- DoH 使用 HTTPS(端口 443)加密 DNS 查询,提高隐私性并防止篡改。
- 它可以在浏览器和系统(包括 Windows Server 2022)中激活,而无需依赖路由器。
- 性能类似于传统 DNS;由 DNSSEC 补充以验证响应。
- 流行的 DoH 服务器(Cloudflare、Google、Quad9)以及添加或设置您自己的解析器的能力。
¿如何使用 DNS over HTTPS 加密 DNS 而不触及路由器? 如果您担心谁可以看到您连接的网站, 使用 DNS over HTTPS 加密域名系统查询 这是提升隐私最简单的方法之一,无需与路由器争吵。有了 DoH,将域名转换为 IP 地址的转换器不再以明文传输,而是通过 HTTPS 隧道传输。
在本指南中,你会发现,用直接的语言,没有太多的术语, DoH 到底是什么?它与 DoT 等其他选项有何不同?如何在浏览器和操作系统(包括 Windows Server 2022)中启用它,如何验证它是否正常工作,支持的服务器,以及(如果你够胆量的话)如何设置你自己的 DoH 解析器。一切, 无需接触路由器...除了那些想要在 MikroTik 上配置它的人的可选部分。
什么是 DNS over HTTPS (DoH) 以及您为什么会关心
当您输入一个域名(例如,Xataka.com)时,计算机会询问 DNS 解析器其 IP 是什么; 这个过程通常以纯文本形式 您的网络中的任何人、您的互联网提供商或中间设备都可以窥探或操纵它。这就是传统 DNS 的精髓:快速、无处不在……并且对第三方透明。
这就是 DoH 发挥作用的地方: 它将那些 DNS 问题和答案移动到安全网络使用的相同加密通道(HTTPS,端口 443)结果是,它们不再“公开”传输,从而降低了间谍活动、查询劫持和某些中间人攻击的可能性。此外,在许多测试中 延迟没有明显恶化 甚至可以通过传输优化得到改进。
一个关键优势是: DoH 可以在应用程序或系统级别启用,因此您无需依赖运营商或路由器来启用任何功能。也就是说,您可以“从浏览器开始”保护自己,而无需触碰任何网络设备。
区分 DoH 和 DoT(TLS 上的 DNS)非常重要: DoT 在端口 853 上加密 DNS 直接通过 TLS 传输,而 DoH 则将其集成到 HTTP(S) 中。DoT 理论上更简单,但 更有可能被防火墙阻止 切断不常见的端口;DoH 通过使用 443,更好地规避了这些限制,并防止对未加密 DNS 进行强制“推回”攻击。
关于隐私:使用 HTTPS 并不意味着 DoH 中的 cookie 或跟踪; 标准明确建议不要使用它 在此背景下,TLS 1.3 还减少了重启会话的需要,从而最大限度地减少了关联。如果您担心性能问题,基于 QUIC 的 HTTP/3 可以通过无阻塞多路复用查询来提供额外的改进。
DNS 的工作原理、常见风险以及 DoH 的作用
操作系统通常通过 DHCP 了解使用哪个解析器; 在家里,你通常使用 ISP 的在办公室,也就是企业网络中。当此通信未加密(UDP/TCP 53)时,任何使用您 Wi-Fi 或路由的用户都可以看到查询的域名、注入虚假响应,或者在域名不存在时将您重定向到搜索页面(某些运营商就是这么做的)。
典型的流量分析会显示端口、源/目标 IP 以及已解析的域本身; 这不仅暴露了浏览习惯,它还可以更轻松地关联后续连接(例如,Twitter 地址或类似地址),并推断出您访问过的确切页面。
使用 DoT 时,DNS 消息通过端口 853 进入 TLS;使用 DoH 时, DNS 查询封装在标准 HTTPS 请求中,这也使得 Web 应用程序能够通过浏览器 API 使用它。这两种机制共享相同的基础:使用证书的服务器身份验证和端到端加密通道。
新港口的问题在于 一些网络阻止 853,鼓励软件“回退”到未加密的 DNS。DoH 通过使用 443(这在网络上很常见)来缓解这种情况。DNS/QUIC 也是另一个很有前景的选择,尽管它需要开放的 UDP,而且并非始终可用。
即使在加密传输时,也要注意一个细微差别: 如果解析器撒谎,密码就无法纠正。为此,DNSSEC应运而生,它允许验证响应的完整性,尽管它的采用并不广泛,并且一些中介机构会破坏其功能。即便如此,DoH 仍能防止第三方在过程中窥探或篡改您的查询。
