium)

Edge inayotokana na Chromium inajumuisha chaguo sawa. Ikiwa unahitaji, nenda kwa edge://flags/#dns-over-https, pata "Utafutaji salama wa DNS" na iwezeshe katika ImewezeshwaKatika matoleo ya kisasa, uwezeshaji unapatikana pia katika mipangilio yako ya faragha.

Mozilla Firefox

Fungua menyu (juu kulia) > Mipangilio > Jumla > sogeza chini hadi "Mipangilio ya Mtandao", gusa Usanidi na kuweka alama"Washa DNS kupitia HTTPS”. Unaweza kuchagua kutoka kwa watoa huduma kama vile Cloudflare au NextDNS.

Ikiwa unapendelea udhibiti mzuri, in about:config rekebisha network.trr.mode: 2 (opportunist) hutumia DoH na kuleta mrejesho ikiwa haipatikani; 3 (strict) mamlaka DoH na kushindwa ikiwa hakuna msaada. Kwa hali kali, fafanua kisuluhishi cha bootstrap kama network.trr.bootstrapAddress=1.1.1.1.

Opera

Tangu toleo la 65, Opera inajumuisha chaguo wezesha DoH na 1.1.1.1. Inakuja ikiwa imezimwa kwa chaguo-msingi na inafanya kazi katika hali nyemelezi: ikiwa 1.1.1.1:443 itajibu, itatumia DoH; vinginevyo, itaangukia kwenye kisuluhishi ambacho hakijasimbwa.

Windows 10/11: Utambuzi wa kiotomatiki (AutoDoH) na Usajili

Windows inaweza kuwezesha DoH kiotomatiki na visuluhishi fulani vinavyojulikana. Katika matoleo ya zamani, unaweza kulazimisha tabia kutoka kwa Usajili: kukimbia regedit na uende HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Unda DWORD (32-bit) inayoitwa EnableAutoDoh yenye thamani 2 y Anzisha upya kompyutaHii inafanya kazi ikiwa unatumia seva za DNS zinazotumia DoH.

Windows Server 2022: mteja wa DNS aliye na DoH asili

Kiteja cha DNS kilichojengewa ndani katika Windows Server 2022 kinaauni DoH. Utaweza tu kutumia DoH na seva ambazo ziko kwenye orodha yao ya "DoH Inayojulikana". au unajiongeza mwenyewe. Ili kuisanidi kutoka kwa kiolesura cha picha:

  1. Fungua Mipangilio ya Windows > Mtandao na Intaneti.
  2. Ingiza Ethaneti na uchague kiolesura chako.
  3. Kwenye skrini ya mtandao, nenda chini hadi Mipangilio ya DNS na bonyeza Hariri.
  4. Chagua "Mwongozo" ili kufafanua seva zinazopendekezwa na mbadala.
  5. Ikiwa anwani hizo ziko kwenye orodha inayojulikana ya DoH, itawashwa "Usimbaji fiche wa DNS" na chaguzi tatu:
    • Usimbaji fiche pekee (DNS kupitia HTTPS): Lazimisha DoH; ikiwa seva haiauni DoH, hakutakuwa na azimio.
    • Pendelea usimbaji fiche, ruhusu usimbaji fiche: Hujaribu DoH na ikishindikana, hurudi kwenye DNS ya kawaida ambayo haijasimbwa.
    • Haijasimbwa pekee: Hutumia maandishi mafupi ya jadi ya DNS.
  6. Hifadhi ili kutumia mabadiliko.

Unaweza pia kuuliza na kupanua orodha ya visuluhishi vinavyojulikana vya DoH kwa kutumia PowerShell. Ili kuona orodha ya sasa:

Get-DNSClientDohServerAddress

Ili kusajili seva mpya inayojulikana ya DoH na kiolezo chako, tumia:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Kumbuka kwamba cmdlet Set-DNSClientServerAddress haijidhibiti matumizi ya DoH; usimbaji fiche hutegemea ikiwa anwani hizo ziko kwenye jedwali la seva zinazojulikana za DoH. Kwa sasa huwezi kusanidi DoH kwa mteja wa Windows Server 2022 DNS kutoka Kituo cha Msimamizi wa Windows au kwa sconfig.cmd.

Sera ya Kikundi katika Windows Server 2022

Kuna mwongozo unaoitwa "Sanidi DNS kupitia HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Ikiwashwa, unaweza kuchagua:

  • Ruhusu DoH: Tumia DoH ikiwa seva inaiunga mkono; vinginevyo, hoja haijasimbwa.
  • Piga marufuku DoH: kamwe haitumii DoH.
  • Inahitaji DoH: inalazimisha DoH; ikiwa hakuna msaada, azimio linashindwa.
Maudhui ya kipekee - Bofya Hapa  Como Descifrar Contraseñas De Celular

Muhimu: Usiwashe "Inahitaji DoH" kwenye kompyuta zilizounganishwa na kikoaSaraka Inayotumika inategemea DNS, na jukumu la Seva ya Windows DNS haitumii hoja za DoH. Ikiwa unahitaji kulinda trafiki ya DNS ndani ya mazingira ya AD, zingatia kutumia Sheria za IPsec kati ya wateja na wasuluhishi wa ndani.

