DoH کے ساتھ اپنے راؤٹر کو چھوئے بغیر اپنے DNS کو کیسے انکرپٹ کریں: ایک مکمل گائیڈ

¿HTTPS پر DNS کا استعمال کرتے ہوئے اپنے روٹر کو چھوئے بغیر اپنے DNS کو کیسے انکرپٹ کریں؟ اگر آپ اس بارے میں فکر مند ہیں کہ کون دیکھ سکتا ہے کہ آپ کن ویب سائٹوں سے منسلک ہیں، HTTPS پر DNS کے ساتھ ڈومین نام سسٹم کے سوالات کو خفیہ کریں۔ یہ آپ کے روٹر سے لڑے بغیر آپ کی رازداری کو بڑھانے کے آسان ترین طریقوں میں سے ایک ہے۔ DoH کے ساتھ، ڈومینز کو IP پتوں میں تبدیل کرنے والا مترجم واضح طور پر سفر کرنا چھوڑ دیتا ہے اور HTTPS سرنگ سے گزرتا ہے۔

اس گائیڈ میں آپ کو، براہ راست زبان میں اور بہت زیادہ جملے کے بغیر، مل جائے گا، DoH بالکل کیا ہے، یہ دوسرے اختیارات جیسے DoT سے کیسے مختلف ہے۔براؤزرز اور آپریٹنگ سسٹمز (بشمول Windows Server 2022) میں اسے کیسے فعال کیا جائے، اس بات کی تصدیق کیسے کی جائے کہ یہ اصل میں کام کر رہا ہے، معاون سرورز، اور، اگر آپ بہادر محسوس کر رہے ہیں، یہاں تک کہ اپنا DoH حل کرنے والا کیسے ترتیب دیں۔ سب کچھ، روٹر کو چھوئے بغیر…سوائے ایک اختیاری سیکشن کے ان لوگوں کے لیے جو اسے MikroTik پر کنفیگر کرنا چاہتے ہیں۔

HTTPS (DoH) پر DNS کیا ہے اور آپ کو کیوں پرواہ ہو سکتی ہے۔

جب آپ کسی ڈومین میں ٹائپ کرتے ہیں (مثال کے طور پر، Xataka.com) کمپیوٹر DNS حل کرنے والے سے پوچھتا ہے کہ اس کا IP کیا ہے؛ یہ عمل عام طور پر سادہ متن میں ہوتا ہے۔ اور آپ کے نیٹ ورک پر موجود کوئی بھی شخص، آپ کا انٹرنیٹ فراہم کنندہ، یا انٹرمیڈیٹ ڈیوائسز اس کی چھان بین یا ہیرا پھیری کر سکتا ہے۔ یہ کلاسک DNS کا جوہر ہے: تیز، ہر جگہ… اور تیسرے فریق کے لیے شفاف۔

یہ وہ جگہ ہے جہاں DoH آتا ہے: یہ ان DNS سوالات اور جوابات کو محفوظ ویب (HTTPS، پورٹ 443) کے ذریعہ استعمال کردہ اسی خفیہ کردہ چینل پر منتقل کرتا ہے۔نتیجہ یہ ہے کہ وہ اب "کھلے جگہ" سفر نہیں کرتے ہیں، جس سے جاسوسی، استفسار ہائی جیکنگ، اور بعض افراد میں درمیانی حملوں کا امکان کم ہو جاتا ہے۔ اس کے علاوہ، بہت سے ٹیسٹوں میں تاخیر قابل تعریف طور پر خراب نہیں ہوتی ہے۔ اور یہاں تک کہ ٹرانسپورٹ کی اصلاح کی بدولت بہتر بنایا جا سکتا ہے۔

