在 Windows 11 中配置安全 DNS,设置 DoH
当你在浏览器地址栏输入网站名称,进行访问网站时,浏览器发送您的请求到 DNS 服务器。DNS 服务器把域名解析成 IP 地址,然后指向 IP 地址所在的网站服务器,进行访问。
几十年来,从您的计算机传输到该 DNS 服务器,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很容易拦截用户的 DNS,将用户的请求跳转到另一个地址,入侵者可以截取您所访问的网站的信息并利用它。常见的攻击方法有 DNS 劫持和 DNS 污染。因此,使用不加密的 DNS 服务是不安全的。
要防止此类事情发生,该信息应该通过 HTTPS 协议传输。接收和分析此类请求的服务器叫 DNS over HTTPS(或 DoH)服务器。使用的 DoH 的优势有很多,防止运营商的 DNS 劫持,防止上网隐私泄露等。
目前 windows 11 系统支持加密 DNS(安全 DNS),已支持原生支持 DoH。而且自 Edge/Chrome 109 起,安全 DNS 默认启用,当路由器不支持时会出现证书错误的问题,此时要么关闭浏览器的安全 DNS,要么指定网络适配器的 DNS。
国外公共 DNS 服务器
在windows 11 中,已经内置国外的公共 DNS 服务器。使用 cmd 或者 Windows Powershell 查看命令:
netsh dns show encryption
| 提供者 | IPv4 | IPv6 | DoH 地址 |
|---|---|---|---|
| Cloudflare DNS 首选 | 1.1.1.1 | 2606:4700:4700::1111 | https://cloudflare-dns.com/dns-query |
| Cloudflare DNS 备用 | 1.0.0.1 | 2606:4700:4700::1001 | https://cloudflare-dns.com/dns-query |
| 谷歌 DNS 首选 | 8.8.8.8 | 2001:4860:4860::8888 | https://dns.google/dns-query |
| 谷歌 DNS 备用 | 8.8.4.4 | 2001:4860:4860::8844 | https://dns.google/dns-query |
| Quad9 DNS 首选 | 9.9.9.9 | 2620:fe::fe | https://dns.quad9.net/dns-query |
| Quad9 DNS 备用 | 149.112.112.112 | 2620:fe::fe:9 | https://dns.quad9.net/dns-query |
国内公共 DNS 服务器
| 提供者 | IPv4 | IPv6 | DoH 地址 |
|---|---|---|---|
| 阿里 DNS 首选 | 223.5.5.5 | 2400:3200::1 | https://dns.alidns.com/dns-query |
| 阿里 DNS 备用 | 223.6.6.6 | 2400:3200:baba::1 | https://dns.alidns.com/dns-query |
| 腾讯 DNS | 119.29.29.29 | 2402:4e00:: | https://doh.pub/dns-query |
如果把国内支持 DNS(DoH)加密的服务器添加到 Windows 列表中,比如把阿里的 DNS 加入到 windows 的 DNS 服务器列表中,在 cmd 或者 Windows Powershell 命令行工具中,执行如下命令:
netsh dns add encryption 223.5.5.5 "https://dns.alidns.com/dns-query" no no
配置 DNS、DoH
打开系统【设置】,选择【网络和Internet】,若是工作环境或者家庭无线路由上网,选择【WLAN】,若是以太网链接网络,选择【以太网】。
然后选择【硬件属性】,再然后点【编辑】。
再然后填写上,阿里云的 DNS、DoH,以及 Google的 DNS、DoH。最后【保存】
