平淡

什么是DoH

在默認的情況下，我們訪問一個網(wǎng)站的常規(guī)方法是在瀏覽器的地址欄中輸入域名（如www.baidu.com）進行訪問，這樣就需要通過DNS服務(wù)器將輸入的域名解析為IP地址，傳統(tǒng)的DNS解析服務(wù)是通過標準UDP/TCP協(xié)議（端口號：5 3）進行傳輸?shù)?。為了解決明文傳輸?shù)膯栴}，谷歌公司啟用了DoH域名安全查詢服務(wù)，它提供了DNS請求的端到端驗證，可以對DNS請求和響應(yīng)進行加密，這樣可以有效地防止用戶的數(shù)據(jù)遭到泄露。后來國際互聯(lián)網(wǎng)工程任務(wù)組（即IETF）正式采用了DoH標準，現(xiàn)在主流的瀏覽器均支持DoH服務(wù)。而Windows 10的DoH服務(wù)則從系統(tǒng)層面開啟DNS解析加密服務(wù)，開啟后系統(tǒng)中的所有（并不僅限于瀏覽器）程序都會默認使用DoH服務(wù)。

開啟系統(tǒng)的DoH

目前在Windows 10中還沒有開啟DoH的設(shè)置界面，我們可以通過注冊表手動開啟。以管理員身份啟動注冊表編輯器，依次定位到[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Ser vices＼Dnscache＼Parameters]，接著在右側(cè)的窗格中新建一個“DWORD（32位）”項，將其命名為“EnableAutoDoh”，并將其“數(shù)值數(shù)據(jù)”設(shè)置為“2”，重啟系統(tǒng)后生效（圖2）。

重新進入系統(tǒng)后，在桌面上右擊任務(wù)托盤上的網(wǎng)絡(luò)連接圖標并選擇“打開網(wǎng)絡(luò)和Internet設(shè)置”，繼續(xù)在打開的窗口中的“狀態(tài)”下選擇當前網(wǎng)卡的連接，并點擊“更改適配器選項”（圖3）。

然后在打開的窗口中依次選擇本機網(wǎng)卡，右擊選擇“屬性”，繼續(xù)在打開的窗口中點擊“Internet協(xié)議版本4 （TCP/IPv4）”，最后在打開的窗口中點擊“使用下面的DNS服務(wù)器地址（E）：”，將首選DNS服務(wù)器和備用DNS服務(wù)器依次設(shè)置為“1.1.1.1.1”和“8.8.8.8”（圖4）。

檢測是否成功開啟了DoH

如上所述，如果我們開啟了DoH，那么DNS解析的數(shù)據(jù)是通過HT TPS（端口：443）協(xié)議進行傳輸，默認原來的U D P/ TCP協(xié)議（端口號：53）就不會再有數(shù)據(jù)傳輸流量。對于端口數(shù)據(jù)傳輸流量的監(jiān)控可以使用系統(tǒng)自帶的命令來查看，以管理員身份啟動PowerShell，依次輸入下列的命令（輸入每一行命令后均需按下回車鍵確認，#語句為注釋無需輸入）：

#重置網(wǎng)絡(luò)流量分析

pktmon filter remove

#過濾普通DNS服務(wù)器的53端口流量

pktmon filter add -p 53

#開始記錄數(shù)據(jù)

pktmon start --etw -m real-time

通過屏幕窗口可以看到，53端口的流量顯示為“empty”，表示現(xiàn)在已經(jīng)沒有數(shù)據(jù)通過傳統(tǒng)DNS解析端口（圖5）。