通过配置DNS over HTTPS来阻止DNS污染

DNS（域名系统）的主要功能是将域名解析成IP地址，域名的解析工作由DNS服务器完成。从安全角度来看，域名解析的请求传输时通常不进行任何加密，这导致第三方能够很容易拦截用户的DNS，将用户的请求跳转到另一个地址，常见的攻击方法有DNS劫持和DNS污染。因此，使用不加密的DNS服务是不安全的。

DoH（DNS over HTTPS）是一个安全的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求，避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题（例如中间人攻击）来达到保护用户隐私的目的。因此，攻击者将无法查看请求的URL并对其进行更改，如果使用了基于HTTPS的DNS，数据在传输过程中发生丢失时，DoH中的传输控制协议（TCP）会做出更快的反应。

不过，由于其基于HTTPS，而HTTPS本身需要经由多次数据来回传递才能完成协议初始化，因此DNS over HTTPS的域名解析耗时较原DNS协议会显著增加。

目前，主流的浏览器和操作系统均已经支持DNS over HTTPS，不少移动设备也开始支持基于HTTPS的DNS选项。

谷歌Chrome浏览器设置方法

设置-隐私设置和安全性-使用安全DNS，系统默认的几个都不好用，建议使用自定义DNS，参数如图所示，设置好了以后，即可在Chrome里防止DNS污染。

如图设置为国内dns：https://doh.pub/dns-query

火狐Firefox浏览器设置方法

设置-常规-网络设置-设置-启用基于HTTPS的DNS，建议使用自定义DNS，参数如图所示，设置好了以后，即可在Firefox里防止DNS污染。

如图根据实际情况而定，本人居住国内所以采用国内DSN：https://doh.pub/dns-query

Windows 10操作系统设置方法

Windows系统版本必须为Windows 10 Build 19628版及以上版本，暂时低于该版本的系统均不支持DoH加密。使用winver可查看当前Windows系统版本。

打开注册表编辑器，找到如下路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

右键点击右侧空白处新建DWORD然后将其命名为EnabledAutoDoh，双击该项然后将其键值由默认值修改2并保存，保存成功后重启计算机。

接下来，在查看网络连接设置里，选择属性-Internet Protocol Version 4 (TCP/IPv4) ，设置DNS为如下数值。

Cloudflare – 首选: 1.1.1.1, 备用: 1.0.0.1

Google – 首选:8.8.8.8, 备用: 8.8.4.4

国内首选 114.114.114.114（或者腾讯的公共DNS也可：119.29.29.29）

在Windows 10 Build 20185版及以上版本，可以直接设置。

设置-网络状态-属性，点击DNS设置里的编辑，设置DNS为如下数值。

常见的支持DoH的公共DNS服务器

国内：

腾讯: https://doh.pub/dns-query
阿里巴巴: https://dns.alidns.com/dns-query
360: https://doh.360.cn/dns-query

国外：

Cloudflare: https://1.1.1.1/dns-query
Google Public DNS: https://dns.google/dns-query
Open DNS: https://doh.opendns.com
QUAD9 DNS: https://dns.quad9.net/dns-query

除了基于HTTPS的DNS外，目前还有另一种用于保护域名系统的技术：基于TLS的DNS（DoT）。这两个协议看起来很相似，都承诺了更高的用户安全性和隐私性。DoT使用了安全协议TLS，在用于DNS查询的用户数据报协议（UDP）的基础上添加了TLS加密。DoT使用853端口，DoH则使用HTTPS的443端口。

由于DoT具有专用端口，因此即使请求和响应本身都已加密，但具有网络可见性的任何人都可以发现来回的DoT流量。DoH则相反，DNS查询和响应和其他HTTPS流量完全一样，很难进行监视和识别。