ایک اہم فائدہ یہ ہے۔ DoH کو ایپلیکیشن یا سسٹم کی سطح پر فعال کیا جا سکتا ہے۔، لہذا آپ کو کسی بھی چیز کو فعال کرنے کے لیے اپنے کیریئر یا روٹر پر انحصار کرنے کی ضرورت نہیں ہے۔ یعنی، آپ کسی بھی نیٹ ورک کے سامان کو چھوئے بغیر اپنے آپ کو "براؤزر کے باہر سے" بچا سکتے ہیں۔

DoH کو DoT (TLS پر DNS) سے ممتاز کرنا ضروری ہے: DoT پورٹ 853 پر DNS کو خفیہ کرتا ہے۔ براہ راست TLS پر، جبکہ DoH اسے HTTP(S) میں ضم کرتا ہے۔ DoT نظریہ میں آسان ہے، لیکن فائر والز کے ذریعہ بلاک ہونے کا زیادہ امکان ہے۔ جو غیر معمولی بندرگاہوں کو کاٹتا ہے۔ DoH، 443 کا استعمال کرتے ہوئے، ان پابندیوں کو بہتر طور پر روکتا ہے اور غیر خفیہ شدہ DNS پر جبری "پش بیک" حملوں کو روکتا ہے۔

رازداری پر: HTTPS کا استعمال DoH میں کوکیز یا ٹریکنگ کا مطلب نہیں ہے۔ معیارات واضح طور پر اس کے استعمال کے خلاف مشورہ دیتے ہیں۔ اس تناظر میں، TLS 1.3 سیشنز کو دوبارہ شروع کرنے کی ضرورت کو بھی کم کرتا ہے، ارتباط کو کم کرتا ہے۔ اور اگر آپ کارکردگی کے بارے میں فکر مند ہیں تو، HTTP/3 پر QUIC بلاک کیے بغیر ملٹی پلیکس سوالات کے ذریعے اضافی بہتری فراہم کر سکتا ہے۔

DNS کیسے کام کرتا ہے، عام خطرات، اور DoH کہاں فٹ بیٹھتا ہے۔

آپریٹنگ سسٹم عام طور پر سیکھتا ہے کہ DHCP کے ذریعے کون سا حل کنندہ استعمال کرنا ہے۔ گھر میں آپ عام طور پر ISP کا استعمال کرتے ہیں۔دفتر میں، کارپوریٹ نیٹ ورک۔ جب یہ کمیونیکیشن انکرپٹڈ (UDP/TCP 53) ہوتی ہے، تو آپ کے Wi-Fi پر یا روٹ پر کوئی بھی شخص استفسار شدہ ڈومینز دیکھ سکتا ہے، جعلی جوابات لگا سکتا ہے، یا ڈومین کے موجود نہ ہونے پر آپ کو تلاش کی طرف بھیج سکتا ہے، جیسا کہ کچھ آپریٹرز کرتے ہیں۔

ٹریفک کا ایک عام تجزیہ بندرگاہوں، ماخذ/منزل کے IPs، اور ڈومین خود حل ہونے کا انکشاف کرتا ہے۔ یہ نہ صرف براؤزنگ کی عادات کو بے نقاب کرتا ہے۔، یہ بعد کے رابطوں کو بھی آسان بناتا ہے، مثال کے طور پر، ٹویٹر ایڈریسز یا اس سے ملتے جلتے، اور یہ اندازہ لگاتا ہے کہ آپ نے کون سے صحیح صفحات دیکھے ہیں۔

DoT کے ساتھ، DNS پیغام پورٹ 853 پر TLS کے اندر جاتا ہے۔ DoH کے ساتھ، DNS استفسار معیاری HTTPS درخواست میں شامل ہے۔، جو براؤزر APIs کے ذریعہ ویب ایپلیکیشنز کے ذریعہ اس کے استعمال کو بھی قابل بناتا ہے۔ دونوں میکانزم ایک ہی بنیاد کا اشتراک کرتے ہیں: سرٹیفکیٹ کے ساتھ سرور کی توثیق اور اینڈ ٹو اینڈ انکرپٹڈ چینل۔