无需接触路由器即可激活:浏览器和系统
最直接的入门方法是在您的浏览器或操作系统中启用 DoH。 这就是您向团队屏蔽查询的方式 不依赖于路由器固件。
Google Chrome
在当前版本中,您可以访问 chrome://settings/security 并在“使用安全 DNS”下, 激活该选项并选择提供商 (如果您的当前提供商支持 DoH 或来自 Google 列表的提供商,例如 Cloudflare 或 Google DNS)。
在之前的版本中,Chrome 提供了一个实验性的开关:type chrome://flags/#dns-over-https,搜索“安全 DNS 查找”并 将其从默认更改为启用。重新启动浏览器以应用更改。
微软 Edge(Chromium 内核)
基于 Chromium 的 Edge 浏览器也包含类似的选项。如果您需要,请访问 edge://flags/#dns-over-https,找到“安全 DNS 查找”并 在已启用中启用它在现代版本中,您也可以在隐私设置中激活。
Mozilla Firefox
打开菜单(右上角)> 设置 > 通用 > 向下滚动到“网络设置”,点击 配置 并标记“Activar DNS光纤HTTPS”。您可以从 Cloudflare 或 NextDNS 等提供商中进行选择。
如果您更喜欢精细控制, about:config 调整 network.trr.mode: 2(机会主义者)使用 DoH 并进行回退 如果不可用; 3项(严格)规定 DoH 如果不支持,则会失败。在严格模式下,将引导解析器定义为 network.trr.bootstrapAddress=1.1.1.1.
歌剧
自 65 版起,Opera 包含一个选项 使用 1.1.1.1 启用 DoH。它默认处于禁用状态并以机会模式运行:如果 1.1.1.1:443 响应,它将使用 DoH;否则,它将回退到未加密的解析器。
Windows 10/11:自动检测(AutoDoH)和注册表
Windows 可以通过某些已知的解析器自动启用 DoH。在旧版本中, 你可以强制行为 从注册表:运行 regedit 然后前往 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.
创建一个名为的 DWORD(32 位) EnableAutoDoh 价值 2 y 重启电脑如果您使用支持 DoH 的 DNS 服务器,则此方法有效。
Windows Server 2022:具有原生 DoH 的 DNS 客户端
Windows Server 2022 中的内置 DNS 客户端支持 DoH。 您只能将 DoH 与“已知 DoH”列表中的服务器一起使用。 或者您自己添加。要从图形界面进行配置:
- 打开 Windows 设置 > 网络和互联网.
- 进入 以太网 并选择您的界面。
- 在网络屏幕上,向下滚动到 DNS 设置 并按 编辑.
- 选择“手动”来定义首选服务器和备用服务器。
- 如果这些地址在已知的 DoH 列表中,它将被启用 “首选 DNS 加密” 具有三个选项:
- 仅加密(基于 HTTPS 的 DNS):强制 DoH;如果服务器不支持 DoH,则不会解析。
- 首选加密,允许未加密:尝试 DoH,如果失败,则回退到未加密的经典 DNS。
- 仅限未加密:使用传统的纯文本DNS。
- 保存以应用更改。
您还可以使用 PowerShell 查询和扩展已知 DoH 解析器的列表。 查看当前列表:
Get-DNSClientDohServerAddress要使用您的模板注册新的已知 DoH 服务器,请使用:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True请注意 Set-DNSClientServerAddress 无法控制自己 DoH 的使用;加密取决于这些地址是否在已知 DoH 服务器表中。目前无法从 Windows Admin Center 或使用 sconfig.cmd.
