传统的 DNS 查询就像你寄出一张没有信封的明信片,任何人都能看到你在问什么(你要访问什么网站),甚至能偷偷修改上面的答案,DNS 加密就是给这张明信片装上一个只有你和收件人能打开的加密信封。
1、隐私泄露:你的 ISP(网络服务提供商)、公共WiFi管理者、甚至网络路径上的攻击者,都能看到你所有的 DNS 查询记录,从而知道你访问了哪些网站。
2、内容篡改/劫持:中间人可以拦截你的 DNS 请求,并返回一个错误的 IP 地址(将银行网站导向钓鱼网站),或插入广告。
3、审查与屏蔽:通过拦截特定域名的 DNS 查询,可以实现网络屏蔽。
目前主流的有三种协议,它们都基于 TLS/HTTPS 技术:
| 协议 | 全称 | 端口 | 特点 |
| DoT | DNS over TLS | TCP 853 | 专门为 DNS 加密设计的端口,易于识别和过滤,安全性好。 |
| DoH | DNS over HTTPS | TCP 443 | 伪装成普通的 HTTPS 流量,难以被传统防火墙识别和屏蔽,隐私性最好。 |
| DoQ | DNS over QUIC | UDP 853 | 基于 QUIC 协议(HTTP/3 的基础),延迟更低,抗丢包能力更强,是新兴标准。 |
简单比喻:
传统 DNS用平信寄信。
DoT用带锁的专用快递箱寄信。
DoH把信藏在普通的快递包裹里寄出。
DoQ用更快的、带锁的专用快递箱寄信。
DoH 和DoT 是应用最广泛的两种方式。
你可以从不同层级来配置,从上到下影响范围依次增大。
1. 在单个设备/应用程序上设置(最灵活)
操作系统层面
Windows 11/10 设置 > 网络和 Internet > 以太网/Wi-Fi > 硬件属性 > DNS 服务器分配 > 编辑,选择“手动”,打开“仅限加密的 DNS(DNS over HTTPS)”,然后从下拉列表中选择一个提供商(如 Cloudflare、Google、Quad9)或输入自定义地址。
macOS 系统设置 > 网络 > 高级 > DNS,在 DNS 服务器列表中添加加密 DNS 服务器的地址(如1.1.1.1、8.8.8.8),但 macOS 对全局 DoH 的支持需要命令行或第三方工具,更推荐在浏览器或使用 App 设置。
iOS 设置 > Wi-Fi > 点击当前网络旁的i > 配置 DNS > 手动,添加加密 DNS 服务器地址(如1.1.1.1),iOS 14+ 原生支持 DoH/DoT,但配置通常需要安装描述文件或使用专门的 App(如1.1.1.1 App)。
Android 9+ 设置 > 网络和 Internet > 私人 DNS,选择“私人 DNS 提供商主机名”,然后输入一个 DoT 服务商的主机名,
* Cloudflare:1dot1dot1dot1.cloudflare-dns.com
* Google:dns.google
* Quad9:dns.quad9.net
浏览器层面(这只会影响该浏览器的 DNS 查询)
Firefox 设置 > 常规 > 网络设置 > 设置,在最下方勾选“启用基于 HTTPS 的 DNS”,并选择提供商或自定义。
Chrome/Edge 在浏览器地址栏输入chrome://flags/#dns-over-https 或edge://flags/#dns-over-https,将选项设置为Enabled。
使用客户端App
* 安装像Cloudflare 的 1.1.1.1、NextDNS、AdGuard 等提供的官方应用,这些应用通常一键就能为整个设备配置好加密 DNS(通常使用 DoH 或 DoT),非常方便。
2. 在路由器上设置(影响整个家庭/办公网络)
这是最推荐的方法,因为一旦配置,所有连接到该路由器的设备(手机、电脑、智能家居)都会自动使用加密 DNS,无需逐一设置。
1、 登录你的路由器管理后台(通常是在浏览器输入192.168.1.1 或192.168.0.1)。
2、 找到DHCP 设置、DNS 设置 或WAN 设置 部分。
3、 将 DNS 服务器地址修改为提供加密服务的 DNS 地址。注意:很多路由器不支持直接配置 DoH/DoT,它只是将地址告诉了客户端,要实现真正的路由器级加密,需要刷入开源固件(如OpenWrt)并安装相应的插件(如https-dns-proxy)。
常用公共加密 DNS 服务器地址(可添加到路由器或设备):
| 服务商 | 传统 DNS 地址 | DoT/DoH 主机名/地址 |
| Cloudflare | 1.1.1.1, 1.0.0.1 | DoH:https://cloudflare-dns.com/dns-queryDoT: 1dot1dot1dot1.cloudflare-dns.com |
| 8.8.8.8, 8.8.4.4 | DoH:https://dns.google/dns-queryDoT: dns.google | |
| Quad9 | 9.9.9.9 | DoH:https://dns.quad9.net/dns-queryDoT: dns.quad9.net |
| 阿里云 | 223.5.5.5, 223.6.6.6 | DoH:https://dns.alidns.com/dns-queryDoT: dns.alidns.com |
| DNSPod | 119.29.29.29 | DoH:https://doh.pub/dns-query |
一些高级服务如NextDNS、Control D、AdGuard Home 提供了基于加密 DNS 的强大功能,包括:
自定义过滤规则(屏蔽广告、跟踪器、成人内容等)
查看详细的 DNS 查询日志
家长控制
它们通常提供易于配置的客户端和路由器指南。
信任问题 加密 DNS 只是保护了查询过程,但 DNS 服务器本身依然能看到你的请求,选择一个可信赖的 DNS 服务商非常重要,公共服务器(如 Cloudflare, Quad9)承诺不记录用户日志,比你的 ISP 可能更注重隐私。
性能 加密解密会带来极小的延迟,但优质的服务器通常能通过更快的响应速度来弥补,甚至比本地 ISP 的 DNS 更快。
兼容性 一些企业或学校网络可能会主动屏蔽 DoT(端口853)或已知的 DoH 端点,以实施其网络策略。
对于普通用户 最快的方法是下载Cloudflare 1.1.1.1 或AdGuard 这类 App,一键开启,或者在浏览器中启用 DoH。
对于家庭用户 最彻底的方法是在支持加密 DNS 的路由器上进行配置,一劳永逸地保护所有设备。
对于进阶用户 可以考虑使用NextDNS 等服务,获得过滤和监控等额外功能。
启用 DNS 加密是提升个人网络隐私和安全性的一个简单而有效的步骤。
文章摘自:https://idc.huochengrm.cn/dns/23757.html
评论
力芸熙
回复DNS加密可以通过DNS over TLS/DTLS或DNS over HTTPS等协议实现,确保数据传输安全。
公叔听筠
回复DNS加密可以通过使用 DNS 协议的扩展如 DNSCrypt 或 DoH(HTTP over HTTPS)实现,DNSEcrypt 用于对查询进行端到端加密封装,而DoT则是通过HTTPS协议传输已封装的dns数据以实现安全通信和隐私保护等目的 。
明逸思
回复DNS加密可以通过DNS-over-HTTPS、DNS-over-TLS等技术实现,确保数据传输安全。
窦芊
回复DNS加密可通过DNS-over-HTTPS或DNS-over-TLS等技术实现,保障数据传输安全。