- DoH 使用 HTTPS(連接埠 443)加密 DNS 查詢,提高隱私性並防止竄改。
- 它可以在瀏覽器和系統(包括 Windows Server 2022)中激活,而無需依賴路由器。
- 效能類似於傳統 DNS;由 DNSSEC 補充以驗證回應。
- 流行的 DoH 伺服器(Cloudflare、Google、Quad9)以及新增或設定您自己的解析器的能力。
¿如何使用 DNS over HTTPS 加密 DNS 而不觸及路由器? 如果您擔心誰可以看到您連接的網站, 使用 DNS over HTTPS 加密網域名稱系統查詢 這是提升隱私最簡單的方法之一,無需與路由器爭吵。有了 DoH,將網域轉換為 IP 位址的轉換器不再以明文傳輸,而是透過 HTTPS 隧道傳輸。
在本指南中,你會發現,用直接的語言,沒有太多的術語, DoH 到底是什麼?它與 DoT 等其他選項有何不同?如何在瀏覽器和作業系統(包括 Windows Server 2022)中啟用它,如何驗證它是否正常工作,支援的伺服器,以及(如果你夠膽量的話)如何設定你自己的 DoH 解析器。一切, 無需接觸路由器……除了那些想要在 MikroTik 上配置它的人的可選部分。
什麼是 DNS over HTTPS (DoH) 以及為什麼會關心
當您輸入網域名稱(例如,Xataka.com)時,電腦會詢問 DNS 解析器其 IP 是什麼; 這個過程通常以純文字形式 您的網路中的任何人、您的網路供應商或中間設備都可以窺探或操縱它。這就是傳統 DNS 的精髓:快速、無所不在…並且對第三方透明。
這就是 DoH 發揮作用的地方: 它將那些 DNS 問題和答案移到安全網路使用的相同加密通道(HTTPS,連接埠 443)結果是,它們不再「公開」傳輸,從而降低了間諜活動、查詢劫持和某些中間人攻擊的可能性。此外,在許多測試中 延遲沒有明顯惡化 甚至可以透過傳輸優化來改進。
一個關鍵優勢是: DoH 可以在應用程式或系統層級啟用,因此您無需依賴電信業者或路由器來啟用任何功能。也就是說,您可以「從瀏覽器開始」保護自己,而無需觸碰任何網路裝置。
區分 DoH 和 DoT(TLS 上的 DNS)非常重要: DoT 在連接埠 853 上加密 DNS 直接透過 TLS 傳輸,而 DoH 則將其整合到 HTTP(S) 中。 DoT 理論上比較簡單,但 更有可能被防火牆阻止 切斷不常見的連接埠;DoH 透過使用 443,更好地規避了這些限制,並防止對未加密 DNS 進行強制「推回」攻擊。
關於隱私:使用 HTTPS 並不意味著 DoH 中的 cookie 或追蹤; 標準明確建議不要使用它 在此背景下,TLS 1.3 也減少了重啟會話的需要,從而最大限度地減少了關聯。如果您擔心效能問題,基於 QUIC 的 HTTP/3 可以透過無阻塞多路復用查詢來提供額外的改進。
DNS 的工作原理、常見風險以及 DoH 的作用
作業系統通常透過 DHCP 了解使用哪個解析器; 在家裡,你通常會使用 ISP 的在辦公室,也就是企業網路中。當此通訊未加密(UDP/TCP 53)時,任何使用您 Wi-Fi 或路由的使用者都可以看到查詢的網域名稱、注入虛假回應,或在網域不存在時將您重新導向至搜尋頁面(某些電信業者就是這麼做的)。
典型的流量分析會顯示連接埠、來源/目標 IP 以及已解析的網域本身; 這不僅暴露了瀏覽習慣,它還可以更輕鬆地關聯後續連接(例如,Twitter 地址或類似地址),並推斷您訪問過的確切頁面。
使用 DoT 時,DNS 訊息透過連接埠 853 進入 TLS;使用 DoH 時, DNS 查詢封裝在標準 HTTPS 請求中,這也使得 Web 應用程式能夠透過瀏覽器 API 使用它。這兩種機制共享相同的基礎:使用憑證的伺服器驗證和端對端加密通道。
新港口的問題在於 一些網路阻止 853,鼓勵軟體「回退」到未加密的 DNS。 DoH 透過使用 443(這在網路上很常見)來緩解這種情況。 DNS/QUIC 也是另一個很有前景的選擇,儘管它需要開放的 UDP,而且並非總是可用。
即使在加密傳輸時,也要注意一個細微差別: 如果解析器說謊,密碼就無法修正。為此,DNSSEC應運而生,它允許驗證回應的完整性,儘管它的採用並不廣泛,並且一些中介機構會破壞其功能。即便如此,DoH 仍能防止第三方在過程中窺探或竄改您的查詢。