Windows Server 2022 中的组策略
有一条指令叫做 “配置 DNS over HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS。启用后,您可以选择:
- 允许 DoH:如果服务器支持,则使用 DoH;否则,查询未加密的。
- 班多:从不使用 DoH。
- 需要 DoH:强制 DoH;如果不支持,解析失败。
重要的: 不要在加入域的计算机上启用“需要 DoH”Active Directory 依赖于 DNS,而 Windows Server DNS 服务器角色不支持 DoH 查询。如果您需要保护 AD 环境中的 DNS 流量,请考虑使用 IPsec 规则 客户端和内部解析器之间。
如果您有兴趣将特定域名重定向到特定的解析器,您可以使用 NRPT(名称解析策略表)。如果目标服务器在已知的 DoH 列表中, 这些磋商 将通过卫生部 (DoH) 出行。
Android、iOS 和 Linux
在 Android 9 及更高版本中,该选项 私有 DNS 允许使用两种模式的 DoT(不是 DoH):“自动”(机会主义,采用网络解析器)和“严格”(必须指定经过证书验证的主机名;不支持直接 IP)。
在 iOS 和 Android 上,该应用程序 1.1.1.1 Cloudflare 使用 VPN API 在严格模式下启用 DoH 或 DoT 来拦截未加密的请求,并且 通过安全通道转发.
在Linux系统中, systemd-resolved 自 systemd 239 起支持 DoT。默认情况下,它是禁用的;它提供机会模式,无需验证证书,以及严格模式(自 243 起),带有 CA 验证,但没有 SNI 或名称验证,这 削弱信任模式 打击道路上的袭击者。
在 Linux、macOS 或 Windows 上,您可以选择严格模式的 DoH 客户端,例如 cloudflared proxy-dns (默认情况下它使用 1.1.1.1,尽管 你可以定义上游 替代方案)。
已知的 DoH 服务器(Windows)以及如何添加更多
Windows Server 包含已知支持 DoH 的解析器列表。 您可以使用 PowerShell 检查 如果需要的话,添加新条目。
这些是 开箱即用的已知 DoH 服务器:
| 服务器所有者 | DNS 服务器 IP 地址 |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 谷歌 | 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
| Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
为了 查看列表, 跑:
Get-DNSClientDohServerAddress为了 添加新的 DoH 解析器及其模板用途:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True如果您管理多个命名空间,NRPT 将允许您 管理特定域 到支持 DoH 的特定解析器。
如何检查 DoH 是否处于活动状态
在浏览器中,访问 https://1.1.1.1/help;你会看到 您的流量正在使用 DoH 是否使用 1.1.1.1。这是一个快速测试,可以查看您的状态。
在 Windows 10(版本 2004)中,您可以使用以下方式监视经典 DNS 流量(端口 53) PKTM 从特权控制台:
pktmon filter add -p 53
pktmon start --etw -m real-time如果在 53 上出现持续不断的数据包,则很可能 您仍在使用未加密的 DNS. 记住:参数 --etw -m real-time 需要 2004;在早期版本中您将看到“未知参数”错误。
可选:在路由器上配置(MikroTik)
如果您更喜欢在路由器上集中加密,您可以轻松地在 MikroTik 设备上启用 DoH。 首先,导入根CA 该文件将由您将要连接的服务器签名。对于 Cloudflare,您可以下载 DigiCertGlobalRootCA.crt.pem.
