加密 DNS（DNS-Crypt）究竟怎么用？

众所周知，dnscrypt 现在很是热门，据说能解决不少劫持问题。但是 DOH 和 DOT 究竟在应用层使用了多少呢？

最近在华为的系统里也发现了这么一个选项，但是其他 android/Windows/Linux 究竟应该怎么配置才能使用呢？顺便问一下大家关于加密 DNS 的看法

lycc

2019-06-24 21:49:08 +08:00

高版本安卓提供了加密 DNS 选项，就算是低版本或者被阉割的安卓也可以使用 intra 这个 app 来使用加密 DNS。其他平台不清楚，有请楼下大佬回答

CEBBCAT

2019-06-24 23:57:32 +08:00

lmgtfy

jinliming2

2019-06-25 00:51:07 +08:00

目前在使用 Cloudflare 的 1.1.1.1 和 1.0.0.1 的加密版本，走的是 cloudflared 客户端。
但是好像直连并不稳定，无规律丢包十几秒……要走代理才可以稳定……

自己查的话，会用 Google DNS 提供的 API 接口，还是很方便的……

hanqian

2019-06-25 02:42:41 +08:00

miui 给阉割了…华为还挺让人刮目相看的

cheakyam

2019-06-25 09:09:30 +08:00

@hanqian MIUI 之类的只是屏蔽了入口，功能还是在的，下载个 QuickShortcutMaker，可以从这里面打开

tony1016

2019-06-25 09:24:22 +08:00

众所周知，dnscrypt 和 dot、doh 不是一个东西

qcts33

2019-06-25 09:51:42 +08:00

电脑啥的可以用 dnscrypt-proxy，支持 DoH 和 dnscrypt 协议，支持基于域名的分流，支持多个上游的负载均衡。个人使用体验良好
另外 firefox 自带 DoH 支持，不过由于各大 DoH 服务似乎都不支持 ECS，不带分流功能直接用 DoH 的体验不是特别好

miaomiao888

2019-06-25 10:15:35 +08:00

@hanqian 原系统本来就有的东西没给阉割还要感恩戴德？

owenliang

2019-06-25 10:33:08 +08:00

没意义，socks5 本来就支持 domain。

meteor

2019-07-11 16:44:20 +08:00

@qcts33 Google 的 DoH 支持 ECS 的。但是 443 端口在国内被墙了。所以国内不能用。

qcts33

2019-07-12 08:42:33 +08:00

@meteor 我自己没测，但看过一些 issue 都报告说 Google 的 DoH 似乎也没有实现 ECS ……回头有空了我自己试试看
https://github.com/jedisct1/dnscrypt-proxy/issues/532

meteor

2019-07-12 09:27:10 +08:00

@qcts33 你那个不是 DOH，Dns Over Http。而是 DnsCrypt.DnsCrypt 本来是 OpenDNS 的技术。

meteor

2019-07-12 09:47:19 +08:00

至于 DoT 和 DoH 的区别我感觉可以从端口和协议作区分。
拿 dns.google 举例
DoT TCP 853 端口
DoH HTTP 443 端口

meteor

2019-07-12 09:51:48 +08:00

纠正一下 DOH 是 Dns Over Https
DoH HTTPS 443 端口

qcts33

2019-07-12 14:10:56 +08:00

@meteor 这个软件叫 dnscrypt-proxy，但实际是支持 DoH 的，你仔细看 issue，主要讨论的对象就是 Google 的 DoH ……毕竟 Google 的 DNS server 又不支持 dnscrypt ……

qcts33

2019-07-12 14:15:52 +08:00

@meteor 还有一个纠正，DoT 的全称是 dns-over-tls ……毕竟 tcp 本身称不上什么加密

meteor

2019-07-12 18:52:48 +08:00

@qcts33 但是 Google 的 DOH 支持 ECS 的。这个帖子是一年前的，即使那时不支持，也不表示现在不支持呀。你可以上 dns.google 试下，然后看下文档。

qcts33

2019-07-12 21:46:22 +08:00

@meteor I stand corrected.
(.venv) D:\Workspace\doh>python doh.py www.baidu.com --server dns.google -p 127.0.0.1:1080
dns.google 0.797
www.baidu.com. 516 IN CNAME www.a.shifen.com.
www.a.shifen.com. 227 IN CNAME www.wshifen.com.
www.wshifen.com. 227 IN A 104.193.88.123
www.wshifen.com. 227 IN A 104.193.88.77

(.venv) D:\Workspace\doh>python doh.py www.baidu.com --server dns.google -p 127.0.0.1:1080 -e 120.92.78.97
dns.google 0.984
www.baidu.com. 22 IN CNAME www.a.shifen.com.
www.a.shifen.com. 299 IN A 220.181.38.150
www.a.shifen.com. 299 IN A 220.181.38.149

(.venv) D:\Workspace\doh>python doh.py www.baidu.com --server dns.google -p 127.0.0.1:1080 -e 119.3.229.89
dns.google 0.938
www.baidu.com. 1130 IN CNAME www.a.shifen.com.
www.a.shifen.com. 299 IN A 182.61.200.7
www.a.shifen.com. 299 IN A 182.61.200.6

不过我这里 dns.google 直连连不上，尴尬……

meteor

2019-07-13 19:58:59 +08:00

@qcts33 你这 doh.py 写了点什么？没看懂。

qcts33

2019-07-13 21:55:37 +08:00

@meteor 就是一个 DoH 的 client，我自己用来练手 asyncio 的，aiohttp+dnspython，不过具体实现不重要。
-e 参数给的是 ecs 的地址，所以能看出来给不同的 ecs 参数就有不同的响应。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/577043

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.