نئی بندرگاہوں کے ساتھ مسئلہ یہ ہے کہ یہ عام ہے۔ کچھ نیٹ ورک 853 کو بلاک کرتے ہیں۔, سافٹ ویئر کو غیر خفیہ کردہ DNS پر "واپس گرنے" کی ترغیب دیتا ہے۔ DoH 443 کا استعمال کرکے اسے کم کرتا ہے، جو ویب کے لیے عام ہے۔ DNS/QUIC ایک اور امید افزا آپشن کے طور پر بھی موجود ہے، حالانکہ اس کے لیے اوپن UDP کی ضرورت ہوتی ہے اور یہ ہمیشہ دستیاب نہیں ہوتا ہے۔

نقل و حمل کو خفیہ کرتے وقت بھی، ایک باریک بینی سے محتاط رہیں: اگر حل کرنے والا جھوٹ بولتا ہے، تو سائفر اسے درست نہیں کرتا ہے۔اس مقصد کے لیے، DNSSEC موجود ہے، جو ردعمل کی سالمیت کی توثیق کی اجازت دیتا ہے، حالانکہ اس کو اپنانا وسیع نہیں ہے اور کچھ بیچوان اس کی فعالیت کو توڑ دیتے ہیں۔ اس کے باوجود، DoH راستے میں تیسرے فریق کو آپ کے سوالات کے ساتھ چھیڑ چھاڑ سے روکتا ہے۔

روٹر کو چھوئے بغیر اسے چالو کریں: براؤزر اور سسٹم

شروع کرنے کا سب سے سیدھا طریقہ اپنے براؤزر یا آپریٹنگ سسٹم میں DoH کو فعال کرنا ہے۔ اس طرح آپ اپنی ٹیم سے سوالات کو محفوظ کرتے ہیں۔ روٹر فرم ویئر پر انحصار کیے بغیر۔

گوگل کروم

موجودہ ورژن میں آپ جا سکتے ہیں۔ chrome://settings/security اور، "محفوظ DNS استعمال کریں" کے تحت، آپشن کو چالو کریں اور فراہم کنندہ کو منتخب کریں۔ (آپ کا موجودہ فراہم کنندہ اگر وہ DoH کو سپورٹ کرتا ہے یا Google کی فہرست جیسے Cloudflare یا Google DNS میں سے کسی کو)۔

پچھلے ورژن میں، کروم نے ایک تجرباتی سوئچ پیش کیا: قسم chrome://flags/#dns-over-https، "محفوظ DNS تلاش" اور تلاش کریں۔ اسے ڈیفالٹ سے فعال میں تبدیل کریں۔. تبدیلیاں لاگو کرنے کے لیے اپنا براؤزر دوبارہ شروع کریں۔

Microsoft Edge (Chromium)

کرومیم پر مبنی ایج میں اسی طرح کا آپشن شامل ہے۔ اگر آپ کو اس کی ضرورت ہو تو، پر جائیں۔ edge://flags/#dns-over-https، "محفوظ DNS تلاش" تلاش کریں اور اسے فعال میں فعال کریں۔جدید ورژن میں، ایکٹیویشن آپ کی رازداری کی ترتیبات میں بھی دستیاب ہے۔

موزیلا فائر فاکس

مینو کھولیں (اوپر دائیں) > ترتیبات > عمومی > نیچے "نیٹ ورک کی ترتیبات" تک سکرول کریں، پر ٹیپ کریں۔ کنفیگریشن اور نشان زد کریں"HTTPS پر DNS کو فعال کریں۔آپ Cloudflare یا NextDNS جیسے فراہم کنندگان میں سے انتخاب کر سکتے ہیں۔

اگر آپ ٹھیک کنٹرول کو ترجیح دیتے ہیں، about:config ایڈجسٹ کریں network.trr.mode: 2 (موقع پرست) DoH استعمال کرتا ہے اور فال بیک کرتا ہے۔ اگر دستیاب نہ ہو؛ 3 (سخت) مینڈیٹ DoH اور اگر کوئی سپورٹ نہ ہو تو ناکام ہو جاتا ہے۔ سخت موڈ کے ساتھ، بوٹسٹریپ حل کرنے والے کی وضاحت کریں۔ network.trr.bootstrapAddress=1.1.1.1.

