type
status
date
slug
summary
tags
category
icon
password
AI总结
本文深入探讨了DNS安全协议DoH(DNS over HTTPS)、DoT(DNS over TLS)和DNSSEC,详细阐述了它们在保护网络通信安全方面的原理和特点。文章不仅介绍了这些协议的技术细节,还推荐了国内外众多可靠的DNS服务器,包括阿里DNS、Cloudflare DNS和Google DNS等,并提供了在浏览器和Android系统中配置这些安全DNS服务的具体操作指南。
English Version
This article delves into DNS security protocols DoH (DNS over HTTPS), DoT (DNS over TLS), and DNSSEC, elaborating on their principles and characteristics in protecting network communication security. The article not only introduces the technical details of these protocols but also recommends numerous reliable DNS servers both domestically and internationally, including Alibaba DNS, Cloudflare DNS, and Google DNS, while providing specific operational guidelines for configuring these secure DNS services in browsers and Android systems.
一,DNS安全协议
1,概述
DoH和DoT能够加密DNS查询流量,使运营商无法直接查看或修改DNS查询内容。在理论上可以防止运营商的DNS劫持和篡改。
DNSSEC是一套用于确保DNS数据真实性和完整性的安全扩展协议。它通过添加数字签名来验证DNS记录的来源,确保数据在传输过程中未被篡改。
但由于GFW采用了多种DNS审查和过滤机制,包括DNS注入和IP地址封锁,即使使用DoH/DoT和DNSSEC,GFW仍可能通过封锁DoT的853端口、注入虚假的DNS响应等方式进行干扰。
2,DoT和DoH
(1)DNS over TLS (DoT)
①工作原理:
- 使用TLS协议加密DNS查询
- 使用专门的853端口
- 直接在TLS层面加密DNS通信
②主要特点:
- 使用独立端口,便于网络管理
- Android系统默认支持
- 更容易被网络管理员识别和管理
(2)DNS over HTTPS (DoH)
①工作原理:
- 通过HTTPS协议加密DNS查询
- 使用443端口(标准HTTPS端口)
- DNS查询被包装在HTTPS流量中
②主要特点:
- 提供更好的隐私保护
- 可以绕过网络限制,防止DNS欺骗和缓存污染
- 隐藏在普通HTTPS流量中,更难被检测和封锁
3,DNSSEC
(1)工作原理:
- 使用公钥加密技术对DNS数据进行签名
- 建立信任链,从根区开始验证
- 通过RRSIG记录存储数字签名
- 使用DNSKEY记录存储公钥
(2)特点:
- 提供DNS数据源身份认证,确保数据完整性
- 提供认证式否定应答
- 不提供数据加密和可用性保护
(3)应用:
- 防止DNS缓存投毒和欺骗攻击
- 验证DNS记录的真实性,保证解析安全
(4)与DoH/DoT的区别
特性 | DNSSEC | DoH/DoT |
保护范围 | 解析器到权威服务器 | 客户端到解析器 |
安全重点 | 数据真实性 | 传输加密 |
实现方式 | 数字签名 | TLS加密 |
部署难度 | 较高 | 较低 |
二,DoT和DoH服务商推荐
1,国内直连服务
服务商 | IPv4 | DoT地址 | DoH地址 | 备注 |
阿里DNS | 223.5.5.5
223.6.6.6 | dns.alidns.com
223.5.5.5
223.6.6.6 | 阿里将从2024年9月30日起对免费版进行限速(单个IP限20QPS) | |
DNSPod | 119.29.29.29
119.28.28.28 | dot.pub | 腾讯云出品 | |
360安全DNS | 101.226.4.6
218.30.118.6
123.125.81.6
