为了进一步强化网络隐私与数据安全,Windows 11 早就原生支持了 DNS over HTTPS(DoH)。它会对电脑发出的所有 DNS 请求进行加密,防止你访问网站时的「域名信息」在网络传输过程中被窥探。
为什么要加密 DNS?
当你访问某个网站(比如cn.bing.com)时,Windows 11 会先向「DNS 服务器」(域名系统服务器)发送请求。而 DNS 服务器就像一本地址簿——将你输入的域名翻译成计算机能够理解的 IP 地址,再把结果返回给你的电脑,从而建立连接。
- 在传统网络环境中,这个「域名解析」过程是「明文传输」的。这就意味着,从你的电脑到 DNS 服务器之间的任意节点(无论是 ISP 运营商、公共 Wi-Fi 中的「黑阔」,还是其他中间人),都能轻易看到并拦截你正在访问哪些网站。
- DNS over HTTPS(DoH)的出现改变了这一局面。它会通过 HTTPS 协议,对电脑与 DNS 服务器之间的通信进行加密。开启 DoH 后,不仅没人能窥探你的访问请求,还能有效防止恶意第三方篡改 DNS 响应(俗称 DNS 劫持或 DNS 投毒)。
支持 DoH 的 DNS 服务商
查看 DNS-over-HTTPS 模板
Windows 11 在发布之初,就内置了一份支持 DoH 功能的服务商「白名单」。你可以通过以下步骤查看:
1右键点击「开始」菜单,选择「终端管理员」,以管理员权限打开 Windows 终端。
2执行以下命令,查看系统内置的 DNS-over-HTTPS 模板:
netsh dns show encryption
国内外主流 DoH 服务提供商
不过,(目前)系统内置的 12 条「DNS-over-HTTPS 模板」更方便于「非内地用户」。国内用户推荐使用以下「本土服务商」:
| 服务提供商 | 服务范围 | DNS IP 地址 | DoH 模板地址 |
|---|---|---|---|
| 阿里公共 DNS | 国内 | 223.5.5.5223.6.6.62400:3200::12400:3200::2 | https://dns.alidns.com/dns-query |
| 腾讯 DNSPod | 国内 | 119.29.29.292402:4e00:: | https://doh.pub/dns-query |
| 360 安全 DNS | 国内 | 101.226.4.6218.30.118.62400:da00::66662400:da00::6667 | https://doh.360.cn/dns-query |
| Cloudflare | 国际 | 1.1.1.11.0.0.12606:4700:4700::10012606:4700:4700::1111 | https://cloudflare-dns.com/dns-query |
| Google Public DNS | 国际 | 8.8.8.88.8.4.42001:4860:4860::88442001:4860:4860::8888 | https://dns.google/dns-query |
| OpenDNS | 国际 | 208.67.222.222208.67.220.2202620:119:35::352620:119:53::53 | https://doh.opendns.com/dns-query |
| AdGuard DNS | 国际 | 94.140.14.1494.140.15.152a10:50c0::ad1:ff2a10:50c0::ad2:ff | https://dns.adguard-dns.com/dns-query |
| Quad9 | 国际 | 149.112.112.1129.9.9.92620:fe::92620:fe::fe | https://dns.quad9.net/dns-query |
Windows 11 DoH 生效机制
从协议栈角度来看,Windows 11 的 DNS 配置可以被拆成两层:
- DNS 服务器是谁:即「首选 DNS」和「备用 DNS」,决定了「DNS 查询请求」要发给哪些服务器。如果你不填写这些地址,下面的 DoH 开关就没有任何「作用对象」。
- 怎么和它通信:由「DNS over HTTPS」下拉菜单控制,决定了 DNS 查询是走明文,还是走 HTTPS(DoH)。
也就是说:
- 没有「首选 DNS」,DoH 无法生效——因为 DoH 不是「全局 DNS 开关」,必须「附着」在某个 DNS 服务器地址上。
- 只填「首选 DNS」但不开 DoH,系统会使用「明文 DNS」。
- 只有两者同时设置,能真正启用 DoH。
用一句话来说:「首选 DNS」回答的是「找谁问」;「DNS over HTTPS」回答的是「用什么方式问」。
在 Windows 11 中启用 DNS over HTTPS(DoH)
1按Windows + I快捷键打开「设置」,进入「网络和 Internet」。
2根据你的实际情况,选择「WLAN」(无线)或「以太网」(有线)连接。
3进入网络连接详情页后,找到并点击「硬件属性」。
4在硬件属性页面中,找到「DNS 服务器分配」一栏,点击旁边的「编辑」按钮。
5在弹出的「编辑 DNS 设置」窗口中,将模式设置为「手动」。
6打开「IPv4」开关。在 IPv4 的配置区域中,填入要使用的「首选 DNS」和「备用 DNS」(可选)IP 地址。它们的作用本质上是:
- 被视为「可用的 DoH 解析器端点」,用于执行加密的 DNS 查询。
- 当某个 DoH 服务器失败、响应慢或不可达时,可作为「回退」选项。
- 备用 DNS 并非只在首选完全失效时才启用。
7在「DNS over HTTPS」下拉菜单中选择:
- 开(自动模板):会根据你填写的(首选/备用)DNS 服务器地址(比如
1.1.1.1或8.8.8.8等系统模板中已经有的),自动识别并使用内置的 DNS-over-HTTPS 模板(前面已介绍如何查看)。 - 开(手动模板):手动填入 DoH 模板的 IP 或域名,例如使用 DNSPod 的 DNS IP:
119.29.29.29,模板就填写对应的https://doh.pub/dns-query。(国内用户推荐此选项)
服务提供商的 DNS IP 地址和 DoH 模板地址应当是(上表)对应的,别胡乱填写。
8打开「失败时使用未加密请求」开关,以便在 DoH 不可用时自动回退,然后点击「保存」。
同理,如果你还在使用 IPv6 网络,就打开「IPv6」开关并按需设置。
9设置完成后,可以回到「设置」>「网络和 Internet」,选择对应的「WLAN」或「以太网」连接,查看 IPv4 或 IPv6 DNS 服务器的 IP 地址后面是否已标注为「已加密」。
Windows 11 DoH 注意事项
虽然 DNS 的解析逻辑并不区分 IPv4/IPv6,一次查询可以同时获得A(IPv4)和AAAA(IPv6)记录,但 Windows 11 的 DoH 配置是按协议栈分开来的。根据 Windows 的设计逻辑,DoH 是「附着」在 DNS 服务器地址上的,而非一个「全局开关」:
- Windows 有一个行为特性:如果 IPv6 DNS 可用,系统可能会优先使用 IPv6 DNS 进行查询。
- 只配置 IPv4 DoH 虽然可行,也能返回 IPv4 和 IPv6 记录;但如果系统实际使用了 IPv6 DNS,就必须同时也为 IPv6 配置 DoH,否则仍会产生明文 DNS 查询。
最新评论
32位 Windows 版本,没毛病
32位下好后右键属性一看版本型号、安装包信息都TM是64位的
不错,还非常贴心的附上了下载链接。
然而评估版本是不能激活的,这坑爹文章