DoH తో మీ రూటర్‌ను తాకకుండా మీ DNSను ఎలా ఎన్‌క్రిప్ట్ చేయాలి: పూర్తి గైడ్

¿HTTPS ద్వారా DNS ఉపయోగించి మీ రౌటర్‌ను తాకకుండా మీ DNSను ఎలా ఎన్‌క్రిప్ట్ చేయాలి? మీరు ఏ వెబ్‌సైట్‌లకు కనెక్ట్ అవుతారో ఎవరు చూడగలరని మీరు ఆందోళన చెందుతుంటే, HTTPS ద్వారా DNS తో డొమైన్ నేమ్ సిస్టమ్ ప్రశ్నలను గుప్తీకరించండి మీ రౌటర్‌తో పోరాడకుండానే మీ గోప్యతను పెంచుకోవడానికి ఇది సులభమైన మార్గాలలో ఒకటి. DoHతో, డొమైన్‌లను IP చిరునామాలుగా మార్చే అనువాదకుడు స్పష్టంగా ప్రయాణించడం ఆపి HTTPS సొరంగం గుండా వెళుతుంది.

ఈ గైడ్‌లో మీరు ప్రత్యక్ష భాషలో మరియు ఎక్కువ పరిభాష లేకుండా కనుగొంటారు, DoH అంటే ఏమిటి, ఇది DoT వంటి ఇతర ఎంపికల నుండి ఎలా భిన్నంగా ఉంటుంది, బ్రౌజర్‌లు మరియు ఆపరేటింగ్ సిస్టమ్‌లలో (విండోస్ సర్వర్ 2022తో సహా) దీన్ని ఎలా ప్రారంభించాలి, ఇది నిజంగా పనిచేస్తుందో లేదో, మద్దతు ఉన్న సర్వర్‌లను ఎలా ధృవీకరించాలి మరియు మీరు ధైర్యంగా భావిస్తే, మీ స్వంత DoH రిసల్వర్‌ను ఎలా సెటప్ చేయాలి. ప్రతిదీ, రౌటర్‌ను తాకకుండానే…మైక్రోటిక్‌లో దీన్ని కాన్ఫిగర్ చేయాలనుకునే వారికి ఐచ్ఛిక విభాగం తప్ప.

HTTPS (DoH) పై DNS అంటే ఏమిటి మరియు మీరు ఎందుకు పట్టించుకోవచ్చు

మీరు ఒక డొమైన్‌లో టైప్ చేసినప్పుడు (ఉదాహరణకు, Xataka.com), కంప్యూటర్ DNS రిసల్వర్‌ను దాని IP ఏమిటి అని అడుగుతుంది; ఈ ప్రక్రియ సాధారణంగా సాదా వచనంలో ఉంటుంది. మరియు మీ నెట్‌వర్క్‌లోని ఎవరైనా, మీ ఇంటర్నెట్ ప్రొవైడర్ లేదా ఇంటర్మీడియట్ పరికరాల్లోని ఎవరైనా దానిని గూఢచర్యం చేయవచ్చు లేదా మార్చవచ్చు. ఇది క్లాసిక్ DNS యొక్క సారాంశం: వేగవంతమైనది, సర్వవ్యాప్తి... మరియు మూడవ పక్షాలకు పారదర్శకంగా ఉంటుంది.

ఇక్కడే DoH వస్తుంది: ఇది ఆ DNS ప్రశ్నలు మరియు సమాధానాలను సురక్షిత వెబ్ (HTTPS, పోర్ట్ 443) ఉపయోగించే అదే గుప్తీకరించిన ఛానెల్‌కు తరలిస్తుంది.ఫలితంగా వారు ఇకపై "బహిరంగంగా" ప్రయాణించరు, గూఢచర్యం, ప్రశ్న హైజాకింగ్ మరియు కొన్ని మ్యాన్-ఇన్-ది-మిడిల్ దాడుల సంభావ్యతను తగ్గిస్తారు. ఇంకా, అనేక పరీక్షలలో జాప్యం గణనీయంగా తీవ్రమవుతుంది మరియు రవాణా ఆప్టిమైజేషన్ల ద్వారా కూడా మెరుగుపరచవచ్చు.

Una ventaja clave es que DoH ను అప్లికేషన్ లేదా సిస్టమ్ స్థాయిలో ప్రారంభించవచ్చు., కాబట్టి మీరు ఏదైనా ప్రారంభించడానికి మీ క్యారియర్ లేదా రౌటర్‌పై ఆధారపడవలసిన అవసరం లేదు. అంటే, మీరు ఏ నెట్‌వర్క్ పరికరాలను తాకకుండానే "బ్రౌజర్ బయటకు రాకుండా" మిమ్మల్ని మీరు రక్షించుకోవచ్చు.