140.207.198.6 | dot.360.cn | 前两个IPv4针对中国电信/铁通/移动
后两个IPv4针对中国联通 | |
OneDNS | 117.50.10.10
52.80.52.52 | dot.onedns.net
dot-pure.onedns.net | ||
114DNS | 114.114.114.114
114.114.115.115 | ㅤ | ㅤ |
2,私人部署DNS
(1)特点
优点:功能更丰富,提供例如去广告等自定义服务
缺点:延迟可能较高,且存在服务器不稳定的问题
有些会提供付费服务,请慎重考虑
(2)部分网址
名称 | 官网 |
18bit DNS | |
XLXBJ DNS | |
果冻域名解析 | |
冷莫 DNS |
(3)自建DNS
如果拥有个人服务器,可考虑自行部署AdGuardHome
项目地址:
AdGuardHome
AdguardTeam • Updated Jun 24, 2025
CF-Workers-DoH
cmliu • Updated Jun 20, 2025
3,国际直连服务
服务商 | IPv4 | DoT地址 | DoH地址 | 备注 |
Google DNS | 8.8.8.8
8.8.4.4 | dns.google | 第二个DoH只针对IPv6 | |
Cloudflare DNS | 1.1.1.1
1.0.0.1 | dns.cloudflare.com
one.one.one.one | ||
Quad9 DNS | 9.9.9.9
149.112.112.112
149.112.112.9 | dns.quad9.net
dns9.quad9.net | IBM 发起的 Quad9 提供的公共免费 DNS 服务 | |
DNS.SB | 185.222.222.222
45.11.45.11 | dot.sb
dns.sb | 公共 DNS 服务商 | |
AdGuard DNS | 94.140.14.14
94.140.15.15 | dns.adguard-dns.com |
4,数据主要来源
三,DoT和DoH应用
1,在浏览器中应用
高版本的Edge和Chrome浏览器已经默认启用下述功能,无需重复设置。
Edge:
edge://settings/?search=dns Chrome:
chrome://settings/security?search=dns (1)在Edge浏览器上使用
- 打开Edge浏览器并输入
edge://flags进入浏览器的高级设置页面。
- 在搜索栏中输入
Secure DNS Lookup,启用此选项并重启Edge浏览器。在地址栏中键入“edge://settings/security”并选择使用Secure DNS服务器解析选项。
- 在搜索栏中输入“
DNS over HTTPS”,选择Disabled,并重启Edge浏览器,在地址栏中输入edge://settings/security并选择“Secure DNS服务器解析选项”。
(2)在Chrome浏览器上使用DoH
- 打开Chrome浏览器并依次输入
chrome://flags/#dns-over-https进入浏览器的高级设置页面。
- 在
DNS over HTTPS和DNS over TLS下拉菜单中选择Enabled并重启Chrome浏览器。
- 在地址栏中键入
chrome://settings/security并选择使用Use secure DNS和Use secure DNS选项。
(3)出现您的浏览器由所属组织管理情况
您的浏览器由所属组织管理情况 在Windows系统下(以Chrome为例)
- 以管理员权限运行 cmd
- 输入以下命令:
可通过
chrome://policy 查看显示的企业策略列表2,在Andorid中应用
- 在手机设置中搜索DNS
- 点击
私人DNS,并选择指定DNS服务器
- 将上述DoT地址填入
DNS服务器地址中
3,在iPhone中应用
详情参考各厂商设置
四,推荐的Clash Verge配置
1,DNS防止泄露
在Clash Verge中的全局扩展配置文件中设置(右键编辑文件):
在Clash Verge中的全局扩展脚本文件中设置(右键编辑文件):
2,添加DNS密码
在
设置 → Clash设置 → 外部控制 → 修改API访问密码3,DNS防泄露检测网址
五,推荐的V2RayN配置
1,DNS设置
在v2rayN的
设置 → DNS设置 → V2ray DNS设置 → 点击导入默认DNS配置在v2rayN的