Ikiwa ungependa kuelekeza upya vikoa mahususi kwa visuluhishi mahususi, unaweza kutumia NRPT (Jedwali la Sera ya Azimio la Jina). Ikiwa seva fikio iko kwenye orodha inayojulikana ya DoH, mashauriano hayo itasafiri kupitia DoH.

Android, iOS na Linux

Kwenye Android 9 na matoleo mapya zaidi, chaguo DNS privado inaruhusu DoT (sio DoH) na hali mbili: "Otomatiki" (nyemelea, inachukua kitatuzi cha mtandao) na "Kali" (lazima ubainishe jina la mpangishi ambalo limeidhinishwa na cheti; IP za moja kwa moja hazitumiki).

Kwenye iOS na Android, programu 1.1.1.1 Cloudflare huwezesha DoH au DoT katika hali madhubuti kwa kutumia API ya VPN kukatiza maombi ambayo hayajasimbwa na zipeleke kupitia chaneli salama.

Katika Linux, systemd-resolved inasaidia DoT tangu systemd 239. Imezimwa kwa chaguo-msingi; inatoa hali nyemelezi bila kuthibitisha vyeti na hali kali (tangu 243) na uthibitishaji wa CA lakini bila SNI au uthibitishaji wa jina, ambao inadhoofisha mfano wa uaminifu dhidi ya washambuliaji barabarani.

Kwenye Linux, macOS, au Windows, unaweza kuchagua mteja wa hali madhubuti wa DoH kama vile cloudflared proxy-dns (kwa chaguo-msingi hutumia 1.1.1.1, ingawa unaweza kufafanua mito ya juu njia mbadala).

Seva za DoH zinazojulikana (Windows) na jinsi ya kuongeza zaidi

Seva ya Windows inajumuisha orodha ya visuluhishi ambavyo vinajulikana kusaidia DoH. Unaweza kuiangalia na PowerShell na ongeza maingizo mapya ikiwa unahitaji.

Hizi ndizo seva za DoH zinazojulikana nje ya boksi:

Mmiliki wa Seva Anwani za IP za seva ya DNS
Mwangaza wa mawingu 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Kwa ver la lista, kutekeleza:

Get-DNSClientDohServerAddress

Kwa ongeza kitatuzi kipya cha DoH na kiolezo chake, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ukidhibiti nafasi nyingi za majina, NRPT itakuruhusu kufanya hivyo dhibiti vikoa maalum kwa kitatuzi mahususi kinachoauni DoH.

Jinsi ya kuangalia kama DoH inatumika

Katika vivinjari, tembelea https://1.1.1.1/help; hapo utaona kama trafiki yako inatumia DoH na 1.1.1.1 au la. Ni jaribio la haraka ili kuona uko katika hali gani.

Katika Windows 10 (toleo la 2004), unaweza kufuatilia trafiki ya DNS ya kawaida (bandari 53) na pktmon kutoka kwa console ya upendeleo:

pktmon filter add -p 53
pktmon start --etw -m real-time

Ikiwa mtiririko wa mara kwa mara wa pakiti unaonekana kwenye 53, kuna uwezekano mkubwa sana bado unatumia DNS ambayo haijasimbwa. Kumbuka: parameter --etw -m real-time inahitaji 2004; katika matoleo ya awali utaona kosa la "parameter isiyojulikana".

Hiari: isanidi kwenye kipanga njia (MikroTik)

Ikiwa ungependa kuweka usimbaji fiche kati kwenye kipanga njia, unaweza kuwasha DoH kwa urahisi kwenye vifaa vya MikroTik. Kwanza, ingiza mzizi wa CA ambayo itatiwa saini na seva utakayounganisha. Kwa Cloudflare unaweza kupakua DigiCertGlobalRootCA.crt.pem.

Pakia faili kwenye kipanga njia (kwa kuiburuta hadi kwenye "Faili"), na uende Mfumo > Vyeti > Ingiza ili kuijumuisha. Kisha, sanidi DNS ya router na URL za Cloudflare DoHBaada ya kufanya kazi, kipanga njia kitatanguliza muunganisho uliosimbwa kwa njia fiche juu ya DNS chaguomsingi ambayo haijasimbwa.

Maudhui ya kipekee - Bofya Hapa  Ninawezaje kutumia Kaspersky Anti-Virus?

Ili kudhibitisha kuwa kila kitu kiko sawa, tembelea 1.1.1.1/msaada kutoka kwa kompyuta nyuma ya router. Unaweza pia kufanya kila kitu kupitia terminal katika RouterOS ukipenda.

Utendaji, faragha ya ziada na mipaka ya mbinu

Linapokuja suala la kasi, vipimo viwili ni muhimu: wakati wa utatuzi na upakiaji halisi wa ukurasa. Vipimo vya kujitegemea (kama vile SamKnows) Wanahitimisha kuwa tofauti kati ya DoH na DNS ya kawaida (Do53) iko kando kwa pande zote mbili; kwa mazoezi, haupaswi kugundua polepole yoyote.