無需接觸路由器即可啟動:瀏覽器和系統
最直接的入門方法是在您的瀏覽器或作業系統中啟用 DoH。 這就是您向團隊封鎖查詢的方式 不依賴路由器韌體。
Google Chrome
在當前版本中,您可以訪問 chrome://settings/security 並在「使用安全 DNS」下, 啟動該選項並選擇提供者 (如果您的目前提供者支援 DoH 或來自 Google 清單的供應商,例如 Cloudflare 或 Google DNS)。
在先前的版本中,Chrome 提供了一個實驗性的開關:type chrome://flags/#dns-over-https,搜尋“安全 DNS 查找”並 將其從預設更改為啟用。重新啟動瀏覽器以套用變更。
Microsoft Edge (Chromium)
基於 Chromium 的 Edge 瀏覽器也包含類似的選項。如果您需要,請訪問 edge://flags/#dns-over-https,找到“安全 DNS 查找”並 在已啟用中啟用它在現代版本中,您也可以在隱私設定中啟動。
Mozilla Firefox
開啟選單(右上角)> 設定 > 通用 > 向下捲動到“網路設定”,點擊 配置 並標記“透過 HTTPS 啟用 DNS」。您可以從 Cloudflare 或 NextDNS 等提供者中進行選擇。
如果您更喜歡精細控制, about:config 調整 network.trr.mode: 2(機會主義者)使用 DoH 並進行回退 如果不可用; 3項(嚴格)規定 DoH 如果不支持,則會失敗。在嚴格模式下,將引導解析器定義為 network.trr.bootstrapAddress=1.1.1.1.
歌劇
自 65 版起,Opera 包含一個選項 使用 1.1.1.1 啟用 DoH。它預設為停用狀態並以機會模式運行:如果 1.1.1.1:443 回應,它將使用 DoH;否則,它將回退到未加密的解析器。
Windows 10/11:自動偵測(AutoDoH)和登錄
Windows 可以透過某些已知的解析器自動啟用 DoH。在舊版本中, 你可以強制行為 從註冊表:運行 regedit 然後前往 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.
建立一個名為的 DWORD(32 位元) EnableAutoDoh 價值 2 y 重新啟動電腦如果您使用支援 DoH 的 DNS 伺服器,則此方法有效。
Windows Server 2022:具有原生 DoH 的 DNS 用戶端
Windows Server 2022 中內建的 DNS 用戶端支援 DoH。 您只能將 DoH 與「已知 DoH」清單中的伺服器一起使用。 或您自己添加。若要從圖形介面進行配置:
- 開啟 Windows 設定 > 網路和網際網路.
- 進入 乙太網路 並選擇您的介面。
- 在網路螢幕上,向下捲動到 DNS 設定 並按 編輯.
- 選擇“手動”來定義首選伺服器和備用伺服器。
- 如果這些位址在已知的 DoH 清單中,它將啟用 “首選 DNS 加密” 具有三個選項:
- 僅加密(基於 HTTPS 的 DNS):強制 DoH;如果伺服器不支援 DoH,則不會解析。
- 首選加密,允許未加密:嘗試 DoH,如果失敗,則回退到未加密的經典 DNS。
- 僅限未加密:使用傳統的純文字DNS。
- 儲存以套用變更。
您也可以使用 PowerShell 查詢和擴充已知 DoH 解析器的清單。 查看目前列表:
Get-DNSClientDohServerAddress若要使用您的範本註冊新的已知 DoH 伺服器,請使用:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True請注意 Set-DNSClientServerAddress 無法控制自己 DoH 的使用;加密取決於這些位址是否在已知 DoH 伺服器表中。目前無法從 Windows Admin Center 或使用 sconfig.cmd.
