今天我花了三個小時仔細研究了windows的DNS加密(DoH)相關的內容,最終成功開啟了國內可用的DNS加密功能,如果你還不知道什么是DoH并對原理感興趣,可以參考這篇文章:
https://zhuanlan.zhihu.com/p/365093156,話不多說,上干貨。
前置條件
- Windows 11系統(build2200及以上)
- Windows 10 系統(build19628及以上),如果版本號達不到,需要加入Windows 10 預覽版才行
核心目標
我需要一個一勞永逸的保障DNS安全的方案,此次Windows添加的DNS功能就是個很好的契機,所以開始之前,我設定了兩個核心目標:
- 安全可靠(防DNS污染)
- 速度快且穩定(要支持EDNS,防止國內網站被解析到外面)
考慮到8.8.8.8(或1.1.1.1)的特殊情況,這次我選擇了OpenDNS的公共服務(208.67.222.222;208.67.220.220),在國內能有200ms的穩定ping值(聯通網絡),并且路由線路比較好。
當然你也可以選擇國內的一些支持DoH服務商(比如223.5.5.5),速度會更快一些。
設置步驟
設置的時候我發現Windows11 只支持少數幾個DoH服務商(比如8.8.8.8等),難道就無法自定義嗎?然后我進一步研究嘗試出了自定義的方法(此篇文章的含金量就在這里)
1.首先我們windows鍵+x以管理員身份打開一個Windows終端(其實就是PowerShell)
2.然后看一下Windows默認支持的有哪些DoH服務商
(除了Quad9,其它的知名DNS服務商因為特殊原因大家都無法使用DoH,但是Quad9的DNS服務線路不佳,請求容易失敗)
3.接下來我們添加OpenDNS作為加密DNS服務商模板:
netsh dns add encryption 208.67.220.220 "https://208.67.220.220/dns-query" no no
netsh dns add encryption 208.67.222.222 "https://208.67.222.222/dns-query" no no
4.我們netsh dns show encryption再確認一下:
5.接下來打開“網絡和Internet設置”,選擇以太網(如果電腦是用的Wifi就選Wifi),點擊編輯(編輯DNS服務)
6.在這里我們手動設置DNS服務器為208.67.220.220和208.67.222.222,這里我們為了驗證DoH效果,選擇了“僅加密(通過HTTPS的DNS)”,你也可以選擇“已加密的首選、未加密的允許”以實現DNS回滾(回滾的時候就又是訪問的53端口的常規DNS了)
7.Ipconfig /flushdns 清理一下DNS緩存
8.打開瀏覽器看一下是否可以正常訪問網站,如果一切正常,我們便用上了系統級別的DNS安全服務(以前我是在瀏覽器里單獨設置DoH的),如果失敗,則會出現無法獲取DNS解析的情況(需要仔細檢查一下操作步驟)。
結語
DNS服務安全至關重要,如果你對目前的上網環境不是很滿意,懷疑可能有DNS污染問題,不妨按照本文的方法一試,如果有幫到你一點點,給個贊唄!如果你有更多問題,我們評論區見。
