在 Windows 10 上启用 DNS over HTTPS (DoH)

---

Windows 10 2004 版本（2020 年 5 月更新）中出现了 DNS over HTTPS (DoH) 支持。现在，Windows 10 可以使用内置的 DoH 客户端通过 HTTPS 协议解析名称。在本文中，我们将介绍 DNS over HTTPS 协议的用途，以及如何在最新的 Windows 10 版本上启用和使用它。

当您的计算机连接到 DNS 服务器来解析名称时，它会通过 Internet 以明文形式发送和接收 DNS 请求/响应。攻击者可以拦截您的流量、检测您访问过的资源或使用中间人类型的攻击操纵您的 DNS 流量。 DNS over HTTPS 通过加密所有 DNS 查询来保护用户数据隐私。 DoH 协议将 DNS 查询封装到 HTTPS 流量中并将其发送到 DNS 服务器（您需要使用支持 DoH 的特殊 DNS 服务器）。

Windows 10 2004 尚无 GPO 参数或图形界面中的选项来启用 DNS-over-HTTPS。目前，您只能通过注册表在最新的 Windows 10 版本上启用 DoH：

1. 跑过

   regedit.exe

   ;

2. 转到注册表项

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

3. 创建一个名为 EnableAutoDoh 和值 2 的新 DWORD 参数；
   

   

   您还可以使用 New-ItemProperty cmdlet 创建此注册表参数：

   $EnableDNSoverHTTPSKey = 'HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters'
   $EnableDNSoverHTTPSParameter = 'EnableAutoDoh'
   New-ItemProperty -Path $EnableDNSoverHTTPSKey -Name $EnableDNSoverHTTPSParameter -Value 2 -PropertyType DWord -Force

4. 然后重新启动DNS客户端服务。为此，请重新启动计算机，因为您将无法正常重新启动 dnscase 服务（

   Restart-Service -Name Dnscache -force

   命令返回以下错误：集合已修改；枚举操作可能无法执行）。

然后您必须更改网络连接的 DNS 设置。您需要指定支持 DNS over HTTPS 的 DNS 服务器。并非所有 DNS 服务器都支持 DoH。下表显示了支持 DNS over HTTPS 的公共 DNS 服务器的列表。

ProviderIP Addresses of DNS Servers With DNS over HTTP SupportCloudflare1.1.1.1, 1.0.0.1Google8.8.8.8, 8.8.4.4Quad99.9.9.9, 149.112.112.112

打开网络连接窗口（控制面板 -> 网络和 Internet -> 网络和共享中心或

ncpa.cpl

）。然后在网络适配器属性中将当前DNS服务器IP地址更改为支持DoH的DNS服务器地址。

您可以使用 PowerShell 更改网络适配器设置中的 DNS 服务器地址（请参阅有关使用 PowerShell 进行网络配置的文章）：

$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8', '1.1.1.1'

然后，您的 DNS 客户端将使用 HTTPS (443) 协议而不是标准 UDP/TCP 端口 53 进行 DNS 名称解析。

使用 PktMon.exe，一个捕获网络流量的工具（我们之前介绍过），您可以确保计算机不会通过 53 端口发送 DNS 请求。

删除所有当前的数据包监视器过滤器：

pktmon filter remove

为默认 DNS 端口 (53) 创建新过滤器：

pktmon filter add -p 53

启动实时流量监控（流量会显示在控制台）：

pktmon start --etw -p 0 -l real-time

如果您正确配置了 HTTPS 上的 DNS，则端口 53 上不会有流量（下面的屏幕截图显示了启用和禁用 DoH 的控制台输出）。

您还可以使用以下在线服务（DNSSEC 检查）检查您的计算机上的 DNS over HTTPS 是否正常工作：https://www.cloudflare.com/ssl/encrypted-sni/

去年，所有流行浏览器（Google Chrome、Mozilla Firefox、Microsoft Edge、Opera）都实现了基于 HTTPS 的 DNS。您可以在其中每个项目中启用 DoH 支持。因此，来自浏览器的所有 DNS 查询都将被加密（其他应用程序的 DNS 流量仍将以纯文本形式发送）。

DNS over HTTPS 和 DNS over TLS 会给企业网络管理员带来很多麻烦，因为限制内部网络对外部资源的访问将变得更加困难。