Windows Server 2022 中的群組原則
有一條指令叫做 “配置 DNS over HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS。啟用後,您可以選擇:
- 允許 DoH:如果伺服器支持,則使用 DoH;否則,查詢未加密的。
- 班多:從不使用 DoH。
- 需要 DoH:強制 DoH;如果不支持,解析失敗。
重要的: 不要在加入網域的電腦上啟用“需要 DoH”Active Directory 依賴 DNS,而 Windows Server DNS 伺服器角色不支援 DoH 查詢。如果您需要保護 AD 環境中的 DNS 流量,請考慮使用 IPsec 規則 客戶端和內部解析器之間。
如果您有興趣將特定網域重新導向到特定的解析器,您可以使用 NRPT(名稱解析策略表)。如果目標伺服器在已知的 DoH 清單中, 這些磋商 將透過衛生部 (DoH) 出行。
Android、iOS 和 Linux
在 Android 9 及更高版本中,此選項 私有 DNS 允許使用兩種模式的 DoT(不是 DoH):「自動」(機會主義,採用網路解析器)和「嚴格」(必須指定經過憑證驗證的主機名稱;不支援直接 IP)。
在 iOS 和 Android 上,該應用程式 1.1.1.1 Cloudflare 使用 VPN API 在嚴格模式下啟用 DoH 或 DoT 來攔截未加密的請求,並且 透過安全通道轉發.
在Linux系統中, systemd-resolved 自 systemd 239 起支援 DoT。預設情況下,它是禁用的;它提供機會模式,無需驗證證書,以及嚴格模式(自 243 起),帶有 CA 驗證,但沒有 SNI 或名稱驗證,這 削弱信任模式 打擊道路上的襲擊者。
在 Linux、macOS 或 Windows 上,您可以選擇嚴格模式 DoH 用戶端,例如 cloudflared proxy-dns (預設情況下它使用 1.1.1.1,儘管 你可以定義上游 替代方案)。
已知的 DoH 伺服器(Windows)以及如何新增更多
Windows Server 包含已知支援 DoH 的解析器清單。 您可以使用 PowerShell 檢查 如果需要的話,新增條目。
這些是 開箱即用的已知 DoH 伺服器:
| 伺服器擁有者 | DNS 伺服器 IP 位址 |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
為了 ver la lista, 跑:
Get-DNSClientDohServerAddress為了 新增新的 DoH 解析器及其模板用途:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True如果您管理多個命名空間,NRPT 將允許您 管理特定域 到支援 DoH 的特定解析器。
如何檢查 DoH 是否處於活動狀態
在瀏覽器中,訪問 https://1.1.1.1/help;你會看到 您的流量正在使用 DoH 是否使用 1.1.1.1。這是一個快速測試,可以查看您的狀態。
在 Windows 10(版本 2004)中,您可以使用以下方式監視經典 DNS 流量(連接埠 53) PKTM 從特權控制台:
pktmon filter add -p 53
pktmon start --etw -m real-time如果在 53 上出現持續不斷的資料包,則很可能 您仍在使用未加密的 DNS. 記住:參數 --etw -m real-time 需要 2004;在早期版本中您將看到“未知參數”錯誤。
選用:在路由器上設定(MikroTik)
如果您喜歡在路由器上集中加密,您可以輕鬆地在 MikroTik 裝置上啟用 DoH。 首先,導入根CA 該文件將由您將要連接的伺服器簽署。對於 Cloudflare,您可以下載 DigiCertGlobalRootCA.crt.pem.