DoH ను DoT (TLS కంటే DNS) నుండి వేరు చేయడం ముఖ్యం: DoT పోర్ట్ 853లో DNSను ఎన్‌క్రిప్ట్ చేస్తుంది నేరుగా TLS పైనే, DoH దానిని HTTP(S) లోకి అనుసంధానిస్తుంది. సిద్ధాంతపరంగా DoT సరళమైనది, కానీ ఇది ఫైర్‌వాల్‌ల ద్వారా బ్లాక్ చేయబడే అవకాశం ఎక్కువగా ఉంటుంది. అసాధారణ పోర్ట్‌లను తగ్గించేవి; DoH, 443ని ఉపయోగించడం ద్వారా, ఈ పరిమితులను బాగా అధిగమించగలదు మరియు ఎన్‌క్రిప్ట్ చేయని DNSకి బలవంతంగా "పుష్‌బ్యాక్" దాడులను నివారిస్తుంది.

గోప్యతపై: HTTPSని ఉపయోగించడం అంటే DoHలో కుక్కీలు లేదా ట్రాకింగ్ అని అర్థం కాదు; ప్రమాణాలు దాని వాడకానికి వ్యతిరేకంగా స్పష్టంగా సలహా ఇస్తున్నాయి ఈ సందర్భంలో, TLS 1.3 సెషన్‌లను పునఃప్రారంభించాల్సిన అవసరాన్ని కూడా తగ్గిస్తుంది, సహసంబంధాలను తగ్గిస్తుంది. మరియు మీరు పనితీరు గురించి ఆందోళన చెందుతుంటే, QUIC కంటే HTTP/3 ప్రశ్నలను నిరోధించకుండా మల్టీప్లెక్సింగ్ చేయడం ద్వారా అదనపు మెరుగుదలలను అందిస్తుంది.

DNS ఎలా పనిచేస్తుంది, సాధారణ ప్రమాదాలు మరియు DoH ఎక్కడ సరిపోతుంది

ఆపరేటింగ్ సిస్టమ్ సాధారణంగా DHCP ద్వారా ఏ రిసల్వర్‌ను ఉపయోగించాలో నేర్చుకుంటుంది; ఇంట్లో మీరు సాధారణంగా ISP లను ఉపయోగిస్తారు, ఆఫీసులో, కార్పొరేట్ నెట్‌వర్క్. ఈ కమ్యూనికేషన్ అన్‌ఎన్‌క్రిప్ట్ చేయబడినప్పుడు (UDP/TCP 53), మీ Wi-Fi లేదా రూట్‌లోని ఎవరైనా ప్రశ్నించిన డొమైన్‌లను చూడవచ్చు, నకిలీ ప్రతిస్పందనలను ఇంజెక్ట్ చేయవచ్చు లేదా డొమైన్ ఉనికిలో లేనప్పుడు మిమ్మల్ని శోధనలకు దారి మళ్లించవచ్చు, కొంతమంది ఆపరేటర్లు చేసినట్లుగా.

ఒక సాధారణ ట్రాఫిక్ విశ్లేషణ పోర్ట్‌లు, మూలం/గమ్యస్థాన IPలు మరియు పరిష్కరించబడిన డొమైన్‌ను వెల్లడిస్తుంది; ఇది బ్రౌజింగ్ అలవాట్లను బహిర్గతం చేయడమే కాదు, ఇది తదుపరి కనెక్షన్‌లను, ఉదాహరణకు, Twitter చిరునామాలు లేదా ఇలాంటి వాటికి పరస్పరం అనుసంధానించడాన్ని సులభతరం చేస్తుంది మరియు మీరు ఏ పేజీలను సందర్శించారో ఖచ్చితంగా అంచనా వేస్తుంది.

DoT తో, DNS సందేశం పోర్ట్ 853 లోని TLS లోపలికి వెళుతుంది; DoH తో, DNS ప్రశ్న ఒక ప్రామాణిక HTTPS అభ్యర్థనలో సంగ్రహించబడింది., ఇది బ్రౌజర్ APIల ద్వారా వెబ్ అప్లికేషన్‌ల ద్వారా కూడా దాని వినియోగాన్ని అనుమతిస్తుంది. రెండు యంత్రాంగాలు ఒకే పునాదిని పంచుకుంటాయి: సర్టిఫికెట్‌తో సర్వర్ ప్రామాణీకరణ మరియు ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్టెడ్ ఛానెల్.