DoH husimba kwa njia fiche "hoja ya DNS," lakini kuna mawimbi zaidi kwenye mtandao. Hata ukificha DNS, ISP inaweza kukisia mambo kupitia miunganisho ya TLS (k.m., SNI katika baadhi ya matukio ya urithi) au ufuatiliaji mwingine. Ili kuimarisha faragha, unaweza kuchunguza DoT, DNSCrypt, DNSCurve, au wateja wanaopunguza metadata.

Sio mfumo wote wa ikolojia unaotumia DoH bado. Wasuluhishi wengi wa urithi hawatoi hii., kulazimisha kutegemea vyanzo vya umma (Cloudflare, Google, Quad9, nk). Hii inafungua mjadala juu ya ujumuishaji: kuzingatia maswali kwa watendaji wachache kunajumuisha gharama za faragha na uaminifu.

Katika mazingira ya ushirika, DoH inaweza kukinzana na sera za usalama ambazo zimeegemezwa Ufuatiliaji au uchujaji wa DNS (programu hasidi, udhibiti wa wazazi, kufuata sheria). Suluhisho ni pamoja na Sera ya MDM/Kikundi ili kuweka kitatuzi cha DoH/DoT kwa hali kali, au kuunganishwa na vidhibiti vya kiwango cha programu, ambavyo ni sahihi zaidi kuliko uzuiaji wa kikoa.

DNSSEC inakamilisha DoH: DoH inalinda usafiri; DNSSEC inathibitisha jibuKuasili hakuna usawa, na baadhi ya vifaa vya kati huivunja, lakini mwelekeo ni mzuri. Katika njia kati ya visuluhishi na seva zinazoidhinishwa, DNS kawaida husalia bila kusimba; tayari kuna majaribio yanayotumia DoT miongoni mwa waendeshaji wakubwa (k.m., 1.1.1.1 na seva zinazoidhinishwa za Facebook) ili kuimarisha ulinzi.

Njia mbadala ya kati ni kusimba kwa njia fiche kati ya pekee kipanga njia na kisuluhishi, na kuacha muunganisho kati ya vifaa na kipanga njia bila kusimba. Inafaa kwenye mitandao salama ya waya, lakini haipendekezwi kwenye mitandao ya Wi-Fi iliyo wazi: watumiaji wengine wanaweza kupeleleza au kuendesha hoja hizi ndani ya LAN.

Tengeneza kisuluhishi chako cha DoH

Ikiwa unataka uhuru kamili, unaweza kupeleka kitatuzi chako mwenyewe. Unbound + Redis (L2 cache) + Nginx ni mchanganyiko maarufu wa kuhudumia URL za DoH na vikoa vya kuchuja vilivyo na orodha zinazoweza kusasishwa kiotomatiki.

Hifadhi hii inaendesha kikamilifu kwenye VPS ya kawaida (kwa mfano, msingi mmoja/waya 2 kwa familia). Kuna miongozo iliyo na maagizo tayari kutumia, kama vile hazina hii: github.com/ousatov-ua/dns-filtering. Baadhi ya watoa huduma za VPS hutoa mikopo ya kukaribisha kwa watumiaji wapya, ili uweze kuanzisha jaribio kwa gharama nafuu.

Ukiwa na kitatuzi chako cha faragha, unaweza kuchagua vyanzo vyako vya kuchuja, kuamua sera za kubaki na epuka kuweka maswali yako katikati kwa watu wa tatu. Kwa kurudi, unadhibiti usalama, matengenezo, na upatikanaji wa juu.

Kabla ya kufunga, maelezo ya uhalali: kwenye mtandao, chaguo, menus na majina hubadilika mara kwa mara; miongozo mingine ya zamani imepitwa na wakati (Kwa mfano, kupitia "bendera" katika Chrome si lazima tena katika matoleo ya hivi majuzi.) Daima angalia na kivinjari chako au nyaraka za mfumo.

Ikiwa umefikia hapa, tayari unajua DoH hufanya, jinsi inavyoingia kwenye fumbo na DoT na DNSSEC, na muhimu zaidi, jinsi ya kuiwasha sasa hivi kwenye kifaa chako ili kuzuia DNS kusafiri katika uwazi. Kwa kubofya mara chache katika kivinjari chako au marekebisho katika Windows (hata katika kiwango cha sera katika Seva 2022) utakuwa na hoja zilizosimbwa kwa njia fiche; ikiwa ungependa kupeleka mambo kwenye kiwango kinachofuata, unaweza kuhamisha usimbaji fiche hadi kwenye kipanga njia cha MikroTik au uunde kisuluhishi chako mwenyewe. Cha msingi ni kwamba, Bila kugusa kipanga njia chako, unaweza kulinda mojawapo ya sehemu zinazosengenywa sana za trafiki yako leo..