如果你所有事情都用手机处理,笔记本电脑使用共享数据,并且连接到任何你能找到的WiFi网络, 配置具有自定义 DNS 的安全热点 这看似有点极客范儿,但它标志着隐私、安全甚至浏览速度方面的巨大进步。
好消息是,你不需要成为系统管理员:只要对 DNS 是什么、传统方法存在的风险以及各种选项的工作原理有一些清晰的了解,你就能做到。 私有 DNS、DoH、DoT 或 AdGuard Home、Pi-hole 和 VPN 等解决方案您可以为您的手机以及连接到其接入点的设备设置一个相当安全的环境。
什么是DNS?为什么你应该关注它?
DNS,即域名系统,基本上是 互联网联系人列表你输入一个方便的域名,例如“google.com”或“xatakandroid.com”,然后你的手机需要输入一个数字 IP 地址才能找到正确的服务器。DNS 服务器负责将该域名解析为对应的 IP 地址,以便建立连接。
在几乎所有网络中,无论是固定网络还是移动网络,通常都是由运营商、路由器或公共 Wi-Fi 热点决定使用哪个 DNS 服务器。这意味着,默认情况下, 您的设备会向服务提供商提供的 DNS 服务器发出查询请求。 无需你触碰任何东西。它的确有效,但在隐私和控制方面存在几个重大缺陷。
根本问题在于,在经典模型中,这些查询 它们以明文形式传输,无需身份验证。每次你的手机询问“这个域名的 IP 地址是什么?”时,任何控制该网络的人都可以看到这个请求:你的 ISP、酒吧 WiFi 的所有者、同一网络上的攻击者等等。
此外,DNS 已成为屏蔽或过滤网站的关键环节。运营商、企业网络或政府可以决定让某些域名对用户“失效”。 仅仅通过不解析它们的名称或返回篡改过的IP地址。从你的角度来看,你看到的只是网站无法访问,就像服务器崩溃了一样。
鉴于以上所有原因,掌控你使用的DNS服务器以及如何使用它, 它为提升性能、增强隐私、绕过某些限制和过滤威胁打开了大门。此外,它还能让你的手机变成比出厂默认设置更安全的移动热点。
传统DNS的缺点和实际风险
当我们谈论经典 DNS 时,我们指的是这样一个系统: 这些查询既没有加密也没有签名。这样一来,中间人就可以看到你访问的域名,更改响应,甚至阻止它们,而你的设备却不会明显察觉。
我相信你肯定在使用免费WiFi时遇到过这种情况:你尝试打开某个网站,结果并没有直接跳转到目标页面, 首先显示的是登录页面或广告页面。这是通过 DNS 重定向您的请求来实现的,返回一个与您请求的 IP 地址不同的 IP 地址,并将您发送到强制门户。
同样的技术,如果落入心怀不轨之人手中,则会造成更加危险的局面。例如,控制了网络的攻击者可以: 把你引导到一个模仿你银行登录页面的钓鱼网站。 或者,只需更改 DNS 查询中的响应 IP,即可将目标指向分发恶意软件的网站。
DNS 控制也被用于强制执行审查或过滤策略。在企业环境、教育网络或国家层面,某些域名的解析会被拒绝,以便…… 网站可能看起来无法访问或根本不存在。没有明显的阻塞信息:用户只会看到分辨率错误。
与此同时,您的互联网服务提供商可以使用您的域名解析历史记录来 创建高度详细的浏览习惯档案这些信息可用于广告细分、个性化产品,或者在最糟糕的情况下,用于推销汇总数据。
更换DNS服务器并选择优质服务商有哪些好处?
