互联网已经是许多人的第二世界,许多人都开始重视互联网的隐私保护,但是我们的个人隐私除了可能向互联网平台厂商泄露以外,我们向运营商泄露的隐私则更多、也更全面,但却少有讨论,今天我们就来讲讲如何通过DNS保护我们隐私的另一面漏洞——上网记录
或许你在看这篇图文前可能还不知道什么是DNS
①什么是DNS?
网站的真正地址其实是一串串的IP,当我们输入网址时,我们的设备就向DNS发送请求,DNS会返回IP地址,从而让我们与网站连接起来,就如同以前的向导站一样。
②DNS如何泄露隐私?
DNS设计当初并没有考虑保密性,遵守的UDP协议是明文传输的,任何同一网络中的其他人可以知道你要访问的网址,而运营商不仅可以感知你每一次的上网动作,还可以在DNS返回的结果中投毒(比如辽宁联通曾经屏蔽工信部网站),插入广告,或者返回缓存的离线网页来降低运营商的带宽负担,但这些离线网页往往很久不更新。
③加密DNS是什么?
DNS over TLS(DoT)和DNS over Https(DoH)是新一代的DNS,它们通过TLS或者https协议加密了你和DNS服务器之间的连接,从而使第三方无法得知你的域名申请请求,也无法污染DNS结果,DoH把DNS请求隐藏在普通网页流量中,监听者甚至可能不知道你发送了DNS请求。
④如何使用加密DNS?
Android设备中(Android 9及以上):打开设置-找到私人DNS(部分设备为加密DNS)-选择主机商提供域名(支持DoT)
Windows中(Windows10 20H2及以上):找到设置-网络与Internet-找到WIFI-DNS服务器(手动)-填写DNS服务器的IP,如果DNS在微软白名单中,下方会出现[仅加密]的按钮(支持DoH)
浏览器(Chrome/Edge/火狐等):浏览器设置-找到安全DNS(加密DNS)-另选一个提供商,打开后可以选择自带的提供商或者自定义域名(支持DoH)
iPhone或mac:apple在去年开始让设备支持加密DNS,使用特定提供的描述文件,或者前往APP store下载诸如ADGuard Cloudflare等软件。
⑤怎么选择加密DNS?
国内目前支持加密DNS的服务商比较少,以下三家是我推荐的
⑥还有别的加密DNS选择吗?
当然有!Google、Cloudflare、IIJ、OpenDNS等均提供全球加密DNS服务,但是在国内访问较慢,且存在阻断风险并不推荐。
⑦什么是个性化加密DNS?
NextDNS和红鱼DNS均提供个性化加密DNS,注册后你会过的专属的DNS域名,它们提供广告拦截、防跟踪、家长监控等功能,是喜欢自定义的高级玩家的不三选择。
⑧如何检测我连接上了加密DNS?
https://nstool.netease.com
请检查返回的DNS地址是否和你设置的地址符合,如果服务器和你运营商一致,说明你的DNS已经被运营商劫持。
⑨被劫持了加密DNS怎么办?
由于在浏览器中填写的是网址,部分运营商会大胆劫持加密DNS
解决方法:把网址更改为IP,如下图
⑩其他小问题
• 建议设置系统的加密DNS后在浏览器也设置一个,部分浏览器可能仍然使用传统的明文DNS传输,系统未必能接管浏览器网络。
• 加密DNS偶尔会与校园网冲突,部分校园网网关会不断尝试劫持DNS和获取您和DNS建立链接中的数据,从而出现无法连接DNS,无法连接互联网的情况,如有上述情况建议联系你的校园网管理员!
