1. 为什么我们需要加密DNS最近两年我身边越来越多的朋友遇到这样的问题明明网络连接正常但某些技术网站就是打不开或者加载速度异常缓慢。我自己也经常遇到GitHub仓库克隆失败、Stack Overflow页面卡在加载状态的情况。一开始以为是网络波动后来排查才发现问题出在DNS解析环节——我们的域名查询请求被中间人悄悄篡改了。这就是典型的DNS污染现象。传统DNS查询就像在邮局寄明信片所有人都能看到你写了什么甚至能偷偷修改内容。而DoHDNS over HTTPS和DoTDNS over TLS技术相当于给明信片加了防拆信封让域名解析过程变得私密且不可篡改。实测下来启用加密DNS后GitHub仓库克隆成功率从60%提升到98%技术文档加载时间平均减少40%再没遇到过网页被莫名跳转到广告页面的情况2. 主流加密DNS服务横评2.1 服务商对比表服务商DoH地址DoT地址特点延迟测试(ms)Cloudflarehttps://1.1.1.1/dns-query1dot1dot1dot1.cloudflare-dns.com全球节点多响应快28Googlehttps://dns.google/dns-querydns.google整合Google基础设施35Quad9https://dns.quad9.net/dns-querydns.quad9.net恶意域名过滤42AdGuardhttps://dns-unfiltered.adguard.com/dns-queryunfiltered.adguard-dns.com广告拦截隐私保护382.2 个人实测推荐经过三个月轮换测试我最推荐这两个组合方案开发场景Cloudflare Quad9备用解析技术类域名最稳定实测GitHub的API响应速度提升明显日常浏览AdGuard Google备用自动过滤广告追踪器视频网站的前贴片广告减少90%3. 全平台配置指南3.1 Windows系统设置Win10/11内置了DoH支持但微软把它藏得比较深右键网络图标 → 打开网络和Internet设置进入更改适配器选项右键当前连接 → 属性 → 双击Internet协议版本4(TCP/IPv4)在高级设置中选择DNS标签页勾选使用以下DNS服务器地址填入首选1.1.1.1备用8.8.8.8以管理员身份运行CMD执行netsh dns add encryption server1.1.1.1 dohtemplatehttps://1.1.1.1/dns-query netsh dns add encryption server8.8.8.8 dohtemplatehttps://dns.google/dns-query3.2 macOS配置技巧苹果系统从Big Sur开始原生支持DoH打开系统偏好设置 → 网络选中当前连接 → 高级 → DNS点击左下角添加服务器1.1.1.1dns.google新建配置文件?xml version1.0? !DOCTYPE plist PUBLIC -//Apple//DTD PLIST 1.0//EN http://www.apple.com/DTDs/PropertyList-1.0.dtd plist version1.0 dict keyServerConfigurations/key dict keyCloudflare/key dict keyDNSProtocol/key stringDoH/string keyServerURL/key stringhttps://1.1.1.1/dns-query/string /dict /dict /dict /plist保存为/etc/resolver/dns.mydomain.plist3.3 Linux终端方案对于开发者更推荐使用systemd-resolved# 编辑配置文件 sudo nano /etc/systemd/resolved.conf # 添加以下内容 [Resolve] DNS1.1.1.1 8.8.8.8 DNSOverTLSopportunistic # 重启服务 sudo systemctl restart systemd-resolved验证配置是否生效dig short txt o-o.myaddr.l.google.com 1.1.1.1 # 应该返回你的公网IP4. 浏览器专项优化4.1 Firefox深度设置新版Firefox的DoH配置界面确实更友好了但有几个隐藏技巧值得分享在地址栏输入about:config搜索并修改这些参数network.trr.mode 3 # 强制使用DoH network.trr.uri https://1.1.1.1/dns-query network.trr.bootstrapAddress 1.1.1.1开启ESNI支持防止SNI嗅探network.security.esni.enabled true4.2 Chrome/Edge方案Chromium系浏览器会继承系统设置但可以通过实验性功能增强访问chrome://flags/#dns-over-https选择Enabled并指定服务商对于开发者建议额外开启chrome://flags/#enable-tls13-early-data chrome://flags/#quic5. 移动设备与路由器5.1 Android配置国行手机需要特别注意进入设置 → 网络和Internet → 私人DNS选择私人DNS提供商主机名输入dns.google或1dot1dot1dot1.cloudflare-dns.com5.2 路由器全局部署在OpenWRT路由器上配置DoTopkg update opkg install stubby编辑/etc/config/stubbyconfig stubby global option manual 1 option listen_address 127.0.0.1 option round_robin_upstreams 1 config resolver option address 1.1.1.1 option tls_auth_name 1dot1dot1dot1.cloudflare-dns.com最后在DHCP/DNS设置中将DNS转发到127.0.0.1#54536. 常见问题排查当遇到解析失败时可以按这个流程检查先用nslookup检查基础解析nslookup github.com 1.1.1.1测试DoH连通性curl -H accept: application/dns-json https://1.1.1.1/dns-query?namegithub.comtypeA检查TLS证书有效性openssl s_client -connect 1dot1dot1dot1.cloudflare-dns.com:853我在实际使用中发现Cloudflare的DoH服务在国内部分地区会被QoS限速这时候切换到Google DNS通常能立即改善。建议大家在设备上配置至少两套不同的DNS方案当主用服务出现延迟飙升时自动切换备用方案
