DNS over HTTPS / TLS 如何保护隐私,提升网速?

1,636次阅读
没有评论

共计 2411 个字符,预计需要花费 7 分钟才能阅读完成。

从 iOS14&MacOS Big Sur 开始,苹果终于增加了对基于 HTTPS 的域名系统和基于 TLS 标准的域名系统的支持——也称为加密域名系统。

我们先了解一下基本原理,文末会提供如何配置 DOH 和 DOT 的说明,帮您解决网速慢,微信消息卡顿等问题。

那么什么是 DOH/DOT?

DNS over HTTPS / TLS 如何保护隐私,提升网速?

想象你正在使用公共 wifi 召开一个内部会议。

有多少人会知道你访问过过哪些网站?

  • 公共 wifi 的技术管理人员
  • 使用的宽带服务提供商(ISP)
  • 该网络所经过的所有 ISP/ 公司

在 2013 年之前,大多数流量都是通过 HTTP 发送的,没有任何加密。所以任何一个中间环节都能监控知道你访问了哪些网站。

现在,大多数流量都是加密的,这要归功于 HTTPS 和让我们能够加密。所有这些中间服务商虽然仍然可以看到你一直在访问某个网站——但是他们很难推断出具体是哪个页面。

那到底该用 HTTPS 还是 TLS?

如果是基于 HTTPS 的 DNS 查询,使用的是正常网页的 443 端口,中间商更难监控和审查 DNS 查询。追踪起来像普通的 HTTPS 流量,很难发现它,而基于 TLS 的 DNS 需要单独的端口 853,容易隔离排查。

虽然 DNS over TLS 可能更快,但是他的端口是独立的,因此即使请求和响应本身都已加密,具有网络可见性的任何人都能够发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的,隐蔽性和安全性更高。

所以,我在这里的建议是使用 DoH。

配置方法

以下通过腾讯的 DNSPOD 作为演示,

以上配置教程当中,是所有设备的配置方法,当然除了腾讯的 DNSPOD,国内外还有很多其他的 DNS 服务商地址,其他的可以参见:https://www.dongyao.ren/article/416.html

由于教程当中的安卓和 IOS 只能单独手动对单独的 wifi 进行配置,如果需要手机全局配置,可参见下方教程:

1、安卓

WLAN 和互联网 – 私人 DNS – 私人 DNS 提供商主机名称

使用 alidns 的话填  dns.alidns.com,使用 dnspod 的话,填写:dot.pub

安卓目前只支持到 dot,doh 需要第三方软件扩展,暂不推荐。

2、苹果 IOS

这里需要安装一个描述文件的配置项,github 有大神已经总结了国内外平台的配置文件。

国内主要使用 alidns 和 DNSPOD 这两家,ios 系统直接点击 https 下载,按照提示安装描述文件即可:

名称 区域 审查 备注 安装链接
360 安全 DNS 🇨🇳 由 360 数字安全集团运营 HTTPS
AdGuard DNS 默认 🇷🇺 由 AdGuard 运营,拦截广告、跟踪器和钓鱼网站 HTTPSTLS
AdGuard DNS 家庭保护 🇷🇺 由 AdGuard 运营,除默认规则外,额外拦截恶意软件和成人内容 HTTPSTLS
AdGuard DNS 无过滤 🇷🇺 由 AdGuard 运营,无过滤 HTTPSTLS
Alekberg 加密 DNS 🇳🇱 由个人提供 HTTPS
阿里云公共 DNS 🇨🇳 由阿里云计算运营 HTTPSTLS
BlahDNS CDN 过滤 🇺🇸 由个人提供,拦截广告、跟踪器和恶意软件 HTTPS
BlahDNS CDN 无过滤 🇺🇸 由个人提供,无过滤 HTTPS
BlahDNS 芬兰 🇫🇮 由个人提供,拦截广告、跟踪器和恶意软件 HTTPS
BlahDNS 德国 🇩🇪 由个人提供,拦截广告、跟踪器和恶意软件 HTTPS
BlahDNS 日本 🇯🇵 由个人提供,拦截广告、跟踪器和恶意软件 HTTPS
BlahDNS 新加坡 🇸🇬 由个人提供,拦截广告、跟踪器和恶意软件 HTTPS
BlahDNS 瑞士 🇨🇭 由个人提供,拦截广告、跟踪器和恶意软件 TLS
Canadian Shield 隐私 🇨🇦 由加拿大互联网注册局 (CIRA) 运营 HTTPSTLS
Canadian Shield 保护 🇨🇦 由加拿大互联网注册局 (CIRA) 运营,拦截恶意软件和钓鱼网站 HTTPSTLS
Canadian Shield 家庭 🇨🇦 由加拿大互联网注册局 (CIRA) 运营,拦截恶意软件、钓鱼网站和成人内容 HTTPSTLS
Cloudflare 1.1.1.1 🇺🇸 由 Cloudflare 运营 HTTPSTLS
Cloudflare 1.1.1.1 安全 🇺🇸 由 Cloudflare 运营,拦截恶意软件和钓鱼网站 HTTPS
Cloudflare 1.1.1.1 家庭 🇺🇸 由 Cloudflare 运营,拦截恶意软件、钓鱼网站和成人内容 HTTPS
DNSPod 公共 DNS 🇨🇳 由腾讯云计算旗下 DNSPod 运营 HTTPSTLS
谷歌公共 DNS 🇺🇸 由谷歌运营 HTTPSTLS
keweonDNS 🇩🇪 由 Aviontex. 拦截广告和跟踪器 HTTPSTLS
Mullvad DNS 🇸🇪 由 Mullvad VPN 运营 HTTPS
Mullvad DNS 广告过滤 🇸🇪 由 Mullvad VPN 运营,拦截广告和跟踪器 HTTPS
OpenDNS 标准 🇺🇸 由思科 OpenDNS 运营 HTTPS
OpenDNS 家庭防护 🇺🇸 由思科 OpenDNS 运营,拦截恶意软件和成人内容 HTTPS
Quad9 🇨🇭 由 Quad9 基金会运营,拦截恶意软件 HTTPSTLS
Quad9 ECS 🇨🇭 由 Quad9 基金会运营,支持 ECS,拦截恶意软件 HTTPSTLS
Tiarap 🇸🇬 🇺🇸 由 Tiarap 运营,拦截广告、跟踪器、钓鱼网站和恶意软件 HTTPSTLS
正文完
加入官方交流QQ群:778957856
post-qrcode
 0
clark
版权声明:本站原创文章,由 clark 于2023-01-03发表,共计2411字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)