共计 2411 个字符,预计需要花费 7 分钟才能阅读完成。
从 iOS14&MacOS Big Sur 开始,苹果终于增加了对基于 HTTPS 的域名系统和基于 TLS 标准的域名系统的支持——也称为加密域名系统。
我们先了解一下基本原理,文末会提供如何配置 DOH 和 DOT 的说明,帮您解决网速慢,微信消息卡顿等问题。
那么什么是 DOH/DOT?
想象你正在使用公共 wifi 召开一个内部会议。
有多少人会知道你访问过过哪些网站?
- 公共 wifi 的技术管理人员
- 使用的宽带服务提供商(ISP)
- 该网络所经过的所有 ISP/ 公司
在 2013 年之前,大多数流量都是通过 HTTP 发送的,没有任何加密。所以任何一个中间环节都能监控知道你访问了哪些网站。
现在,大多数流量都是加密的,这要归功于 HTTPS 和让我们能够加密。所有这些中间服务商虽然仍然可以看到你一直在访问某个网站——但是他们很难推断出具体是哪个页面。
那到底该用 HTTPS 还是 TLS?
如果是基于 HTTPS 的 DNS 查询,使用的是正常网页的 443 端口,中间商更难监控和审查 DNS 查询。追踪起来像普通的 HTTPS 流量,很难发现它,而基于 TLS 的 DNS 需要单独的端口 853,容易隔离排查。
虽然 DNS over TLS 可能更快,但是他的端口是独立的,因此即使请求和响应本身都已加密,具有网络可见性的任何人都能够发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的,隐蔽性和安全性更高。
所以,我在这里的建议是使用 DoH。
配置方法
以下通过腾讯的 DNSPOD 作为演示,
- DoH 与 DoT 说明
- Android(安卓)设备接入 DoT
- Windows 接入公共解析 Public DNS
- Edge 浏览器接入公共解析 Public DNS
- Opera 浏览器接入公共解析 Public DNS
- FireFox 浏览器接入公共解析 Public DNS
- Chrome 浏览器接入公共解析 Public DNS
- Linux 系统接入公共解析 Public DNS
- iOS 系统接入公共解析 Public DNS
- Android 接入公共解析 Public DNS
- macOS 系统接入公共解析 Public D
以上配置教程当中,是所有设备的配置方法,当然除了腾讯的 DNSPOD,国内外还有很多其他的 DNS 服务商地址,其他的可以参见:https://www.dongyao.ren/article/416.html
由于教程当中的安卓和 IOS 只能单独手动对单独的 wifi 进行配置,如果需要手机全局配置,可参见下方教程:
1、安卓
WLAN 和互联网 – 私人 DNS – 私人 DNS 提供商主机名称
使用 alidns 的话填 dns.alidns.com,使用 dnspod 的话,填写:dot.pub
安卓目前只支持到 dot,doh 需要第三方软件扩展,暂不推荐。
2、苹果 IOS
这里需要安装一个描述文件的配置项,github 有大神已经总结了国内外平台的配置文件。
国内主要使用 alidns 和 DNSPOD 这两家,ios 系统直接点击 https 下载,按照提示安装描述文件即可:
| 名称 | 区域 | 审查 | 备注 | 安装链接 |
|---|---|---|---|---|
| 360 安全 DNS | 🇨🇳 | 是 | 由 360 数字安全集团运营 | HTTPS |
| AdGuard DNS 默认 | 🇷🇺 | 是 | 由 AdGuard 运营,拦截广告、跟踪器和钓鱼网站 | HTTPS, TLS |
| AdGuard DNS 家庭保护 | 🇷🇺 | 是 | 由 AdGuard 运营,除默认规则外,额外拦截恶意软件和成人内容 | HTTPS, TLS |
| AdGuard DNS 无过滤 | 🇷🇺 | 否 | 由 AdGuard 运营,无过滤 | HTTPS, TLS |
| Alekberg 加密 DNS | 🇳🇱 | 否 | 由个人提供 | HTTPS |
| 阿里云公共 DNS | 🇨🇳 | 否 | 由阿里云计算运营 | HTTPS, TLS |
| BlahDNS CDN 过滤 | 🇺🇸 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | HTTPS |
| BlahDNS CDN 无过滤 | 🇺🇸 | 否 | 由个人提供,无过滤 | HTTPS |
| BlahDNS 芬兰 | 🇫🇮 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | HTTPS |
| BlahDNS 德国 | 🇩🇪 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | HTTPS |
| BlahDNS 日本 | 🇯🇵 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | HTTPS |
| BlahDNS 新加坡 | 🇸🇬 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | HTTPS |
| BlahDNS 瑞士 | 🇨🇭 | 是 | 由个人提供,拦截广告、跟踪器和恶意软件 | TLS |
| Canadian Shield 隐私 | 🇨🇦 | 否 | 由加拿大互联网注册局 (CIRA) 运营 | HTTPS, TLS |
| Canadian Shield 保护 | 🇨🇦 | 是 | 由加拿大互联网注册局 (CIRA) 运营,拦截恶意软件和钓鱼网站 | HTTPS, TLS |
| Canadian Shield 家庭 | 🇨🇦 | 是 | 由加拿大互联网注册局 (CIRA) 运营,拦截恶意软件、钓鱼网站和成人内容 | HTTPS, TLS |
| Cloudflare 1.1.1.1 | 🇺🇸 | 否 | 由 Cloudflare 运营 | HTTPS, TLS |
| Cloudflare 1.1.1.1 安全 | 🇺🇸 | 是 | 由 Cloudflare 运营,拦截恶意软件和钓鱼网站 | HTTPS |
| Cloudflare 1.1.1.1 家庭 | 🇺🇸 | 是 | 由 Cloudflare 运营,拦截恶意软件、钓鱼网站和成人内容 | HTTPS |
| DNSPod 公共 DNS | 🇨🇳 | 否 | 由腾讯云计算旗下 DNSPod 运营 | HTTPS, TLS |
| 谷歌公共 DNS | 🇺🇸 | 否 | 由谷歌运营 | HTTPS, TLS |
| keweonDNS | 🇩🇪 | 否 | 由 Aviontex. 拦截广告和跟踪器 | HTTPS, TLS |
| Mullvad DNS | 🇸🇪 | 是 | 由 Mullvad VPN 运营 | HTTPS |
| Mullvad DNS 广告过滤 | 🇸🇪 | 是 | 由 Mullvad VPN 运营,拦截广告和跟踪器 | HTTPS |
| OpenDNS 标准 | 🇺🇸 | 否 | 由思科 OpenDNS 运营 | HTTPS |
| OpenDNS 家庭防护 | 🇺🇸 | 是 | 由思科 OpenDNS 运营,拦截恶意软件和成人内容 | HTTPS |
| Quad9 | 🇨🇭 | 是 | 由 Quad9 基金会运营,拦截恶意软件 | HTTPS, TLS |
| Quad9 ECS | 🇨🇭 | 是 | 由 Quad9 基金会运营,支持 ECS,拦截恶意软件 | HTTPS, TLS |
| Tiarap | 🇸🇬 🇺🇸 | 是 | 由 Tiarap 运营,拦截广告、跟踪器、钓鱼网站和恶意软件 | HTTPS, TLS |
