今天花了点时间研究了一下这个 DNS 功能,希望能帮到你。
1
acbot 2021-12-01 16:30:47 +08:00
个人认为国内使用加密 DNS 意义不大,普通用户直接替换运营商 DNS 为 114 / 阿里等国内公众 DNS 就可以了,如果你的 DNS 支持加密 chrome 内核浏览器好像可以自动启用 DOH 。普通用户使用国外的加密 DNS 基本都是各种阻断或者是 QOS 严重影响访问速度,画蛇添足。
|
3
Eiden 2021-12-01 17:11:26 +08:00
200ms 真的能用吗
|
5
sherlock1122 2021-12-01 17:14:44 +08:00
@acbot 运营商 DNS 有啥不好吗?为啥要替换。
|
7
acbot 2021-12-01 17:22:12 +08:00
@sherlock1122 主要是以前名声不好,现在公众 DNS 很多也没有时间去验证运营商 DNS 是否有所改观,久而久之形成了习惯而已。根据我的观察 一般 阿里 腾讯 公众 DNS 都还行 没看到过运营商动手脚
|
10
kokutou 2021-12-01 17:28:15 +08:00
发这里没用吧。。
能上这个的,不需要, 上不了的,也看不到。。 |
13
LnTrx 2021-12-01 20:46:44 +08:00
@acbot 国内使用境内加密 DNS 意义还是有的,例如:
1. 对付接入商自己做的劫持(广告跳转、域名纠错、“墙中墙”) 2. 不信任运营商,避免解析被获知(如过于“敏感”的反诈提示) 用境外 DNS 主要是为了避开污染,但部分网站的解析可能也会变成海外版 |
14
Tumblr 2021-12-01 20:59:48 +08:00
都 Windows 11 了,为什么还没用上 PowerShell😅
CommandType Name Version Source ----------- ---- ------- ------ Function Add-DnsClientDohServerAddress 1.0.0.0 DnsClient Function Get-DnsClientDohServerAddress 1.0.0.0 DnsClient Function Remove-DnsClientDohServerAddress 1.0.0.0 DnsClient Function Set-DnsClientDohServerAddress 1.0.0.0 DnsClient 就个人见解,水文一篇,没太大意义。 |
15
zcjfesky 2021-12-01 21:22:38 +08:00 via Android
境内用境外 dns 容易被 cdn 扔到海外节点去,速度会极慢… 用境内公共 dns 还会有知名的高德地图 /淘宝网页版无限人机认证的问题。如无必要我觉得没必要改 dns 。
|
16
fastcache 2021-12-01 23:51:38 +08:00
能缓解 office 摸鱼 monitor 吗?
|
17
xPKK1qofAr6RR09O 2021-12-02 01:42:19 +08:00
@zcjfesky 所以境内用运营商 dns 最舒服?
|
18
acbot 2021-12-02 08:41:30 +08:00 1
@LnTrx 加密 DNS 要说意义更多的是理论上的意义,实际使用上表现不是那么好。1. 现在大的网站基本都部署 HTTPS 了仅仅劫持作用就不大了,如果真的是触及到人家商业利益,阻断和劣化 DOH 一点都不难(不然为啥境外的 DOH 大多不能用呢),你的各种打不开(之前我使用过一段时间 DOH 就是这样),本来人家污染的仅仅是少数现在好了直接大多数域名都受影响。2. 境外的你又用了,你认为 阿里 这些国内公众 DNS 就不收集隐私了? 在现有大环境下,要从根本上解决这个问题只能是自己搞一个小 DNS 然后分流部分隐私域名走***
|
19
mytsing520 2021-12-02 10:09:36 +08:00
@LnTrx
以前可能和 DNS 有关,不过现在已经改为旁路插入 |
20
LnTrx 2021-12-02 16:49:16 +08:00
@acbot 现在还有很多网站没有强制 HTTPS ,如果没有 HSTS 还是可能会被劫持。境内 DoH 访问目前还没有听说有被阻断的情况,响应应该与 53 是一致的。打不开应该是用了境外的 DNS ?主流的几个确实被干掉了。大众的 DoH 确实也可以进行封杀,但用小众 /自建的的 DoH 很难被发现。所有的 DNS 提供商都有泄露隐私的风险,根据需要选择更适合自己的即可。
|
21
acbot 2021-12-02 17:25:08 +08:00
@LnTrx 到先阶段都没有部署 HTTPS 的网站,值得去为它设置加密 DNS 吗,就算放几个广告不也早就被 adblock plus 这些消灭了吗?我说的就是使用境内阿里 DOH 产生的情况,使用之后网站的各种打不开各种慢。DNS 使用的 ip anycast 本身就和运营商联系紧密,特征很明显,要动手脚根容易,并且你还没处说理。 自建:1. 这个不是适合还需要看教程才能配置 DNS 的普通用户; 2. 自建也不一定要选 DOH 这种方式了 dnsmasq 分流 + dns*** 方案好的多,因为很多家用网关就可以实现。
|
22
LnTrx 2021-12-02 20:20:43 +08:00
@acbot 我说的是没有强制 HTTPS ,不是没有部署,现在很多网站都是可以回落到 HTTP 的。你说的各种打不开各种慢我暂时还没有碰到,如果运营商有间歇性阻断的话应该容易测试出来。我说小众 /自建的 DoH 是指公共 DNS ,不是布置在局域网里的 DNS ,终端用户的配置方法与其他公共 DNS 相同。
|
23
acbot 2021-12-02 20:40:43 +08:00
@LnTrx 如果部署了,没有强制你可以强制嘛,现在浏览器都有设置。 明确给你说就算间歇性的阻断,然后你又能怎样?投诉 运营商直接就给我说 其他用户没有反映啊,我们的网络是正常的,这个就是现实案例,这个就算为什么开始我要说,你还无处说理,反而起反作用,落一肚子气,反正我前面说的方案比 DOH 这个方案好多了。你这里又是自建又是小众又是公用,逻辑真让人糊涂。有机会你可以在网关上把所有对外的 DNS 数据包 drop 掉然后只用 DOH 一段时间看看,这里就不在继续了。
|
24
LnTrx 2021-12-03 00:30:43 +08:00
@acbot 什么叫现在浏览器都有设置,哪有强制 HTTPS 的设置,应该是额外的插件吧?我现在还没有看到间歇性的阻断的依据,即便有也可以改用小众 / 自建的 DoH 避开。逻辑没有任何矛盾,你再仔细想想。drop 掉所有 DNS 包会影响网内还不支持 DoH 的应用,我暂时试不了。只能说改了浏览器或系统配置后,如果碰到“各种打不开各种慢”,再主动对 DoH 发起 TLS 连接统计延迟和丢包率。
|
26
jmk92 2021-12-03 13:19:25 +08:00
我这边的程序是默认 DoT 备选 DoH ,都失败后回退 HTTPDNS ,备选 udp53 ,最大程度避免解析生效慢、不及时、运营商不遵守 TTL 缓存,以及部分运营商劫持 53 端口的问题。
|
27
txydhr 2021-12-03 14:26:17 +08:00 via iPhone
没啥用呀,终端设置 dns 意义不大呀,用外部 dns 就没法解析局域网地址了。得路由器支持上游加密 dns 。
|
28
wdcew 2021-12-03 16:18:21 +08:00
Doh 感觉就翻墙代理的时候用一用,访问国内网站还是用 114 和 223 也够了, 必须浏览网站这点隐私也无所谓了
|