将文件上传到路由器(将其拖到“文件”),然后转到 系统 > 证书 > 导入 将其纳入。然后,使用 Cloudflare DoH URL一旦激活,路由器将优先使用加密连接而不是默认的未加密 DNS。
要验证一切是否正常,请访问 1.1.1.1/帮助 来自路由器后面的计算机。 您还可以通过终端完成所有操作 如果您愿意的话,可以在 RouterOS 中。
性能、额外的隐私和方法的局限性
说到速度,有两个指标很重要:解析时间和实际页面加载。 独立测试(例如 SamKnows) 他们得出结论,DoH 和经典 DNS(Do53)之间的差异在两个方面都很小;实际上,您不应该注意到任何速度缓慢。
DoH 对“DNS 查询”进行加密,但网络上有更多信号。 即使你隐藏了 DNS,ISP 也可以推断出 通过 TLS 连接(例如,在某些传统场景中,使用 SNI)或其他追踪方式。为了增强隐私,您可以探索 DoT、DNSCrypt、DNSCurve 或最小化元数据的客户端。
并非所有生态系统都支持 DoH。 许多传统的解析器不提供此功能。,迫使人们依赖公共资源(Cloudflare、Google、Quad9等)。这引发了关于中心化的争论:将查询集中在少数参与者身上会带来隐私和信任成本。
在企业环境中,DoH 可能会与基于以下安全策略相冲突: DNS 监控或过滤 (恶意软件、家长控制、法律合规)。解决方案包括使用 MDM/组策略将 DoH/DoT 解析器设置为严格模式,或结合应用程序级控制,这比基于域的阻止更精确。
DNSSEC 补充 DoH: DoH 保护传输;DNSSEC 验证响应采用情况并不均衡,一些中间设备可能会破坏它,但趋势是积极的。在解析器和权威服务器之间的路径上,DNS 传统上保持未加密状态;大型运营商已经在尝试使用 DoT(例如,1.1.1.1 与 Facebook 的权威服务器一起使用)来增强保护。
中间替代方案是仅在以下之间加密 路由器和解析器,使设备和路由器之间的连接保持未加密状态。这在安全的有线网络上很有用,但不建议在开放的Wi-Fi网络上使用:其他用户可能会在局域网内监视或操纵这些查询。
制作您自己的 DoH 解析器
如果您想要完全独立,您可以部署自己的解析器。 无约束 + Redis(二级缓存) + Nginx 是一种用于提供 DoH URL 和使用自动更新列表过滤域的流行组合。
这个堆栈在中等 VPS 上完美运行(例如, 单芯/2 线 适合家庭)。有一些指南提供了现成的说明,例如此存储库:github.com/ousatov-ua/dns-filtering。 一些 VPS 提供商提供欢迎积分 对于新用户来说,这样您就可以以低成本进行试用。
使用您的私人解析器,您可以选择过滤源,决定保留策略和 避免集中查询 给第三方。作为回报,您需要管理安全性、维护和高可用性。
在结束之前,请注意以下有效性:在互联网上,选项、菜单和名称经常发生变化; 一些旧指南已经过时 (例如,在最近的版本中,不再需要通过 Chrome 中的“标志”进行操作。)请务必检查您的浏览器或系统文档。
如果你已经读到这里,那么你已经知道 DoH 的作用是什么,它如何与 DoT 和 DNSSEC 相协调,最重要的是, 如何立即在你的设备上激活它 以防止 DNS 以明文形式传输。只需在浏览器中单击几下或在 Windows 中进行调整(即使在 Server 2022 的策略级别),即可获得加密查询;如果您想更进一步,可以将加密功能移至 MikroTik 路由器或构建自己的解析器。关键在于, 无需触碰路由器,您就可以屏蔽当今最受争议的流量部分之一。.
从小就对科技充满热情。我喜欢了解该领域的最新动态,最重要的是,进行交流。这也是我多年来致力于科技和视频游戏网站交流的原因。您可以找到我撰写的有关 Android、Windows、MacOS、iOS、任天堂或您想到的任何其他相关主题的文章。