共计 2613 个字符,预计需要花费 7 分钟才能阅读完成。
从 iOS14&MacOS Big Sur 开始,苹果终于增加了对基于 HTTPS 的域名系统和基于 TLS 标准的域名系统的支持——也称为加密域名系统。
我们先了解一下基本原理,文末会提供如何配置 DOH 和 DOT 的说明,帮您解决网速慢,微信消息卡顿等问题。
那么什么是 DOH/DOT?
想象你正在使用公共 wifi 召开一个内部会议。
有多少人会知道你访问过过哪些网站?
- 公共 wifi 的技术管理人员
- 使用的宽带服务提供商(ISP)
- 该网络所经过的所有 ISP/ 公司
在 2013 年之前,大多数流量都是通过 HTTP 发送的,没有任何加密。所以任何一个中间环节都能监控知道你访问了哪些网站。
现在,大多数流量都是加密的,这要归功于 HTTPS 和让我们能够加密。所有这些中间服务商虽然仍然可以看到你一直在访问某个网站——但是他们很难推断出具体是哪个页面。
那到底该用 HTTPS 还是 TLS?
如果是基于 HTTPS 的 DNS 查询,使用的是正常网页的 443 端口,中间商更难监控和审查 DNS 查询。追踪起来像普通的 HTTPS 流量,很难发现它,而基于 TLS 的 DNS 需要单独的端口 853,容易隔离排查。
虽然 DNS over TLS 可能更快,但是他的端口是独立的,因此即使请求和响应本身都已加密,具有网络可见性的任何人都能够发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的,隐蔽性和安全性更高。
所以,我在这里的建议是使用 DoH。
配置方法
以下通过腾讯的 DNSPOD 作为演示,
- DoH 与 DoT 说明
- Android(安卓)设备接入 DoT
- Windows 接入公共解析 Public DNS
- Edge 浏览器接入公共解析 Public DNS
- Opera 浏览器接入公共解析 Public DNS
- FireFox 浏览器接入公共解析 Public DNS
- Chrome 浏览器接入公共解析 Public DNS
- Linux 系统接入公共解析 Public DNS
- iOS 系统接入公共解析 Public DNS
- Android 接入公共解析 Public DNS
- macOS 系统接入公共解析 Public D
以上配置教程当中,是所有设备的配置方法,当然除了腾讯的 DNSPOD,国内外还有很多其他的 DNS 服务商地址,其他的可以参见:https://www.dongyao.ren/article/416.html
由于教程当中的安卓和 IOS 只能单独手动对单独的 wifi 进行配置,如果需要手机全局配置,可参见下方教程:
1、安卓
WLAN 和互联网 – 私人 DNS – 私人 DNS 提供商主机名称
使用 alidns 的话填 dns.alidns.com,使用 dnspod 的话,填写:dot.pub
安卓目前只支持到 dot,doh 需要第三方软件扩展,暂不推荐。
2、苹果 IOS
这里需要安装一个描述文件的配置项,github 有大神已经总结了国内外平台的配置文件。
国内主要使用 alidns 和 DNSPOD 这两家,ios 系统直接点击 https 下载,按照提示安装描述文件即可:
| Name | Country | Censorship | Notes | Install button |
|---|---|---|---|---|
| AdGuard Default | 🇷🇺 | Yes | Operated by AdGuard (Filters ads, tracking & phishing) | HTTPS, TLS |
| AdGuard Family | 🇷🇺 | Yes | Operated by AdGuard (Filters Default + malware & adult content) | HTTPS, TLS |
| AdGuard No Filter | 🇷🇺 | No | Operated by AdGuard (Non-filtering) | HTTPS, TLS |
| AliDNS | 🇨🇳 | Yes | Operated by Alibaba in China | HTTPS, TLS |
| Alekberg | 🇳🇱 | No | Independent hoster in Netherlands | HTTPS |
| BlahDNS CDN Filtered | 🇺🇸 | Yes | Independent | HTTPS |
| BlahDNS CDN Unfiltered | 🇺🇸 | No | Independent | HTTPS |
| BlahDNS Finland Adsblock | 🇫🇮 | Yes | Independent | HTTPS |
| BlahDNS Germany Adsblock | 🇩🇪 | Yes | Independent | HTTPS |
| BlahDNS Japan Adsblock | 🇯🇵 | Yes | Independent | HTTPS |
| BlahDNS Singapore Adsblock | 🇸🇬 | Yes | Independent | HTTPS |
| BlahDNS Swiss Adsblock | 🇨🇭 | Yes | Independent | TLS |
| Canadian Shield Private | 🇨🇦 | No | Operated by the Canadian Internet Registration Authority (CIRA) | HTTPS, TLS |
| Canadian Shield Protected | 🇨🇦 | Yes | Filters malware | HTTPS, TLS |
| Canadian Shield Family | 🇨🇦 | Yes | Filters malware & adult content | HTTPS, TLS |
| Cloudflare | 🇺🇸 | No | Operated by Cloudflare 1.1.1.1 | HTTPS, TLS |
| Cloudflare Malware | 🇺🇸 | Yes | Filters malware | HTTPS |
| Cloudflare Family | 🇺🇸 | Yes | Filters malware & adult content | HTTPS |
| DNSPod | 🇨🇳 | Yes | Operated by DNSPod (Tencent) in China | HTTPS, TLS |
| 🇺🇸 | No | Operated by Google | HTTPS, TLS | |
| OpenDNS | 🇺🇸 | No | Operated by OpenDNS | HTTPS |
| OpenDNS Family | 🇺🇸 | Yes | Filters malware & adult content | HTTPS |
| Quad9 | 🇨🇭 | Yes | Operated by CleanerDNS, Inc. Filters malware | HTTPS, TLS |
| Quad9 With ECS | 🇨🇭 | Yes | Operated by CleanerDNS, Inc. Filters malware | HTTPS, TLS |
| Tiar.app | 🇸🇬 🇺🇸 | Yes | “Privacy-first DNS provider” from SG, hosted on Digital Ocean. Filters malware | HTTPS, TLS |
