由于 DHCP 告示 DNS 只是一种简单的网络检视实施, 我们也可以简单的绕过, 那就是不接受告示, 自行点开网络设置, 修改 DNS 为223.5.5.5, 这是阿里云的 DNS 服务, 污染较少, 也不会被老板怀疑.
可惜的是, UDP:53 是一个非常透明的太古方案, 只需要在上级路由器上设置一个简单规则, 就能把所有的 DNS 请求重定向到预设的 DNS 服务器上, 这样就能轻松的挟制 DNS 请求了.
这条规则是这样的:
So easy, 老板还可以假装他不知道你知道他在监控你而且修改了 DNS 服务, 然后继续偷窥你到底摸了公司多少鱼.
使用加密 DNS
不同于 HTTPS 加密的是通讯内容, DNS 加密的是通讯的域名, 现今已有 DNS over HTTPS(DoH), DNS over TLS(DoT), DNS over QUIC(DoQ) 等加密方案.
使用加密 DNS 后唯一泄露的信息将只有加密 DNS 服务器的域名.
几大 DNS 服务商均已经支持DoH及DoT, 如 Cloudflare, Google, Quad9, Alibaba, Tencent 等.
下面列举其提供的 DoH 和 DoT 服务地点:
Cloudflare
DoH: https://cloudflare-dns.com/dns-query
DoH: https://one.one.one.one/dns-query
DoT: tls:///cloudflare-dns.com
DoT: tls://one.one.one.one
Google
DoH: https://dns.google/dns-query
DoT: tls://dns.google
Quad9
DoH: https://dns.quad9.net/dns-query
DoT: tls://dns.quad9.net
海外的服务器可能会明显影响你的上网速度, 除非特殊需求, 应优先考虑国内的 DNS 服务,国内的 DNS 服务商也提供了加密 DNS 服务:
Alibaba
DoH: https://dns.alidns.com/dns-query
DoT: tls://dns.alidns.com
Tencent
DoH: https://doh.pub/dns-query
DoT: tls://dot.pub
这些免费服务的提供者基本都是广告大户, 用了它们的 DNS, 你的用户画像可能底裤都要画出来, 我会在其它文章分享即使 ip 变化仍能知道"你是你"的方法. 相较之下, 号称"赛博菩萨"的 Cloudflare 可能会稍微好点, 但它是怎样使用用户的 DNS 查询数据我并不相识, 目前只是单纯的比较信托它.
DNS 还能做什么
DNS 作为访问互联网的第一步, 是一个很好的监控点, 除了监控, 它还可以做一些访问控制, 如过滤广告, 拦截伤害网站, 拦截隐私盗取等.
以上公开的 DNS 服务仅提供域名查询, 缺少访问控制, 这是一种应该答应自界说的本事, 每个人的需求不尽雷同, 有的人能忍受一点广告, 有的人一点都忍受不了, 如果广告和内容混用域名, 以致干脆内容都不看了. 另有很多人, 以致无法辨认广告, 看了就看了.
针对讨厌广告的人分享一个提供基础去广告本事的加密 DNS 服务,
AdGuardPrivate
DoH: https://public.adguardprivate.com/dns-query
DoT: tls://public.adguardprivate.com
怎样设置
请先确认您的设备支持DoH或DoT:
Windows 11 以后的系统已经支持DoH
macOS Big Sur 以后的系统支持DoH及DoT
iOS 14 以后的系统支持DoH及DoT
Android 9 以后的系统支持DoT
Chromium 79 以后的欣赏器内核版本支持DoH
Android
Android 自 Android 9 以后开始原生支持 DNS over TLS(DoT),2019 年以后的手机都支持。您可以通过以下方法开启: