互联网已经是许多人的第二世界，许多人都开始重视互联网的隐私保护，但是我们的个人隐私除了可能向互联网平台厂商泄露以外，我们向运营商泄露的隐私则更多、也更全面，但却少有讨论，今天我们就来讲讲如何通过DNS保护我们隐私的另一面漏洞——上网记录

或许你在看这篇图文前可能还不知道什么是DNS

①什么是DNS？

网站的真正地址其实是一串串的IP，当我们输入网址时，我们的设备就向DNS发送请求，DNS会返回IP地址，从而让我们与网站连接起来，就如同以前的向导站一样。

②DNS如何泄露隐私？

DNS设计当初并没有考虑保密性，遵守的UDP协议是明文传输的，任何同一网络中的其他人可以知道你要访问的网址，而运营商不仅可以感知你每一次的上网动作，还可以在DNS返回的结果中投毒(比如辽宁联通曾经屏蔽工信部网站)，插入广告，或者返回缓存的离线网页来降低运营商的带宽负担，但这些离线网页往往很久不更新。

③加密DNS是什么？

DNS over TLS(DoT)和DNS over Https(DoH)是新一代的DNS，它们通过TLS或者https协议加密了你和DNS服务器之间的连接，从而使第三方无法得知你的域名申请请求，也无法污染DNS结果，DoH把DNS请求隐藏在普通网页流量中，监听者甚至可能不知道你发送了DNS请求。

④如何使用加密DNS？

Android设备中(Android 9及以上)：打开设置-找到私人DNS(部分设备为加密DNS)-选择主机商提供域名(支持DoT)

Windows中(Windows10 20H2及以上)：找到设置-网络与Internet-找到WIFI-DNS服务器(手动)-填写DNS服务器的IP，如果DNS在微软白名单中，下方会出现［仅加密］的按钮(支持DoH)

浏览器(Chrome/Edge/火狐等)：浏览器设置-找到安全DNS(加密DNS)-另选一个提供商，打开后可以选择自带的提供商或者自定义域名(支持DoH)

iPhone或mac：apple在去年开始让设备支持加密DNS，使用特定提供的描述文件，或者前往APP store下载诸如ADGuard Cloudflare等软件。

⑤怎么选择加密DNS？

国内目前支持加密DNS的服务商比较少，以下三家是我推荐的

⑥还有别的加密DNS选择吗？

当然有！Google、Cloudflare、IIJ、OpenDNS等均提供全球加密DNS服务，但是在国内访问较慢，且存在阻断风险并不推荐。

⑦什么是个性化加密DNS？

NextDNS和红鱼DNS均提供个性化加密DNS，注册后你会过的专属的DNS域名，它们提供广告拦截、防跟踪、家长监控等功能，是喜欢自定义的高级玩家的不三选择。

⑧如何检测我连接上了加密DNS？

https://nstool.netease.com 

请检查返回的DNS地址是否和你设置的地址符合，如果服务器和你运营商一致，说明你的DNS已经被运营商劫持。

⑨被劫持了加密DNS怎么办？

由于在浏览器中填写的是网址，部分运营商会大胆劫持加密DNS

解决方法：把网址更改为IP，如下图

⑩其他小问题

• 建议设置系统的加密DNS后在浏览器也设置一个，部分浏览器可能仍然使用传统的明文DNS传输，系统未必能接管浏览器网络。

• 加密DNS偶尔会与校园网冲突，部分校园网网关会不断尝试劫持DNS和获取您和DNS建立链接中的数据，从而出现无法连接DNS，无法连接互联网的情况，如有上述情况建议联系你的校园网管理员！