更改手机、电脑或路由器上的 DNS 设置不仅仅是技术上的炫技: 它可以提高速度、隐私、安全性和内容访问速度。一次性全部实现。带宽不会翻倍,但可以显著降低延迟并提高控制精度。
就性能而言,许多公共解析器都拥有一个全球分布式的服务器网络,并配备了高度优化的缓存。这意味着当你的计算机查询网站的 IP 地址时, 响应更快到达,页面加载速度也更快。每次分辨率的提升仅需几毫秒,但一天下来却能产生显著影响。
在隐私方面,像 Cloudflare 或 Quad9 这样的服务提供商宣称的政策比许多运营商要严格得多。例如, Cloudflare 声称会快速清除日志,并且不会出售使用数据。而 Quad9 则标榜自己只收集最少的信息,专注于安全性。
在安全性方面,一些服务会使用恶意域名黑名单。例如,Quad9 等服务器、某些 OpenDNS 配置文件以及 NextDNS 等解决方案都采用了这种机制。 它们会阻止访问包含恶意软件、网络钓鱼、僵尸网络或高度侵入性广告的网站。如果您尝试访问(即使是意外地)危险页面,DNS 本身会进行干预,阻止您加载恶意内容。
关于屏蔽,许多运营商和政府的过滤措施都直接应用于DNS层面。当你切换到由不受你控制的第三方管理的服务器时, 你可以绕过其中一些限制。虽然它并非万无一失,但通常足以“复活”那些看似无法访问的网站。
选择网络服务提供商时,并没有绝对的最佳选择。这取决于您的地理位置、您的优先事项(速度、隐私、安全)以及您愿意做出的妥协。即便如此,仍有一些值得关注的服务商: Google 公共 DNS、Cloudflare、Quad9、OpenDNS 和 NextDNS 它们是最常用和最受推荐的选项之一。
推荐的 DNS 服务器:示例和关键信息
谷歌公共DNS是一款应用广泛的老牌DNS服务。它提供诸如以下IPv4地址: 8.8.8.8和8.8.4.4以及 IPv6 地址,例如 2001:4860:4860::8888 和 2001:4860:4860::8844。它免费、稳定、快速,并支持使用 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 进行加密。 DNS.google这正是你在 Android 上定义私有 DNS 时使用的名称。
Cloudflare是另一家主要参与者,以其著名的…… 1.1.1.1其 IPv4 地址为 1.1.1.1 和 1.0.0.1;对于 Android 上的私有 DNS,使用类似 [类型缺失] 的主机名。 1dot1dot1dot1.cloudflare-dns.com 或者类似的选项,例如 one.one.one.one。他们非常重视隐私,并声称: 他们会在很短的时间内删除记录。此外,在许多地区,DNSPerf 等网站的速度排名也名列前茅。
如果您将安全性放在首位,那么 Quad9 值得您认真考虑。其明星 IPv4 方案是 9.9.9.9 而对于 Android 上的私有 DNS,其典型名称是 DNS.quad9.net它专注于屏蔽恶意软件、网络钓鱼和类似威胁的域名,以便 它起到名称解析本身的安全过滤作用。.
OpenDNS(思科旗下)和 NextDNS 都属于高度可配置的服务。它们允许用户创建包含家长控制、成人内容过滤、广告拦截以及包含详细统计信息的仪表盘的配置文件。对于任何想要……的用户来说,它们都是理想之选。 针对儿童、工作环境或复杂的家庭网络制定精细化的策略.
为了选择最适合你的服务器,最好尝试几个,并测量从你所在位置的响应时间。DNSPerf 等工具可以提供帮助。 他们比较了来自 200 多个地点的多种 DNS 服务的延迟和可用性。这可以帮助您了解您所在地区哪家服务提供商表现最佳。
安全 DNS:DoH、DoT、DNSCrypt 和私有 DNS 的概念
当我们谈到“安全DNS”时,我们实际上指的是 查询如何在您的设备和服务器之间传输DNS-over-HTTPS (DoH)、DNS-over-TLS (DoT) 或 DNSCrypt 等协议允许对流量进行加密和认证,而不是以明文形式发送数据。
DoH 将 DNS 请求封装在传统的 HTTPS 连接中,通常使用 443 端口。这使得审查者或提供商更容易对其进行过滤。 加密的 DNS 流量很难与其余的网页浏览流量区分开来。因此,在不破坏半个互联网的情况下屏蔽它是相当困难的。
DoT 则使用专门针对 DNS 的 TLS 协议对查询进行加密。Android 也采用了这种方法,并将其标记为…… 从 Android 9 开始使用私有 DNS。因此,如果您想保护所有系统应用程序而不依赖每个浏览器,这被认为是最直接的方法。
DNSCrypt 是一种较早的解决方案,它也提供了加密和身份验证功能,尽管近年来它已被 DoH 和 DoT 的光芒所掩盖。即便如此,在一些高级用户环境中,它仍然具有一定的实用价值。 他们自行搭建了解析器或家庭网络,并采取了额外的安全措施。.
