如何在中国的 Windows 11 机器上使用 DNS Over HTTPS (DoH) 提升网络安全

在互联网日益成为生活中不可或缺的部分时，网络安全和隐私保护变得尤为重要。DNS Over HTTPS (DoH) 是一种提升网络安全性的技术，它可以帮助用户避免 ISP（网络服务提供商）的 DNS 污染，保护你的网络请求不被窥视。

本文将指导你如何在 Windows 11 系统中配置和使用 DoH。

为什么选择 DNS Over HTTPS？

想象你（用户）是一位开车前往陌生地方的司机。为了找到目的地，你需要向路人（DNS 服务器）询问路线。在这个过程中，存在两个主要风险，类似于我们网络世界中的 DNS 污染和 DNS 劫持：

1. DNS污染 相当于你向路人询问去图书馆的路，但故意给你指错方向，让你根本到不了图书馆。这是因为有人不希望你到达那里，通过故意“污染”你获得的指引，使你无法到达正确的目的地。

2. DNS劫持 则更加狡猾，这就像你问路时，有人故意引导你到一个看起来很像你要去的地方的假冒地点。这个地方可能是一个假的商店，他们想要你在那里消费，或者更糟糕的是，抢劫你。这样，他们不仅误导了你的方向，还可能让你遭受损失或危险。

sequenceDiagram
    participant U as 用户设备
    participant D as DNS客户端
    participant R as DNS解析器
    participant I as 互联网资源

    U->>D: 发起DNS查询请求
    Note over U,D: 查询请求明文传输

    D->>R: 发送DNS查询
    Note over D,R: 传输过程可能被监听

    R->>I: 向互联网资源发起DNS查询
    I-->>R: 返回DNS查询结果

    R-->>D: 发送DNS查询结果
    Note over R,D: 响应同样明文传输

    D-->>U: 返回DNS查询结果
    Note over U,D: 查询结果可能被篡改

在这两种情况下，你作为司机因为信任了错误的信息，结果可能完全偏离了预期的目的地。这就是为什么在互联网世界中，使用加密的DNS查询，比如 DNS Over HTTPS（DoH），非常重要。它就像是一个可靠的、更新的 GPS 导航系统，即使在你完全不熟悉的地方，也能确保你安全、准确地到达目的地，而不会被误导或陷入危险。

sequenceDiagram
    participant U as 用户设备
    participant D as DoH客户端
    participant S as DoH服务端
    participant I as 互联网资源

    U->>D: 发起DNS查询请求
    D->>S: 通过HTTPS发送加密的DNS查询
    Note over D,S: 查询内容被SSL/TLS加密

    S->>S: 解析DNS查询
    S->>I: 向互联网资源发起DNS查询
    I-->>S: 返回DNS查询结果

    S->>D: 通过HTTPS发送加密的DNS查询结果
    Note over S,D: 响应内容同样被SSL/TLS加密
    D-->>U: 返回解密后的DNS查询结果
    Note over U,D: 用户设备获得加密且安全的查询结果

如何配置 DNS Over HTTPS？

腾讯云（DNSpod）提供的 免费 DoH 服务，为用户在中国提供了一种简便的解决方案。

基础免费服务

• DoH 地址：https://doh.pub/dns-query
• DoH（IP）：https://1.12.12.12/dns-query 、 https://120.53.53.53/dns-query
• DoT 地址：dot.pub
• DoT（IP）：1.12.12.12、120.53.53.53

接下来，我将指导你如何在 Windows 11 上配置腾讯云（DNSpod）的 DoH 服务。

1. 打开网络设置

首先，点击任务栏右下角的网络图标，然后点击“网络和Internet”设置。根据你的网络连接类型选择“以太网”或者“WiFi”。本指南以WiFi为例。

2. 修改DNS设置

在 WiFi 设置页面，找到你当前连接的网络，点击“属性”，滚动找到“DNS 服务器设置”部分，点击“编辑”按钮。在这里，我们将修改DNS的配置。

3. 设置DNS Over HTTPS

在打开的窗口中，将“设置IP地址”选项从“自动”更改为“手动”。接着，启用 IPv4，并填写下面的DNS地址：

• 首选 DNS
  • 1.12.12.12
  • DNS over HTTPS：打开（手动模板）
  • DNS over HTTPS 模板：https://doh.pub/dns-query
• 备用 DNS
  • 120.53.53.53
  • DNS over HTTPS：打开（手动模板）
  • DNS over HTTPS 模板：https://doh.pub/dns-query

为确保你的DNS Over HTTPS (DoH)设置已经成功并生效，你可以通过几个简单的命令行步骤来进行验证。这里是如何使用Windows的命令提示符（cmd）或PowerShell来检查DoH配置的完整指南：

检查 DoH 配置是否生效

1. 打开 Command Prompt（cmd.exe）或 PowerShell。

2. 清除 DNS 缓存：

   • 首先，你需要清空你电脑上的 DNS 解析缓存。这可以确保你的检查是基于最新的 DNS 配置。在命令行中输入以下命令：

   ipconfig /flushdns

   • 你会看到一个确认信息，说明 DNS 解析缓存已经成功清除。

3. 使用 nslookup 命令进行 DNS 查询测试：

   • 接下来，使用 nslookup 命令来查询一个网站的DNS信息。这个命令会显示处理你的 DNS 查询的服务器信息。输入例如：

   nslookup blog.haysc.tech

   • 替换 blog.haysc.tech 为你想查询的任何域名。

4. 检查命令回文：

   • 在命令执行后，检查输出信息。如果一切设置正确，你应该会看到 Server: pdns.dnspod.cn，以及一个腾讯云（DNSpod）的IP地址。

   例如，输出看起来可能像这样：

   Server:  pdns.dnspod.cn
   Address:  119.29.29.29
   
   Non-authoritative answer:
   Name:    hayschan.netlify.app
   Addresses:  2406:da18:b3d:e200::64
             2406:da18:880:3801::c8
             13.215.144.61
             13.228.199.255
   Aliases:  blog.haysc.tech

   pdns.dnspod.cn 和获得的 IP 地址表明你的 DNS 查询是通过腾讯云的DoH服务进行的。

结论

通过使用 DNS Over HTTPS，你可以有效地防止 ISP 的 DNS 污染和提高上网的隐私性。腾讯云的 DoH 服务为中国用户提供了一个可靠且易于配置的选项。通过上述步骤，你可以轻松在 Windows 11 系统中配置 DoH，享受更加安全、私密的互联网访问体验。