కొత్త పోర్టులతో సమస్య ఏమిటంటే ఇది సాధారణం కొన్ని నెట్‌వర్క్‌లు 853 ని బ్లాక్ చేస్తాయి, సాఫ్ట్‌వేర్‌ను ఎన్‌క్రిప్ట్ చేయని DNS కి "తిరిగి రావడానికి" ప్రోత్సహిస్తుంది. వెబ్‌కు సర్వసాధారణమైన 443ని ఉపయోగించడం ద్వారా DoH దీనిని తగ్గిస్తుంది. DNS/QUIC మరొక ఆశాజనక ఎంపికగా కూడా ఉంది, అయినప్పటికీ దీనికి ఓపెన్ UDP అవసరం మరియు ఎల్లప్పుడూ అందుబాటులో ఉండదు.

రవాణాను గుప్తీకరించేటప్పుడు కూడా, ఒక స్వల్పభేదంతో జాగ్రత్తగా ఉండండి: రిసాల్వర్ అబద్ధం అయితే, సాంకేతికలిపి దానిని సరిదిద్దదు.ఈ ప్రయోజనం కోసం, DNSSEC ఉంది, ఇది ప్రతిస్పందన సమగ్రతను ధృవీకరించడానికి అనుమతిస్తుంది, అయితే దాని స్వీకరణ విస్తృతంగా లేదు మరియు కొంతమంది మధ్యవర్తులు దాని కార్యాచరణను విచ్ఛిన్నం చేస్తారు. అయినప్పటికీ, DoH మీ ప్రశ్నలను గూఢచర్యం చేయకుండా లేదా తారుమారు చేయకుండా మూడవ పక్షాలను నిరోధిస్తుంది.

రౌటర్‌ను తాకకుండా దీన్ని యాక్టివేట్ చేయండి: బ్రౌజర్‌లు మరియు సిస్టమ్‌లు

ప్రారంభించడానికి అత్యంత సరళమైన మార్గం మీ బ్రౌజర్ లేదా ఆపరేటింగ్ సిస్టమ్‌లో DoHని ప్రారంభించడం. మీ బృందం నుండి వచ్చే ప్రశ్నలను మీరు ఈ విధంగా దాచిపెడతారు రౌటర్ ఫర్మ్‌వేర్‌పై ఆధారపడకుండా.

గూగుల్ క్రోమ్

ప్రస్తుత వెర్షన్లలో మీరు వెళ్ళవచ్చు chrome://settings/security మరియు, “సురక్షిత DNS ని ఉపయోగించండి” కింద, ఆప్షన్‌ను యాక్టివేట్ చేసి, ప్రొవైడర్‌ను ఎంచుకోండి. (మీ ప్రస్తుత ప్రొవైడర్ DoH లేదా Cloudflare లేదా Google DNS వంటి Google జాబితా నుండి ఒకదానికి మద్దతు ఇస్తే).

మునుపటి వెర్షన్లలో, Chrome ఒక ప్రయోగాత్మక స్విచ్‌ను అందించింది: రకం chrome://flags/#dns-over-https, “సెక్యూర్ DNS లుకప్‌లు” కోసం శోధించండి మరియు దానిని డిఫాల్ట్ నుండి ఎనేబుల్డ్ కు మార్చండి.. మార్పులను వర్తింపజేయడానికి మీ బ్రౌజర్‌ను పునఃప్రారంభించండి.

Microsoft Edge (Chromium)

క్రోమియం ఆధారిత ఎడ్జ్‌లో ఇలాంటి ఎంపిక ఉంటుంది. మీకు ఇది అవసరమైతే, వెళ్ళండి edge://flags/#dns-over-https, “సెక్యూర్ DNS లుకప్‌లు” గుర్తించండి మరియు దీన్ని ఎనేబుల్డ్‌లో ఎనేబుల్ చేయండిఆధునిక వెర్షన్లలో, మీ గోప్యతా సెట్టింగ్‌లలో యాక్టివేషన్ కూడా అందుబాటులో ఉంది.

మొజిల్లా ఫైర్‌ఫాక్స్

మెను (కుడి ఎగువన) తెరిచి > సెట్టింగ్‌లు > జనరల్ > “నెట్‌వర్క్ సెట్టింగ్‌లు” కి క్రిందికి స్క్రోల్ చేసి, నొక్కండి ఆకృతీకరణ మరియు "HTTPS ద్వారా DNSను ప్రారంభించండి”. మీరు Cloudflare లేదా NextDNS వంటి ప్రొవైడర్ల నుండి ఎంచుకోవచ్చు.