在 Android 9 及更高版本中,“私有 DNS”选项实际上应该标记为“安全 DNS”。启用此选项会强制系统使用安全的 DNS 服务器。 所有系统查询均以加密形式发送到支持 DoT 的服务器。您并非管理自己的服务器,而是选择一个第三方服务器并安全地连接到该服务器。
安全DNS和VPN:是盟友,而非替代品
人们很容易混淆概念:启用加密 DNS 是隐私保护方面的一大进步,但是 这与使用VPN并不相同。使用安全 DNS 只能保护名称请求;其余流量(页面、下载、视频、在线游戏……)仍然取决于网站是否使用 HTTPS 以及您正在经过的网络。
另一方面,VPN 会在您的设备和远程服务器之间建立一条加密隧道。所有(或者如果配置正确,几乎所有)离开您设备的流量都会通过这条隧道传输。 它经过封装和加密后传输到 VPN 服务器。你访问的网站看到的是该服务器的 IP 地址,而不是你的真实 IP 地址。
许多商业 VPN 提供商都包含自己的受保护 DNS,连接后, 它们可以防止向移动运营商或 WiFi 网络的 DNS 服务器泄露信息。其他服务则允许您自行选择:您自己的 DNS 服务器、第三方 DNS 服务器(例如 Cloudflare、Google、Quad9),甚至是您自行部署的家庭服务器。您可以在这里找到相关建议。 商业 VPN 提供商 查看可靠的选项。
如果你非常重视隐私,那么理想的组合是: 在系统级别配置的安全 DNS 在连接公共网络、旅行或需要绕过地理限制时,请使用 VPN。了解如何操作 在安卓设备上激活 VPN 该指南对于阻止不安全流量非常有用。但是,请务必仔细阅读 VPN 应用的条款细则,因为有些 VPN 应用会忽略 Android 的私有 DNS 和 它们默认强制使用自己的解析器。.
对于初学者来说,设置加密 DNS 本身就与传统方式截然不同。然后,如果您想进一步提高保护级别, 在此基础上再添加 VPN 可以进一步保护您的网络流量。如果您更喜欢免费选项,可以查看 最佳免费VPN 作为一个起点。
如何在安卓手机上更改 DNS
在安卓系统中,自定义 DNS 的方式取决于系统版本以及制造商如何组织菜单。从安卓 9 (Pie) 开始,提供了一个选项: 适用于整个系统(包括 WiFi 和移动数据)的私有 DNS在之前的版本中,你只能逐个网络进行调整。
各个部分的名称有所不同:Pixel 手机上的“网络和互联网”选项在三星 Galaxy 手机上可能显示为“连接”或“连接设置”。但逻辑类似: 进入网络设置,找到私有 DNS 部分,然后定义提供商。而且在多种型号中都可行 基于 WiFi 网络创建自动配置文件 简化流程。
在许多新款三星手机上,路径为“设置”>“连接”>“更多连接设置”>“专用DNS”。在其他安卓设备上,路径通常为“设置”>“网络和互联网”(或类似路径)>“高级”>“专用DNS”。进入后,您会看到“自动”、“关闭”和“专用DNS提供商主机名”等选项。
如果将模式设置为“自动”,系统将尝试使用网络提供的服务器进行加密 DNS 解析,但如果该服务器不可用,系统将使用其他方法。 将静默地恢复到传统DNS。为确保您始终使用特定提供商,您必须选择“主机名…”并输入您首选服务的相应域名。
有一个重要的细节: Android 不接受私有 DNS 字段中的数字 IP 地址。永远不要使用 1.1.1.1 或 8.8.8.8;始终使用您的提供商提供的主机名,例如 dns.google、one.one.one.one 或 1dot1dot1dot1.cloudflare-dns.com。
在 Android 9 及更高版本上配置私有 DNS
如果您的智能手机运行的是 Android 9 或更高版本,您可以为整个系统设置一个安全的单一 DNS 提供商。此设置 这适用于 WiFi 和移动网络,也会影响您创建的热点。当然,其中也存在一些细微差别,我们稍后会看到。
不同品牌的操作步骤大致相同:进入“设置”>“网络和 Internet”(或“连接”)>“专用 DNS”,选择输入主机名的选项,然后输入例如: 如果您想将 Google 公共 DNS 与 DoT 结合使用,请使用 dns.google。或 为 Cloudflare 服务提供 1.1.1.1保存后,手机会检查连接,如果一切正常,则会激活安全 DNS。
如果域名输入错误或服务器停止响应,您会注意到 即使网络信号良好,网站也无法加载。这是名称解析失败的典型症状。解决方法是暂时将设置切换回“自动”或“关闭”,重新建立连接,然后检查输入的数据。
在 Android 10 及更高版本中,系统对私有 DNS 和网络应用程序(VPN、代理等)之间的交互管理更加完善。即便如此,仍然建议您使用“My DNS”或类似的在线测试工具来验证您实际使用的服务器,尤其是在您同时使用多个服务的情况下…… VPN、私有DNS和过滤应用程序.