اوپرا

ورژن 65 کے بعد سے، اوپیرا میں ایک آپشن شامل ہے۔ 1.1.1.1 کے ساتھ DoH کو فعال کریں۔. یہ بطور ڈیفالٹ غیر فعال ہوتا ہے اور موقع پرست موڈ میں کام کرتا ہے: اگر 1.1.1.1:443 جواب دیتا ہے، تو یہ DoH استعمال کرے گا۔ دوسری صورت میں، یہ غیر خفیہ کردہ حل کرنے والے پر واپس آتا ہے۔

ونڈوز 10/11: آٹو ڈیٹیکٹ (AutoDoH) اور رجسٹری

ونڈوز خود بخود کچھ معلوم حل کنندگان کے ساتھ DoH کو فعال کر سکتا ہے۔ پرانے ورژن میں، آپ رویے کو مجبور کر سکتے ہیں رجسٹری سے: چلائیں۔ regedit اور جاؤ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

نامی ایک DWORD (32-bit) بنائیں EnableAutoDoh قدر کے ساتھ 2 y کمپیوٹر کو دوبارہ شروع کریں۔یہ کام کرتا ہے اگر آپ DNS سرور استعمال کر رہے ہیں جو DoH کو سپورٹ کرتے ہیں۔

ونڈوز سرور 2022: مقامی DoH کے ساتھ DNS کلائنٹ

Windows Server 2022 میں بلٹ ان DNS کلائنٹ DoH کو سپورٹ کرتا ہے۔ آپ صرف ان سرورز کے ساتھ DoH استعمال کر سکیں گے جو ان کی "معروف DoH" کی فہرست میں ہیں۔ یا یہ کہ آپ خود کو شامل کریں۔ اسے گرافیکل انٹرفیس سے ترتیب دینے کے لیے:

1. ونڈوز کی ترتیبات > کھولیں۔ نیٹ ورک اور انٹرنیٹ.
2. داخل کریں۔ ایتھرنیٹ اور اپنا انٹرفیس منتخب کریں۔
3. نیٹ ورک اسکرین پر، نیچے تک سکرول کریں۔ Configuración de DNS اور دبائیں ترمیم کریں۔.
4. ترجیحی اور متبادل سرورز کی وضاحت کے لیے "دستی" کو منتخب کریں۔
5. اگر وہ پتے معلوم DoH فہرست میں ہیں، تو اسے فعال کر دیا جائے گا۔ "ترجیحی DNS خفیہ کاری" تین اختیارات کے ساتھ:
   • صرف خفیہ کاری (HTTPS پر DNS): فورس DoH; اگر سرور DoH کو سپورٹ نہیں کرتا ہے تو کوئی حل نہیں ہوگا۔
   • خفیہ کاری کو ترجیح دیں، غیر خفیہ کاری کی اجازت دیں۔: DoH کی کوشش کرتا ہے اور اگر یہ ناکام ہوجاتا ہے، تو واپس غیر خفیہ کردہ کلاسک DNS پر آتا ہے۔
   • صرف غیر خفیہ کردہ: روایتی سادہ متن DNS استعمال کرتا ہے۔
6. تبدیلیاں لاگو کرنے کے لیے محفوظ کریں۔

آپ پاور شیل کا استعمال کرتے ہوئے معلوم DoH حل کرنے والوں کی فہرست سے استفسار اور توسیع بھی کر سکتے ہیں۔ موجودہ فہرست دیکھنے کے لیے:

Get-DNSClientDohServerAddress

اپنے ٹیمپلیٹ کے ساتھ ایک نیا معلوم DoH سرور رجسٹر کرنے کے لیے، استعمال کریں:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

نوٹ کریں کہ cmdlet Set-DNSClientServerAddress خود کو کنٹرول نہیں کرتا DoH کا استعمال؛ خفیہ کاری کا انحصار اس بات پر ہے کہ آیا وہ پتے معلوم DoH سرورز کے ٹیبل میں ہیں۔ آپ فی الحال ونڈوز ایڈمن سینٹر یا اس کے ساتھ ونڈوز سرور 2022 DNS کلائنٹ کے لیے DoH کو کنفیگر نہیں کر سکتے sconfig.cmd.

ونڈوز سرور 2022 میں گروپ پالیسی

ایک ہدایت نامی ہے۔ "DNS کو HTTPS (DoH) پر کنفیگر کریں" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. فعال ہونے پر، آپ منتخب کر سکتے ہیں:

• DoH کی اجازت دیں۔: اگر سرور اس کی حمایت کرتا ہے تو DoH استعمال کریں۔ بصورت دیگر، استفسار غیر خفیہ کردہ۔
• DoH پر پابندی لگائیں۔: DoH کبھی استعمال نہیں کرتا۔
• DoH کی ضرورت ہے۔: فورسز DoH; اگر کوئی سپورٹ نہ ہو تو ریزولوشن ناکام ہو جاتا ہے۔

اہم: ڈومین سے جڑے کمپیوٹرز پر "Require DoH" کو فعال نہ کریں۔ایکٹو ڈائرکٹری DNS پر انحصار کرتی ہے، اور Windows Server DNS سرور رول DoH سوالات کی حمایت نہیں کرتا ہے۔ اگر آپ کو AD ماحول میں DNS ٹریفک کو محفوظ کرنے کی ضرورت ہے تو استعمال کرنے پر غور کریں۔ IPsec کے قوانین گاہکوں اور اندرونی حل کرنے والوں کے درمیان۔

اگر آپ مخصوص ڈومینز کو مخصوص حل کرنے والوں پر ری ڈائریکٹ کرنے میں دلچسپی رکھتے ہیں، تو آپ استعمال کر سکتے ہیں۔ NRPT (نام ریزولوشن پالیسی ٹیبل). اگر منزل کا سرور معلوم DoH فہرست میں ہے، وہ مشاورت DoH کے ذریعے سفر کریں گے۔

اینڈرائیڈ، آئی او ایس اور لینکس

اینڈرائیڈ 9 اور اس سے زیادہ پر، آپشن DNS privado DoT (DoH نہیں) کو دو طریقوں کے ساتھ اجازت دیتا ہے: "خودکار" (موقع پرست، نیٹ ورک حل کرنے والا لیتا ہے) اور "سخت" (آپ کو ایک میزبان نام بتانا ہوگا جو سرٹیفکیٹ کے ذریعہ توثیق شدہ ہو؛ براہ راست IPs تعاون یافتہ نہیں ہیں)۔

iOS اور Android پر، ایپ 1.1.1.1 Cloudflare غیر خفیہ کردہ درخواستوں کو روکنے کے لیے VPN API کا استعمال کرتے ہوئے DoH یا DoT کو سخت موڈ میں قابل بناتا ہے اور انہیں ایک محفوظ چینل کے ذریعے آگے بھیجیں۔.

En Linux, systemd-resolved سسٹم ڈی 239 کے بعد سے DoT کو سپورٹ کرتا ہے۔ یہ ڈیفالٹ طور پر غیر فعال ہے۔ یہ CA کی توثیق کے ساتھ سرٹیفکیٹس کی توثیق کیے بغیر اور سخت موڈ (243 سے) لیکن SNI یا نام کی توثیق کے بغیر موقع پرست موڈ پیش کرتا ہے، جو اعتماد کے ماڈل کو کمزور کرتا ہے۔ سڑک پر حملہ آوروں کے خلاف۔

لینکس، میک او ایس، یا ونڈوز پر، آپ سخت موڈ DoH کلائنٹ کا انتخاب کر سکتے ہیں جیسے cloudflared proxy-dns (پہلے سے طے شدہ طور پر یہ 1.1.1.1 استعمال کرتا ہے، اگرچہ آپ upstreams کی وضاحت کر سکتے ہیں متبادل)۔

معلوم DoH سرورز (ونڈوز) اور مزید شامل کرنے کا طریقہ

ونڈوز سرور میں حل کرنے والوں کی ایک فہرست شامل ہے جو DoH کو سپورٹ کرنے کے لیے جانا جاتا ہے۔ آپ اسے PowerShell کے ساتھ چیک کر سکتے ہیں۔ اور اگر آپ کو ضرورت ہو تو نئی اندراجات شامل کریں۔

یہ ہیں معلوم DoH سرورز باکس سے باہر ہیں۔:

سرور کا مالک	DNS سرور IP پتے
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
گوگل	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

کے لیے ver la lista, execute:

Get-DNSClientDohServerAddress

کے لیے اس کے ٹیمپلیٹ کے ساتھ ایک نیا DoH حل کرنے والا شامل کریں۔, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

اگر آپ متعدد نام کی جگہوں کا انتظام کرتے ہیں، تو NRPT آپ کو اجازت دے گا۔ مخصوص ڈومینز کا نظم کریں۔ ایک مخصوص حل کرنے والے کو جو DoH کو سپورٹ کرتا ہے۔

کیسے چیک کریں کہ آیا DoH فعال ہے۔

براؤزر میں، ملاحظہ کریں۔ https://1.1.1.1/help; وہاں آپ دیکھیں گے کہ اگر آپ کا ٹریفک DoH استعمال کر رہا ہے۔ 1.1.1.1 کے ساتھ یا نہیں۔ یہ دیکھنا ایک فوری ٹیسٹ ہے کہ آپ کس حیثیت میں ہیں۔

Windows 10 (ورژن 2004) میں، آپ کلاسک DNS ٹریفک (پورٹ 53) کی نگرانی کر سکتے ہیں pktmon ایک مراعات یافتہ کنسول سے:

pktmon filter add -p 53
pktmon start --etw -m real-time

اگر 53 پر پیکٹوں کا ایک مستقل سلسلہ ظاہر ہوتا ہے، تو اس کا بہت امکان ہے۔ آپ اب بھی غیر خفیہ کردہ DNS استعمال کر رہے ہیں۔. یاد رکھیں: پیرامیٹر --etw -m real-time 2004 کی ضرورت ہے؛ پہلے کے ورژن میں آپ کو "نامعلوم پیرامیٹر" کی خرابی نظر آئے گی۔

اختیاری: اسے روٹر پر ترتیب دیں (MikroTik)

اگر آپ راؤٹر پر مرکزی انکرپشن کو ترجیح دیتے ہیں، تو آپ MikroTik ڈیوائسز پر آسانی سے DoH کو فعال کر سکتے ہیں۔ پہلے، روٹ CA درآمد کریں۔ جس پر آپ جس سرور سے رابطہ کریں گے اس کے ذریعے دستخط کیے جائیں گے۔ Cloudflare کے لیے آپ ڈاؤن لوڈ کر سکتے ہیں۔ DigiCertGlobalRootCA.crt.pem.