设置 → DNS设置 → sing-box DNS设置 → 点击导入默认DNS配置 上述配置好,出现相关规则参数后点击
确定进行保存2,路由设置
在v2rayN的
设置 → 路由设置 → 高级功能 → 添加规则集将下述别名和规则分别复制到
别名 和从剪切板中导入规则- GFWlist黑名单(PAC代理模式)
- 工作原理: v2rayN 会下载并使用一个预定义的网站列表 (GFWList),这个列表包含了被 GFW(Great Firewall,中国国家防火墙)屏蔽的网站。当您访问网络时,v2rayN 会:
- 检查您要访问的网站是否在这个黑名单列表中。
- 如果 在列表内,则该网站的流量将通过 v2rayN 的代理服务器进行访问。
- 如果 不在列表内,则该网站的流量将直接连接,不经过代理服务器。
- 优点: 相对较好的平衡了代理速度和访问范围。只对被屏蔽的网站使用代理,国内网站访问速度不受影响。
- 缺点:
- GFWList 的更新可能不及时,导致一些新被屏蔽的网站无法访问。
- 一些网站可能会使用复杂的反代理技术,仅仅通过域名匹配可能无法绕过封锁。
- PAC文件的生成和更新有时会有延迟或错误。
这种模式只对被墙的网站使用代理,其他网站直接连接,类似于传统的PAC模式。
GFWlist黑名单(PAC代理模式)详细介绍
- Whitelist白名单(绕过大陆模式)
- 工作原理: 与黑名单模式相反,白名单模式预设所有网站都走代理,只有在白名单列表中的网站才不走代理,直接连接。这个白名单通常包含了中国大陆的常用网站域名。
- 优点: 可以绕过大部分的 GFW 封锁,因为大多数网站的流量都会经过代理服务器。
- 缺点:
- 访问国内网站的速度可能会受到代理服务器速度的影响。
- 白名单需要维护,添加新的国内网站或服务才能让它们不通过代理访问。
- 对服务器性能有更高的要求,因为大部分流量都通过代理服务器。
这种模式是让中国大陆的网站直连,其他网站全部走代理。
Whitelist白名单(绕过大陆模式)详细介绍
- 全局代理
- 工作原理: v2rayN 会将您电脑上的 所有网络流量 都通过代理服务器进行访问,无论目标网站是什么。
- 优点:
- 可以最大程度地绕过网络审查和封锁。
- 配置简单,不需要维护任何列表。
- 缺点:
- 访问国内网站的速度会明显变慢,因为流量都需要绕道国外服务器。
- 会增加代理服务器的负担,可能导致代理速度下降,甚至被服务器提供商限制。
- 可能会与需要直连的网络服务产生冲突导致无法访问或报错。
所有网络连接都通过代理访问。
全局代理详细介绍
- 全局直连
- 工作原理: v2rayN 不会对任何网络流量进行代理,所有网站都将直接连接,相当于关闭了代理。
- 优点:
- 访问国内网站的速度最快。
- 不会对任何网站的访问造成影响。
- 缺点: 无法访问被 GFW 屏蔽的网站。
所有网络连接都直接访问,不使用代理。
全局直连详细介绍
- 全局阻断
- 工作原理:v2rayN启动后阻止所有的网络访问。电脑无法连接到互联网。
- 优点:
- 可用于临时中断所有网络连接。
- 可以用于某些特殊场合,防止数据泄露。
- 缺点: 电脑无法访问任何网站。
阻断所有网络连接请求。
全局阻断详细介绍
总结:
模式 | 代理范围 | 国内网站速度 | 国外网站速度 | 优点 | 缺点 |
GFWList 黑名单 | GFWList 列表内 | 快 | 慢 | 平衡速度和访问范围 | GFWList 更新不及时,反代理技术可能导致失效 |
Whitelist 白名单 | 除白名单外的所有 | 慢 | 慢 | 可以绕过大部分封锁 | 国内网站访问速度受影响,需要维护白名单 |
全局代理 | 所有 | 慢 | 慢 | 最大程度绕过封锁,配置简单 | 国内网站访问速度慢,增加代理服务器负担,可能与直连网络服务冲突 |
全局直连 | 无 | 快 | 无法访问被屏蔽网站 | 国内网站访问速度快 | 无法访问被屏蔽网站 |
全局阻断 | 所有都阻断 | -- | -- | 临时中断所有网络 或者防止数据泄露 | 电脑无法访问网络 |
参考设置
- 希望访问被屏蔽的网站,同时兼顾国内网站访问速度: GFWList 黑名单模式(PAC 代理模式)
- 希望尽可能访问所有网站,不介意国内网站访问速度变慢: Whitelist 白名单模式(绕过大陆模式)
- 需要访问一些特殊的网站,这些网站无法通过域名判断是否需要代理: 全局代理模式
- 不需要访问被屏蔽的网站: 全局直连模式
- 需要完全禁止网络访问:全局阻断模式