在 Android 8 及更早版本中逐个网络更改 DNS
如果您的手机仍在运行 Android 8 或更早版本,您将无法选择全局私有 DNS。在这种情况下,唯一的替代方案是 手动修改您连接的每个 WiFi 网络上的 DNS 设置。在家、工作场所等地重复上述步骤。
通常的操作步骤是:首先连接 Wi-Fi,然后依次进入“设置”>“Wi-Fi”或“设置”>“网络和 Internet”>“Wi-Fi”。在网络列表中,长按您正在使用的网络,然后选择“修改网络”或“高级选项”,IP 和 DNS 设置通常位于此处。
通常情况下,你会看到一个“IP 配置”字段,其默认设置为“DHCP”。将其更改为“静态”即可解锁 IP 地址、网关,以及对我们而言最重要的信息: DNS 1和DNS 2您可以在那里输入您想在该特定网络上使用的服务器。
在这些字段中,您可以填写,例如: 如果您选择 Google,则版本为 8.8.8.8 和 8.8.4.4。或者,如果您继续使用 Cloudflare,则可以使用 1.1.1.1 和 1.0.0.1。保存后,您的手机将重新连接,从那时起,您通过该 Wi-Fi 发起的任何查询都将使用您定义的 DNS 服务器。
如果网络出现任何异常行为,或者您想恢复到原始设置,只需返回该屏幕并将 IP 地址改回“DHCP”即可。这样应该就可以了。 路由器或接入点提供的DNS将自动恢复。.
使用自定义 DNS 将您的手机变成安全的热点
让我们直奔主题:当你启用网络共享或Wi-Fi接入点时,它就相当于一个小型路由器。它负责为连接的设备(笔记本电脑、平板电脑、游戏机、另一部手机)分配私有IP地址并进行相应的配置。 他们应该使用哪些 DNS 服务器? 通过 DHCP。如果您需要关于这方面的指导, 从您的电脑共享网络或创建移动热点该教程解释了基本步骤。
理论上来说,想象一下,如果你的手机使用加密的私有DNS,那该有多好啊! 连接到您热点的设备也享有同样的保护。实际上,很多安卓机型都不会出现这种情况:它们会继续通过 DHCP 广播移动网络提供的 DNS,而不是你在系统级别设置的 DNS。
因此,您的智能手机可能正在使用加密和过滤后的查询进行浏览,而您的笔记本电脑则连接到其接入点。 它会继续直接查询运营商的 DNS 服务器。对于您的网络服务提供商而言,这与笔记本电脑自动连接几乎没有任何区别。
确保所有设备获得最低限度一致保护的可靠方法是 在每个客户端设备上手动配置 DNS在您的 Windows 笔记本电脑、Mac、平板电脑等设备上,这样您就不必依赖热点通过 DHCP 广播的内容。
还有一种稍微高级一点的选择:搭建你自己的加密 DNS 服务器(例如,使用 AdGuard Home 或支持 DoH/DoT 的解析器),然后将你的移动设备连接到该服务器,可以直接连接,也可以通过 VPN 连接。问题是,如果你想从家外访问它,就必须使用 VPN。 打开 DNS 或 HTTPS 端口到您的服务器如果这台机器的安全措施不够完善,就会引入新的攻击途径。
在您的 Android 设备上使用 AdGuard Home、Pi-hole 和 Home DNS
如果您已经在本地网络上设置了 AdGuard Home 或 Pi-hole 等解决方案,那么您可能已经将它们配置为家用路由器上的主 DNS 服务器。因此, 家中所有联网设备(有线或无线)都会经过此过滤器,而无需在每个设备上进行任何配置。.