మీరు చక్కటి నియంత్రణను ఇష్టపడితే, about:config సర్దుబాటు network.trr.mode: 2 (అవకాశవాది) DoH ని ఉపయోగిస్తుంది మరియు ఫాల్‌బ్యాక్ చేస్తుంది అందుబాటులో లేకపోతే; 3 (కఠినమైన) ఆదేశాలు DoH మరియు మద్దతు లేకపోతే విఫలమవుతుంది. కఠినమైన మోడ్‌తో, బూట్‌స్ట్రాప్ రిసల్వర్‌ను ఇలా నిర్వచించండి network.trr.bootstrapAddress=1.1.1.1.

ఒపెరా

వెర్షన్ 65 నుండి, ఒపెరా ఒక ఎంపికను కలిగి ఉంది 1.1.1.1 తో DoH ని ప్రారంభించండి. ఇది డిఫాల్ట్‌గా నిలిపివేయబడుతుంది మరియు అవకాశవాద మోడ్‌లో పనిచేస్తుంది: 1.1.1.1:443 ప్రతిస్పందిస్తే, అది DoHని ఉపయోగిస్తుంది; లేకుంటే, అది ఎన్‌క్రిప్ట్ చేయని రిసల్వర్‌కి తిరిగి వస్తుంది.

Windows 10/11: ఆటోడెటెక్ట్ (AutoDoH) మరియు రిజిస్ట్రీ

Windows కొన్ని తెలిసిన రిసల్వర్‌లతో DoHని స్వయంచాలకంగా ప్రారంభించగలదు. పాత వెర్షన్‌లలో, మీరు ప్రవర్తనను బలవంతం చేయవచ్చు. రిజిస్ట్రీ నుండి: రన్ regedit మరియు వెళ్ళండి HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

అనే పేరుతో ఒక DWORD (32-బిట్) ను సృష్టించండి EnableAutoDoh విలువతో 2 y కంప్యూటర్‌ను పునఃప్రారంభించండిమీరు DoH కి మద్దతు ఇచ్చే DNS సర్వర్‌లను ఉపయోగిస్తుంటే ఇది పనిచేస్తుంది.

Windows Server 2022: స్థానిక DoHతో DNS క్లయింట్

Windows Server 2022లోని అంతర్నిర్మిత DNS క్లయింట్ DoHకి మద్దతు ఇస్తుంది. మీరు DoHని వారి “తెలిసిన DoH” జాబితాలో ఉన్న సర్వర్‌లతో మాత్రమే ఉపయోగించగలరు. లేదా మీరే జోడించుకోండి. గ్రాఫికల్ ఇంటర్‌ఫేస్ నుండి దీన్ని కాన్ఫిగర్ చేయడానికి:

1. విండోస్ సెట్టింగ్‌లను తెరవండి > నెట్‌వర్క్ మరియు ఇంటర్నెట్.
2. ఎంటర్ Ethernet మరియు మీ ఇంటర్‌ఫేస్‌ను ఎంచుకోండి.
3. నెట్‌వర్క్ స్క్రీన్‌లో, క్రిందికి స్క్రోల్ చేయండి Configuración de DNS మరియు నొక్కండి సవరించు.
4. ప్రాధాన్య మరియు ప్రత్యామ్నాయ సర్వర్‌లను నిర్వచించడానికి "మాన్యువల్" ఎంచుకోండి.
5. ఆ చిరునామాలు తెలిసిన DoH జాబితాలో ఉంటే, అది ప్రారంభించబడుతుంది. “ప్రాధాన్య DNS ఎన్‌క్రిప్షన్” మూడు ఎంపికలతో:
   • ఎన్‌క్రిప్షన్ మాత్రమే (HTTPS ద్వారా DNS): DoH ని బలవంతం చేయండి; సర్వర్ DoH కి మద్దతు ఇవ్వకపోతే, రిజల్యూషన్ ఉండదు.
   • ఎన్‌క్రిప్షన్‌ను ఇష్టపడండి, ఎన్‌క్రిప్ట్ చేయని వాటిని అనుమతించండి: DoH ని ప్రయత్నిస్తుంది మరియు అది విఫలమైతే, ఎన్‌క్రిప్ట్ చేయని క్లాసిక్ DNS కి తిరిగి వస్తుంది.
   • ఎన్‌క్రిప్ట్ చేయనివి మాత్రమే: సాంప్రదాయ సాదా టెక్స్ట్ DNSని ఉపయోగిస్తుంది.
6. మార్పులను వర్తింపజేయడానికి సేవ్ చేయండి.