فائل کو روٹر پر اپ لوڈ کریں (اسے "فائلز" میں گھسیٹ کر)، اور جائیں۔ سسٹم> سرٹیفکیٹس> درآمد کریں۔ اسے شامل کرنے کے لئے. پھر، روٹر کے DNS کو کے ساتھ ترتیب دیں۔ Cloudflare DoH URLsایک بار فعال ہونے کے بعد، روٹر پہلے سے طے شدہ غیر خفیہ کردہ DNS پر خفیہ کردہ کنکشن کو ترجیح دے گا۔

اس بات کی توثیق کرنے کے لیے کہ سب کچھ ترتیب میں ہے، ملاحظہ کریں۔ 1.1.1.1/مدد روٹر کے پیچھے کمپیوٹر سے۔ آپ ٹرمینل کے ذریعے بھی سب کچھ کر سکتے ہیں۔ اگر آپ چاہیں تو RouterOS میں۔

کارکردگی، اضافی رازداری اور نقطہ نظر کی حدود

جب رفتار کی بات آتی ہے تو دو میٹرکس اہم ہوتے ہیں: ریزولوشن کا وقت اور اصل صفحہ لوڈ۔ آزاد ٹیسٹ (جیسے SamKnows) وہ یہ نتیجہ اخذ کرتے ہیں کہ DoH اور کلاسک DNS (Do53) کے درمیان فرق دونوں محاذوں پر معمولی ہے۔ عملی طور پر، آپ کو کوئی سستی محسوس نہیں کرنی چاہیے۔

DoH "DNS استفسار" کو خفیہ کرتا ہے، لیکن نیٹ ورک پر مزید سگنلز ہیں۔ یہاں تک کہ اگر آپ DNS چھپاتے ہیں تو، ایک ISP چیزوں کا اندازہ لگا سکتا ہے۔ TLS کنکشن کے ذریعے (مثال کے طور پر، کچھ پرانے منظرناموں میں SNI) یا دیگر نشانات۔ رازداری کو بڑھانے کے لیے، آپ DoT، DNSCrypt، DNSCurve، یا ایسے کلائنٹس کو تلاش کر سکتے ہیں جو میٹا ڈیٹا کو کم سے کم کرتے ہیں۔

تمام ماحولیاتی نظام ابھی تک DoH کو سپورٹ نہیں کرتا ہے۔ بہت سے میراثی حل کرنے والے اس کی پیشکش نہیں کرتے ہیں۔, عوامی ذرائع (Cloudflare، Google، Quad9، وغیرہ) پر انحصار کرنے پر مجبور کرنا۔ اس سے مرکزیت پر بحث شروع ہو جاتی ہے: چند اداکاروں پر سوالات مرکوز کرنے سے رازداری اور اعتماد کے اخراجات شامل ہوتے ہیں۔

کارپوریٹ ماحول میں، DoH ان سیکورٹی پالیسیوں سے تصادم کر سکتا ہے جن پر مبنی ہیں۔ DNS نگرانی یا فلٹرنگ (میل ویئر، پیرنٹل کنٹرول، قانونی تعمیل)۔ حل میں ایک DoH/DoT حل کرنے والے کو سخت موڈ پر سیٹ کرنے کے لیے MDM/گروپ پالیسی، یا ایپلیکیشن لیول کنٹرولز کے ساتھ مل کر، جو ڈومین پر مبنی بلاکنگ سے زیادہ درست ہیں۔

DNSSEC DoH کی تکمیل کرتا ہے: DoH ٹرانسپورٹ کی حفاظت کرتا ہے۔ DNSSEC جواب کی توثیق کرتا ہے۔اپنانا ناہموار ہے، اور کچھ درمیانی آلات اسے توڑ دیتے ہیں، لیکن رجحان مثبت ہے۔ حل کرنے والوں اور مستند سرورز کے درمیان راستے میں، DNS روایتی طور پر غیر خفیہ کردہ رہتا ہے۔ تحفظ کو بڑھانے کے لیے پہلے ہی بڑے آپریٹرز (جیسے، فیس بک کے مستند سرورز کے ساتھ 1.1.1.1) کے درمیان DoT استعمال کرنے کے تجربات موجود ہیں۔