將檔案上傳到路由器(將其拖曳到“檔案”),然後轉到 系統 > 憑證 > 匯入 將其納入。然後,使用 Cloudflare DoH URL一旦激活,路由器將優先使用加密連接而不是預設的未加密 DNS。
要驗證一切是否正常,請訪問 1.1.1.1/幫助 來自路由器後面的計算機。 您也可以透過終端完成所有操作 如果你願意的話,可以在 RouterOS 中。
性能、額外的隱私和方法的局限性
說到速度,有兩個指標很重要:解析時間和實際頁面載入。 獨立測驗(例如 SamKnows) 他們得出結論,DoH 和經典 DNS(Do53)之間的差異在兩個方面都很小;實際上,您不應該注意到任何速度緩慢。
DoH 對「DNS 查詢」進行加密,但網路上有更多訊號。 即使你隱藏了 DNS,ISP 也可以推斷出 透過 TLS 連結(例如,在某些傳統場景中,使用 SNI)或其他追蹤方式。為了增強隱私,您可以探索 DoT、DNSCrypt、DNSCurve 或最小化元資料的用戶端。
並非所有生態系統都支援 DoH。 許多傳統的解析器不提供此功能。,迫使人們依賴公共資源(Cloudflare、Google、Quad9等)。這引發了關於中心化的爭論:將查詢集中在少數參與者身上會帶來隱私和信任成本。
在企業環境中,DoH 可能會與基於以下安全策略相衝突: DNS 監控或過濾 (惡意軟體、家長監護、法律合規)。解決方案包括使用 MDM/群組原則將 DoH/DoT 解析器設定為嚴格模式,或結合應用程式層級控制,這比基於網域的阻止更精確。
DNSSEC 補充 DoH: DoH 保護傳輸;DNSSEC 驗證回應採用情況並不均衡,一些中間設備可能會破壞它,但趨勢是正面的。在解析器和權威伺服器之間的路徑上,DNS 傳統上保持未加密狀態;大型營運商已經在嘗試使用 DoT(例如,1.1.1.1 與 Facebook 的權威伺服器一起使用)來增強保護。
中間替代方案是僅在以下之間加密 路由器和解析器,使裝置和路由器之間的連線保持未加密狀態。這在安全的有線網路上很有用,但不建議在開放的Wi-Fi網路上使用:其他用戶可能會在區域網路內監視或操縱這些查詢。
製作您自己的 DoH 解析器
如果您想要完全獨立,您可以部署自己的解析器。 無約束 + Redis(二級快取) + Nginx 是一種用於提供 DoH URL 和使用自動更新清單過濾網域的流行組合。
這個堆疊在中等 VPS 上完美運作(例如, 單芯/2 線 適合家庭)。有一些指南提供了現成的說明,例如此儲存庫:github.com/ousatov-ua/dns-filtering。 一些 VPS 提供者提供歡迎積分 對於新用戶來說,這樣您就可以以低成本進行試用。
使用您的私人解析器,您可以選擇過濾來源,決定保留策略和 避免集中查詢 給第三方。作為回報,您需要管理安全性、維護和高可用性。
在結束之前,請注意以下有效性:在網路上,選項、選單和名稱經常會變更; 一些舊指南已經過時 (例如,在最近的版本中,不再需要透過 Chrome 中的「標誌」進行操作。)請務必檢查您的瀏覽器或系統文件。
如果你已經讀到這裡,那麼你已經知道 DoH 的角色是什麼,它如何與 DoT 和 DNSSEC 相協調,最重要的是, 如何立即在你的裝置上啟動它 以防止 DNS 以明文形式傳輸。只需在瀏覽器中按一下幾下或在 Windows 中進行調整(即使在 Server 2022 的政策層級),即可取得加密查詢;如果您想更進一步,可以將加密功能移至 MikroTik 路由器或建置自己的解析器。關鍵在於, 無需觸碰路由器,您就可以封鎖當今最受爭議的流量部分之一。.
從小就對科技充滿熱情。我喜歡了解該領域的最新動態,最重要的是,進行交流。這就是為什麼我多年來一直致力於技術和視頻遊戲網站的交流。您可以找到我撰寫的有關 Android、Windows、MacOS、iOS、任天堂或您想到的任何其他相關主題的文章。