మీరు పవర్‌షెల్ ఉపయోగించి తెలిసిన DoH రిసల్వర్‌ల జాబితాను ప్రశ్నించవచ్చు మరియు విస్తరించవచ్చు. ప్రస్తుత జాబితాను చూడటానికి:

Get-DNSClientDohServerAddress

మీ టెంప్లేట్‌తో కొత్తగా తెలిసిన DoH సర్వర్‌ను నమోదు చేయడానికి, దీన్ని ఉపయోగించండి:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

cmdlet గమనించండి Set-DNSClientServerAddress తనను తాను నియంత్రించుకోదు DoH వాడకం; ఎన్‌క్రిప్షన్ ఆ చిరునామాలు తెలిసిన DoH సర్వర్‌ల పట్టికలో ఉన్నాయా లేదా అనే దానిపై ఆధారపడి ఉంటుంది. మీరు ప్రస్తుతం Windows అడ్మిన్ సెంటర్ నుండి లేదా Windows Server 2022 DNS క్లయింట్ కోసం DoHని కాన్ఫిగర్ చేయలేరు. sconfig.cmd.

విండోస్ సర్వర్ 2022లో గ్రూప్ పాలసీ

అనే నిర్దేశం ఉంది “HTTPS (DoH) ద్వారా DNS ను కాన్ఫిగర్ చేయండి” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. ప్రారంభించబడినప్పుడు, మీరు వీటిని ఎంచుకోవచ్చు:

• DoH ని అనుమతించు: సర్వర్ మద్దతు ఇస్తే DoH ని ఉపయోగించండి; లేకుంటే, క్వెరీ ఎన్‌క్రిప్ట్ చేయబడదు.
• నిషేధం DoH: ఎప్పుడూ DoHని ఉపయోగించదు.
• DoH అవసరం: DoH ని బలవంతం చేస్తుంది; మద్దతు లేకపోతే, రిజల్యూషన్ విఫలమవుతుంది.

ముఖ్యమైనది: డొమైన్-జాయిన్డ్ కంప్యూటర్లలో “DoH అవసరం” ని ప్రారంభించవద్దు.యాక్టివ్ డైరెక్టరీ DNS పై ఆధారపడుతుంది మరియు Windows సర్వర్ DNS సర్వర్ పాత్ర DoH ప్రశ్నలకు మద్దతు ఇవ్వదు. మీరు AD వాతావరణంలో DNS ట్రాఫిక్‌ను భద్రపరచాలనుకుంటే, ఉపయోగించడాన్ని పరిగణించండి IPsec నియమాలు క్లయింట్లు మరియు అంతర్గత పరిష్కర్తల మధ్య.

మీరు నిర్దిష్ట డొమైన్‌లను నిర్దిష్ట రిసల్వర్‌లకు దారి మళ్లించడంలో ఆసక్తి కలిగి ఉంటే, మీరు దీన్ని ఉపయోగించవచ్చు NRPT (పేరు పరిష్కార విధాన పట్టిక). గమ్యస్థాన సర్వర్ తెలిసిన DoH జాబితాలో ఉంటే, ఆ సంప్రదింపులు DoH ద్వారా ప్రయాణిస్తుంది.

ఆండ్రాయిడ్, iOS మరియు Linux

Android 9 మరియు అంతకంటే ఎక్కువ వెర్షన్‌లలో, ఎంపిక DNS privado DoT (DoH కాదు) ని రెండు మోడ్‌లతో అనుమతిస్తుంది: “ఆటోమేటిక్” (అవకాశవాదం, నెట్‌వర్క్ రిసల్వర్‌ను తీసుకుంటుంది) మరియు “స్ట్రిక్ట్” (మీరు సర్టిఫికెట్ ద్వారా ధృవీకరించబడిన హోస్ట్ పేరును పేర్కొనాలి; డైరెక్ట్ IP లకు మద్దతు లేదు).

iOS మరియు Android లలో, యాప్ 1.1.1.1 క్లౌడ్‌ఫ్లేర్ VPN API ఉపయోగించి ఎన్‌క్రిప్ట్ చేయని అభ్యర్థనలను అడ్డగించడానికి కఠినమైన మోడ్‌లో DoH లేదా DoTని అనుమతిస్తుంది మరియు వాటిని సురక్షిత మార్గం ద్వారా ఫార్వార్డ్ చేయండి.

En Linux, systemd-resolved systemd 239 నుండి DoT కి మద్దతు ఇస్తుంది. ఇది డిఫాల్ట్‌గా నిలిపివేయబడింది; ఇది సర్టిఫికెట్‌లను ధృవీకరించకుండా అవకాశవాద మోడ్‌ను మరియు CA ధ్రువీకరణతో కానీ SNI లేదా పేరు ధృవీకరణ లేకుండా కఠినమైన మోడ్‌ను (243 నుండి) అందిస్తుంది, ఇది విశ్వసనీయ నమూనాను బలహీనపరుస్తుంది రోడ్డుపై దాడి చేసేవారికి వ్యతిరేకంగా.