ایک درمیانی متبادل صرف کے درمیان خفیہ کاری کرنا ہے۔ راؤٹر اور حل کرنے والا، آلات اور روٹر کے درمیان کنکشن کو غیر خفیہ کردہ چھوڑ کر۔ محفوظ وائرڈ نیٹ ورکس پر کارآمد، لیکن کھلے Wi-Fi نیٹ ورکس پر اس کی سفارش نہیں کی جاتی ہے: دوسرے صارفین LAN کے اندر ان سوالات کی جاسوسی یا ان میں ہیرا پھیری کرسکتے ہیں۔

اپنا خود کا DoH حل کرنے والا بنائیں

اگر آپ مکمل آزادی چاہتے ہیں، تو آپ اپنا حل کرنے والا تعینات کر سکتے ہیں۔ Unbound + Redis (L2 cache) + Nginx DoH URLs پیش کرنے اور ڈومینز کو فلٹر کرنے کے لیے خودکار طور پر اپ ڈیٹ ہونے والی فہرستوں کے ساتھ ایک مقبول مجموعہ ہے۔

یہ اسٹیک ایک معمولی VPS پر بالکل چلتا ہے (مثال کے طور پر، ایک کور/2 تاریں ایک خاندان کے لیے)۔ استعمال کے لیے تیار ہدایات کے ساتھ گائیڈز موجود ہیں، جیسے کہ یہ ذخیرہ: github.com/ousatov-ua/dns-filtering۔ کچھ VPS فراہم کرنے والے خوش آمدید کریڈٹ پیش کرتے ہیں۔ نئے صارفین کے لیے، تاکہ آپ کم قیمت پر ٹرائل ترتیب دے سکیں۔

اپنے نجی حل کنندہ کے ساتھ، آپ اپنے فلٹرنگ ذرائع کا انتخاب کر سکتے ہیں، برقرار رکھنے کی پالیسیوں کا فیصلہ کر سکتے ہیں اور اپنے سوالات کو مرکزیت دینے سے گریز کریں۔ تیسرے فریق کو. بدلے میں، آپ سیکورٹی، دیکھ بھال، اور اعلی دستیابی کا انتظام کرتے ہیں۔

بند کرنے سے پہلے، درستگی کا ایک نوٹ: انٹرنیٹ پر، اختیارات، مینیو اور نام اکثر تبدیل ہوتے رہتے ہیں۔ کچھ پرانے گائیڈز پرانے ہیں۔ (مثال کے طور پر، حالیہ ورژنز میں کروم میں "جھنڈوں" سے گزرنا اب ضروری نہیں ہے۔) ہمیشہ اپنے براؤزر یا سسٹم دستاویزات سے چیک کریں۔

اگر آپ نے اسے یہاں تک پہنچا دیا ہے، تو آپ پہلے ہی جانتے ہیں کہ DoH کیا کرتا ہے، یہ DoT اور DNSSEC کے ساتھ پہیلی میں کیسے فٹ بیٹھتا ہے، اور سب سے اہم بات، اسے ابھی اپنے ڈیوائس پر کیسے چالو کریں۔ DNS کو کلیئر میں سفر کرنے سے روکنے کے لیے۔ آپ کے براؤزر میں چند کلکس یا ونڈوز میں ایڈجسٹمنٹ کے ساتھ (یہاں تک کہ سرور 2022 میں پالیسی کی سطح پر بھی) آپ کے پاس خفیہ سوالات ہوں گے۔ اگر آپ چیزوں کو اگلی سطح پر لے جانا چاہتے ہیں، تو آپ انکرپشن کو MikroTik راؤٹر میں منتقل کر سکتے ہیں یا اپنا حل کرنے والا خود بنا سکتے ہیں۔ کلید یہ ہے کہ، اپنے روٹر کو چھوئے بغیر، آپ آج اپنی ٹریفک کے سب سے زیادہ گپ شپ والے حصوں میں سے ایک کو بچا سکتے ہیں۔.