dns-over-https-doh.png

I. DNS-over-HTTPS (DoH)是什么

自从1987年DNS诞生以来,它就一直处于未加密状态。您的设备与解析器之间的每个人都可以监听甚至修改您的DNS查询和响应。这包括您本地Wi-Fi网络中的任何人,您的互联网服务提供商(ISP)和传输提供商。这可能会披露您访问的域名从而威胁您的隐私。 via Cloudflare_利用DoH,DoT加密DNS,保护DNS查询及响应

DNS over HTTPS(缩写:DoH)是一个进行安全化的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求,避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击)来达到保护用户隐私的目的**。Google及Mozilla基金会正在测试此协议,提高网络安全性。 via 维基百科

II. 可用的DNS服务器列表(支持DoT)

DNS服务器(支持DoT) 服务商 备注
223.5.5.5 or 223.6.6.6 Alidns 参阅
8.8.8.8 or 8.8.4.4 2001:4860:4860::8888 or 2001:4860:4860::8844 Google 参阅
1.1.1.1 or 1.0.0.1 2606:4700:4700::1111 or 2606:4700:4700::1001 Cloudflare 参阅
94.140.14.14 or 94.140.15.15 for "Default"; Adguard 参阅
94.140.14.15 or 94.140.15.16 for "Family protection". Adguard 参阅

via DNS-over-TLS (DoT)

所有 DNS 服务器都属于以下四个类别之一:递归解析器根域名服务器TLD 域名服务器权威性域名服务器。在典型 DNS 查找中(当没有正在进行的高速缓存时),这四个 DNS 服务器协同工作来完成将指定域的 IP 地址提供给客户端的任务(客户端通常是一个存根解析器 - 内置于操作系统的简单解析器)。

via 1.DNS 服务器类型;2.DNS 服务器类型_DNS 递归解析器_DNS域名服务器.pdf
3.什么是 DNS_DNS的工作方式_DNS高速缓存的工作方式.pdf
4.基于 HTTPS 的 DNS 和基于 TLS 的 DNS _ 安全 DNS.pdf

III. 可用的DoH服务器列表(DNS-over-HTTPS)

可用的 DNS-over-HTTPS (DoH) 解析服务完整参阅:传送门

DoH服务器(URL) 服务商 备注
https://dns.alidns.com/dns-query Alidns 参阅
https://cloudflare-dns.com/dns-query Cloudflare 参阅
https://mozilla.cloudflare-dns.com/dns-query Cloudflare 参阅
https://dns.google/dns-query Google 参阅
https://dns.adguard.com/dns-query Adguard 参阅
https://dns-family.adguard.com/dns-query Adguard 参阅

IV. 为你的浏览器配置DoH(Chrome)

DoH_illustration_2.png

图 via A safer and more private browsing experience with Secure DNS;

为Chrome配置DoH以加密DNS查询

好消息是 Chrome在新版本中已经内置 Cloudflare、Google、OpenDNS、CleanBrowsing DOH服务器,启用DOH时直接勾选即可;参阅

Chrome - Doh - Settings.png

1.浏览器地址栏复制并打开 chrome://settings/security

2.如上图所示进行设置 - 设置 - 隐私设置与安全性 - 高级 - 使用安全DNS - 开启按钮,博主选用的是 Cloudflare 提供的服务;

V. 为你的浏览器配置DoH(Firefox/Edge/Brave/Safari)

由于博主不使用该系列浏览器,故请大家参阅:Configure your browser to use DNS over HTTPS

As of today, Safari does not support DNS over HTTPS.

VI. 为你的代理软件配置DoH(QuantumultX)

据说 Clash系列软件也支持DoH了;

为 Quantumult X 配置DoH

即使配置了Doh,但其服务并不一定总是可用;(建议优先使用国内DoH服务器,如Alidns);

Quantumult X 示例文件说明:

#
# The DNS servers fetched from current network(system) will always be used for better performance(you can disable this feature by using "no-system", but you should at least add one customized DNS server like "server=223.5.5.5").
# When no-ipv6 is set, the DNS module of Quanumult X Tunnel will directly let the AAAA query fail but still allow the A query from IPv6 DNS servers.
# The result of query will only be used for evaluating filter or connecting through direct policy, when connecting through server the result will not be used and Quantumult will never know the destination IP of related domain.
# When doh-server is set, all other regular(has no specific domain related to it) servers will be ignored.
# When multiple doh-server(s) are set, only the first will be used.
# When the doh-server in use is NOT based on HTTP/2, the DoH will be temporarily disabled and the regular servers will be used until next start of the VPN connection.
# Specially directly set 127.0.0.1 for a domain is not allowed in here. if you want some domain(eg: example.com) to be 127.0.0.1, just add "host, example.com, reject" to the "filter_local" section. The reject action will return DNS response with 127.0.0.1 to the query.

如果配置了 doh-server,则会优先使用 doh-server;从当前网络(系统)获取的 DNS 服务器将始终用于更好的性能(您可以使用“no-system”禁用此功能,但您至少应该添加一个自定义的 DNS 服务器,例如“server=223.5.5.5” )。

1.进入Qx 配置文件 - 点击编辑,找到[dns]配置项;参考如下;

[dns]
no-system
server=8.8.8.8
server=1.1.1.1
server=223.5.5.5
server=114.114.114.114
server=119.29.29.29
doh-server=https://cloudflare-dns.com/dns-query
#doh-server=https://dns.alidns.com/dns-query
#doh-server=https://dns.google/dns-query
#doh-server=https://dns-family.adguard.com/dns-query
address=/mb3admin.com/47.241.39.199
address=/limbopro.com/104.27.146.173
address=/limbopro.com/104.27.147.173
address=/limbopro.com/104.27.148.173
address=/raw.githubusercontent.com/185.199.110.133

如何查看DoH是否生效(QX)

配置是否有效?可在 Qx主界面 - 找到 DNS记录 模块;

DNS记录.png

以上。

VII. 如何检测DoH配置成功

1.点击 https://1.1.1.1/help
2.点击 https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/

VIII. 附注(一些文献参考)

Cloudflare_利用DoH,DoT加密DNS,保护DNS查询及响应
DNS Privacy Public Resolvers;(可用的DNS服务器及DoH解析服务);

最后修改:2021 年 07 月 12 日 10 : 56 AM