Linux, macOS లేదా Windowsలో, మీరు కఠినమైన మోడ్ DoH క్లయింట్‌ను ఎంచుకోవచ్చు, ఉదాహరణకు cloudflared proxy-dns (డిఫాల్ట్‌గా ఇది 1.1.1.1ని ఉపయోగిస్తుంది, అయితే మీరు అప్‌స్ట్రీమ్‌లను నిర్వచించవచ్చు ప్రత్యామ్నాయాలు).

తెలిసిన DoH సర్వర్లు (Windows) మరియు మరిన్నింటిని ఎలా జోడించాలి

Windows Server DoH కి మద్దతు ఇచ్చే రిసల్వర్ల జాబితాను కలిగి ఉంటుంది. మీరు దీన్ని పవర్‌షెల్‌తో తనిఖీ చేయవచ్చు మరియు మీకు అవసరమైతే కొత్త ఎంట్రీలను జోడించండి.

ఇవి తెలిసిన DoH సర్వర్లు అందుబాటులో లేవు:

సర్వర్ యజమాని	DNS సర్వర్ IP చిరునామాలు
క్లౌడ్‌ఫ్లేర్	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
గూగుల్	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

కోసం ver la lista, రన్:

Get-DNSClientDohServerAddress

కోసం దాని టెంప్లేట్‌తో కొత్త DoH రిసల్వర్‌ను జోడించండి., usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

మీరు బహుళ నేమ్‌స్పేస్‌లను నిర్వహిస్తే, NRPT మిమ్మల్ని అనుమతిస్తుంది నిర్దిష్ట డొమైన్‌లను నిర్వహించండి DoH కి మద్దతు ఇచ్చే నిర్దిష్ట పరిష్కరిణికి.

DoH యాక్టివ్‌గా ఉందో లేదో ఎలా తనిఖీ చేయాలి

బ్రౌజర్‌లలో, సందర్శించండి https://1.1.1.1/help; అక్కడ మీరు చూస్తారు మీ ట్రాఫిక్ DoH ని ఉపయోగిస్తోంది. 1.1.1.1 తో లేదా కాదు. మీరు ఏ స్థితిలో ఉన్నారో చూడటానికి ఇది ఒక శీఘ్ర పరీక్ష.

Windows 10 (వెర్షన్ 2004) లో, మీరు క్లాసిక్ DNS ట్రాఫిక్ (పోర్ట్ 53) కోసం పర్యవేక్షించవచ్చు pktmon ప్రత్యేక కన్సోల్ నుండి:

pktmon filter add -p 53
pktmon start --etw -m real-time

53 లో ప్యాకెట్ల స్థిరమైన ప్రవాహం కనిపిస్తే, అది చాలా అవకాశం ఉంది మీరు ఇప్పటికీ ఎన్‌క్రిప్ట్ చేయని DNS ఉపయోగిస్తున్నారు.గుర్తుంచుకోండి: పరామితి --etw -m real-time 2004 అవసరం; మునుపటి వెర్షన్లలో మీరు "తెలియని పరామితి" లోపాన్ని చూస్తారు.

ఐచ్ఛికం: రౌటర్ (మైక్రోటిక్) పై దీన్ని కాన్ఫిగర్ చేయండి

మీరు రౌటర్‌లో ఎన్‌క్రిప్షన్‌ను కేంద్రీకరించాలనుకుంటే, మీరు మైక్రోటిక్ పరికరాల్లో DoHని సులభంగా ప్రారంభించవచ్చు. ముందుగా, రూట్ CA ని దిగుమతి చేసుకోండి మీరు కనెక్ట్ అయ్యే సర్వర్ ద్వారా ఇది సంతకం చేయబడుతుంది. Cloudflare కోసం మీరు డౌన్‌లోడ్ చేసుకోవచ్చు డిజిసర్ట్ గ్లోబల్ రూట్CA.crt.pem.

ఫైల్‌ను రౌటర్‌కు అప్‌లోడ్ చేయండి (దానిని “ఫైల్స్” కి లాగడం ద్వారా), మరియు వెళ్ళండి సిస్టమ్ > సర్టిఫికెట్లు > దిగుమతి దానిని చేర్చడానికి. తరువాత, రౌటర్ యొక్క DNS ను క్లౌడ్‌ఫ్లేర్ DoH URLలుఒకసారి యాక్టివ్ అయిన తర్వాత, రౌటర్ డిఫాల్ట్ ఎన్‌క్రిప్ట్ చేయని DNS కంటే ఎన్‌క్రిప్ట్ చేసిన కనెక్షన్‌కు ప్రాధాన్యత ఇస్తుంది.