但是,当你离开家后还想继续使用手机上的过滤功能时,问题就出现了,而且, 您希望连接到移动热点的设备也能从中受益。有几种策略:
一种方法是使用 DoH 或 DoT,通过有效的域名和证书,使你的家庭服务器可以从互联网访问。你可以在 Android 设备上将该主机名配置为私有 DNS,这样无论你在哪里, 您的手机会将加密查询发送到您的家庭服务器。但是,这确实需要在路由器上打开端口,保持证书更新,并对机器进行非常严密的保护。
另一种更平衡的选择是将你的家庭 DNS 与你自己的 VPN(WireGuard、OpenVPN 等)结合使用。你可以在路由器或本地网络的服务器上配置 VPN,当你从外部连接时, 所有流量,包括 DNS 查询,都会通过隧道传输到您的局域网。使用 Pi-hole 或 AdGuard Home 作为解析器。虽然前期准备工作较多,但可以避免将 DNS 服务直接暴露在互联网上。
如果你觉得这些操作对于你使用手机的方式来说太麻烦,那么在大多数情况下,最明智的做法就是在家时通过路由器使用你的家庭服务器。 离开时请在 Android 上配置安全的公共 DNS (例如 Cloudflare、Quad9、Google 等)。对大多数用户而言,这种便利性和安全性之间的平衡已经非常合理了。
移动DNS是否也能保护联网设备?
在隐私论坛上经常会看到一个非常常见的问题:仅仅在手机上启用私人或安全 DNS 是否就足够了? 所有连接到热点的设备都会自动受到保护。鉴于目前的情况,诚实的回答是:通常情况下,不会。
正如我们之前讨论过的,当手机充当临时路由器时,它分配的网络参数(IP地址、网关、DNS)通常基于以下因素: 移动网络向他传输的内容不在安卓的安全DNS设置中。因此,在很多情况下,私有DNS仅限于手机本身。
对于通过网络共享连接的笔记本电脑,情况实际上与使用 USB 调制解调器相同: 检查移动运营商的 DNS 服务器并进行查询,除非你强制它使用其他 DNS 服务器。从服务提供商的角度来看,您可以继续分析哪些域名是通过您的连接解析的。
确保每个设备都能以所需分辨率工作的方法是进入其网络设置, 手动指定 DNS在 Windows、macOS 或 Linux 系统中,可以通过网络适配器属性(WiFi 或以太网)来完成此操作,将“自动 DNS”替换为您选择的服务器。
在 iPhone 和 iPad 上,您还可以使用 Wi-Fi 网络配置 DNS:前往“设置”>“无线局域网”,点击网络旁边的“i”图标(在 Android 设备上可能是热点),然后在“配置 DNS”下方,切换到“手动”并输入您首选网络服务提供商的 IP 地址。如果您经常切换网络,这可能会有点麻烦,但是…… 它确保设备未经您的许可不会使用运营商的 DNS。.