ప్రతిదీ సరిగ్గా ఉందని ధృవీకరించడానికి, సందర్శించండి 1.1.1.1/సహాయం రౌటర్ వెనుక ఉన్న కంప్యూటర్ నుండి. మీరు టెర్మినల్ ద్వారా కూడా ప్రతిదీ చేయవచ్చు మీరు కావాలనుకుంటే RouterOS లో.

పనితీరు, అదనపు గోప్యత మరియు విధానం యొక్క పరిమితులు

వేగం విషయానికి వస్తే, రెండు కొలమానాలు ముఖ్యమైనవి: రిజల్యూషన్ సమయం మరియు వాస్తవ పేజీ లోడ్. స్వతంత్ర పరీక్షలు (SamKnows వంటివి) DoH మరియు క్లాసిక్ DNS (Do53) మధ్య వ్యత్యాసం రెండు వైపులా స్వల్పమని వారు తేల్చారు; ఆచరణలో, మీరు ఎటువంటి మందగమనాన్ని గమనించకూడదు.

DoH “DNS ప్రశ్న”ని ఎన్‌క్రిప్ట్ చేస్తుంది, కానీ నెట్‌వర్క్‌లో మరిన్ని సిగ్నల్‌లు ఉన్నాయి. మీరు DNS ని దాచినప్పటికీ, ఒక ISP విషయాలను ఊహించగలదు TLS కనెక్షన్‌ల ద్వారా (ఉదా., కొన్ని లెగసీ దృశ్యాలలో SNI) లేదా ఇతర జాడల ద్వారా. గోప్యతను మెరుగుపరచడానికి, మీరు DoT, DNSCrypt, DNSCurve లేదా మెటాడేటాను కనిష్టీకరించే క్లయింట్‌లను అన్వేషించవచ్చు.

అన్ని పర్యావరణ వ్యవస్థలు ఇంకా DoH కి మద్దతు ఇవ్వడం లేదు. చాలా లెగసీ రిసాల్వర్లు దీనిని అందించవు., ప్రజా వనరులపై (క్లౌడ్‌ఫ్లేర్, గూగుల్, క్వాడ్9, మొదలైనవి) ఆధారపడటాన్ని బలవంతం చేస్తుంది. ఇది కేంద్రీకరణపై చర్చను ప్రారంభిస్తుంది: కొంతమంది నటులపై ప్రశ్నలను కేంద్రీకరించడం వల్ల గోప్యత మరియు విశ్వసనీయత నష్టాలు సంభవిస్తాయి.

కార్పొరేట్ వాతావరణాలలో, DoH భద్రతా విధానాలతో విభేదించవచ్చు, అవి వీటిపై ఆధారపడి ఉంటాయి DNS పర్యవేక్షణ లేదా వడపోత (మాల్వేర్, తల్లిదండ్రుల నియంత్రణలు, చట్టపరమైన సమ్మతి). పరిష్కారాలలో DoH/DoT రిసల్వర్‌ను కఠినమైన మోడ్‌కు సెట్ చేయడానికి MDM/గ్రూప్ పాలసీ లేదా డొమైన్-ఆధారిత బ్లాకింగ్ కంటే మరింత ఖచ్చితమైన అప్లికేషన్-స్థాయి నియంత్రణలతో కలిపి ఉంటాయి.

DNSSEC DoH ని పూర్తి చేస్తుంది: DoH రవాణాను రక్షిస్తుంది; DNSSEC ప్రతిస్పందనను ధృవీకరిస్తుందిదత్తత అసమానంగా ఉంటుంది మరియు కొన్ని ఇంటర్మీడియట్ పరికరాలు దానిని విచ్ఛిన్నం చేస్తాయి, కానీ ధోరణి సానుకూలంగా ఉంటుంది. రిసాల్వర్లు మరియు అధీకృత సర్వర్ల మధ్య మార్గంలో, DNS సాంప్రదాయకంగా ఎన్‌క్రిప్ట్ చేయబడదు; రక్షణను మెరుగుపరచడానికి పెద్ద ఆపరేటర్లలో (ఉదా., Facebook యొక్క అధీకృత సర్వర్‌లతో 1.1.1.1) DoTని ఉపయోగించి ఇప్పటికే ప్రయోగాలు జరుగుతున్నాయి.

మధ్యస్థ ప్రత్యామ్నాయం ఏమిటంటే వాటి మధ్య మాత్రమే గుప్తీకరించడం రౌటర్ మరియు రిసాల్వర్, పరికరాలు మరియు రౌటర్ మధ్య కనెక్షన్‌ను ఎన్‌క్రిప్ట్ చేయకుండా వదిలివేస్తుంది. సురక్షితమైన వైర్డు నెట్‌వర్క్‌లలో ఉపయోగపడుతుంది, కానీ ఓపెన్ Wi-Fi నెట్‌వర్క్‌లలో సిఫార్సు చేయబడదు: ఇతర వినియోగదారులు LAN లోపల ఈ ప్రశ్నలపై నిఘా పెట్టవచ్చు లేదా మార్చవచ్చు.

మీ స్వంత DoH రిసల్వర్‌ను తయారు చేసుకోండి

మీకు పూర్తి స్వాతంత్ర్యం కావాలంటే, మీరు మీ స్వంత పరిష్కరిణిని అమలు చేయవచ్చు. అన్‌బౌండ్ + రెడిస్ (L2 కాష్) + Nginx DoH URLలను అందించడానికి మరియు స్వయంచాలకంగా నవీకరించదగిన జాబితాలతో డొమైన్‌లను ఫిల్టర్ చేయడానికి ఒక ప్రసిద్ధ కలయిక.

ఈ స్టాక్ ఒక నిరాడంబరమైన VPS పై ఖచ్చితంగా నడుస్తుంది (ఉదాహరణకు, ఒక కోర్/2 వైర్లు ఒక కుటుంబం కోసం). ఉపయోగించడానికి సిద్ధంగా ఉన్న సూచనలతో గైడ్‌లు ఉన్నాయి, ఉదాహరణకు ఈ రిపోజిటరీ: github.com/ousatov-ua/dns-filtering. కొంతమంది VPS ప్రొవైడర్లు స్వాగత క్రెడిట్లను అందిస్తారు. కొత్త వినియోగదారుల కోసం, కాబట్టి మీరు తక్కువ ఖర్చుతో ట్రయల్‌ని సెటప్ చేసుకోవచ్చు.

మీ ప్రైవేట్ రిసల్వర్‌తో, మీరు మీ ఫిల్టరింగ్ మూలాలను ఎంచుకోవచ్చు, నిలుపుదల విధానాలను నిర్ణయించుకోవచ్చు మరియు మీ ప్రశ్నలను కేంద్రీకరించడాన్ని నివారించండి. మూడవ పక్షాలకు. ప్రతిగా, మీరు భద్రత, నిర్వహణ మరియు అధిక లభ్యతను నిర్వహిస్తారు.

ముగించే ముందు, చెల్లుబాటు యొక్క గమనిక: ఇంటర్నెట్‌లో, ఎంపికలు, మెనూలు మరియు పేర్లు తరచుగా మారుతూ ఉంటాయి; కొన్ని పాత గైడ్‌లు పాతవి. (ఉదాహరణకు, ఇటీవలి వెర్షన్‌లలో Chromeలో “ఫ్లాగ్‌ల” ద్వారా వెళ్లడం ఇకపై అవసరం లేదు.) ఎల్లప్పుడూ మీ బ్రౌజర్ లేదా సిస్టమ్ డాక్యుమెంటేషన్‌తో తనిఖీ చేయండి.

మీరు ఇంత దూరం చేరుకున్నట్లయితే, DoH ఏమి చేస్తుందో, అది DoT మరియు DNSSEC తో ఉన్న పజిల్‌లో ఎలా సరిపోతుందో మీకు ఇప్పటికే తెలుసు మరియు ముఖ్యంగా, మీ పరికరంలో ఇప్పుడే దాన్ని ఎలా యాక్టివేట్ చేయాలి DNS స్పష్టంగా ప్రయాణించకుండా నిరోధించడానికి. మీ బ్రౌజర్‌లో కొన్ని క్లిక్‌లతో లేదా Windowsలో సర్దుబాట్లతో (సర్వర్ 2022లో పాలసీ స్థాయిలో కూడా) మీకు ఎన్‌క్రిప్ట్ చేయబడిన ప్రశ్నలు ఉంటాయి; మీరు విషయాలను తదుపరి స్థాయికి తీసుకెళ్లాలనుకుంటే, మీరు ఎన్‌క్రిప్షన్‌ను మైక్రోటిక్ రౌటర్‌కు తరలించవచ్చు లేదా మీ స్వంత రిసల్వర్‌ను నిర్మించుకోవచ్చు. కీలకం ఏమిటంటే, మీ రౌటర్‌ను తాకకుండానే, ఈరోజు మీ ట్రాఫిక్‌లో ఎక్కువగా ప్రచారం చేయబడే భాగాలలో ఒకదాన్ని మీరు రక్షించుకోవచ్చు..