如何在 iPhone、其他手机和电脑上更改 DNS
在 iOS 和 iPadOS 中,苹果分别从 iOS 14 和 macOS 11 开始引入了对 DoH 和 DoT 的支持,但是 没有哪个设置像安卓系统的“私有DNS”那样显而易见。默认情况下,最简单的方法是更改每个 WiFi 网络的 DNS:设置 > Wi-Fi > “i” 图标 > 配置 DNS > 手动,删除旧服务器并添加新服务器(例如,1.1.1.1 和 1.0.0.1 或 8.8.8.8 和 8.8.4.4)。
此设置仅适用于您定义它的网络,因此如果您连接到其他网络,则需要重复此过程。对于移动数据以及更透明地使用 DoH/DoT, App Store 中有一些应用可以安装配置描述文件。 采用加密 DNS 和高级用户工具,允许您打包自己的配置文件。
在 Windows 10 和 11 中,更改 DNS 需要进入网络设置(或传统的控制面板),然后编辑适配器属性。选择 IPv4 协议,勾选“使用下面的 DNS 服务器地址”复选框, 您输入与您首选服务提供商对应的 IP 地址。在最新版本中,该系统还支持某些解析器的原生 DoH。
在 macOS 上,操作步骤类似:打开“系统设置”>“网络”,选择您的网络接口(WiFi 或以太网),点击“高级/详细信息”,然后在“DNS”选项卡中, 使用添加按钮添加新服务器。更改生效后,通过该接口的所有连接都将使用这些 DNS 服务器,直到您更改它们为止。
在 Linux 系统中,具体过程取决于你使用的是 NetworkManager 还是其他管理器,但思路是一样的:访问连接设置,手动设置解析器,如果你想要最大程度的控制, 编辑诸如 /etc/resolv.conf 或 NetworkManager 配置文件之类的文件.
在路由器级别和专用热点解决方案中配置 DNS
如果您不想逐个触碰家里的每个设备,那么一个强大的替代方案是: 直接在家用路由器上更改DNS设置。通过访问 Web 界面(通常是 192.168.1.1 或其他 LAN IP 地址),您可以进入 WAN/Internet 部分,并将自动 DNS 替换为手动服务器。
保存并重启后,所有通过 DHCP 获取 IP 地址的设备都将继承这些 DNS 设置,无需您进行任何其他操作。这包括手机、笔记本电脑、游戏机、智能电视等,只要它们没有配置静态 DNS 设置。这是一种便捷的方法。 在整个网络中标准化过滤和隐私保护.
在专业的热点环境中(例如,EdgeCore 或 WifiCloud 等解决方案的控制器),通常会将自定义 DNS 与防火墙规则结合使用。 防止用户通过更改设备的 DNS 设置来绕过过滤。一种常用的方法是:
首先,将设备的 WAN 设置配置为使用过滤服务的 DNS 服务器(例如 WifiCloud 的 IP 地址)作为“首选 DNS 服务器”和“备用 DNS 服务器”。完成此操作后, 来自整个网络的请求都会经过这些经过过滤的解析器。.
然后创建防火墙规则,仅允许 DNS 流量(端口 53)流向这些特定的 IP 地址; 它们会阻止任何使用外部 DNS 服务器(例如 8.8.8.8 或 1.1.1.1)的尝试。实际上,用户可以在笔记本电脑上设置任何他们想要的 DNS,但如果它与已批准的 DNS 不匹配,流量将被切断,他们将无法浏览网页。
这种方法也适用于高级家用路由器或固件,例如 OpenWrt。可以配置 dnsmasq 等服务,将其指向本地网络上的 Pi-hole(例如 192.168.1.201),并将其与防火墙规则结合使用。 强制所有 DNS 流量通过您的过滤解析器防止向外部 DNS 泄露信息。
然而,在复杂的 OpenWrt 和 Pi-hole 配置中,很容易迷失方向:您需要配置 LAN 接口以使用 Pi-hole 作为 DNS 服务器,添加 DHCP 选项 6(客户端的 DNS 服务器),并决定路由器本身是否也使用该服务器,还是直接查询互联网。简单的 nslookup 命令可以帮助您进行检查。 如果客户端确实在使用您定义的 DNS。 或者他们会继续指责别人。
归根结底,了解每一层(设备、路由器、热点、VPN)使用哪个 DNS 以及请求的解析顺序是配置的关键。 使用自定义 DNS 的安全热点运行正常 不要只停留在理论层面。
所有这些在调整 DNS、结合加密(DoH/DoT)、利用 Cloudflare、Google、Quad9、OpenDNS 或 NextDNS 等服务、使用 AdGuard Home 或 Pi-hole 等工具以及在必要时配合使用优质 VPN 方面所做的努力,都会转化为您的连接,无论是来自您的移动设备还是来自依赖于您的接入点的设备的连接。 它们运行速度更快,能更好地过滤威胁,更尊重您的隐私,并让您真正掌控您的在线数据会发生什么。.
