DNS隐私保护指南：DoH、DoT、DNSCrypt配置教程

许多用户以为连上VPN后就完全安全了，但DNS泄露是常被忽视的问题：

什么是DNS泄露：VPN客户端忘记重定向DNS查询，或操作系统绕过VPN发送DNS请求（Windows的WebRTC DNS泄露），导致你的DNS查询仍通过本地ISP的DNS服务器发送。你的ISP虽然看不到实际流量，但能通过DNS查询日志看到你在访问哪些域名。

检测DNS泄露：

1. 连接VPN后访问 dnsleaktest.com
2. 点击「Extended Test」
3. 如果显示的DNS服务器IP属于中国ISP（中国联通、中国电信），说明存在DNS泄露
4. 如果显示VPN服务器或境外DNS的IP，说明DNS正确通过VPN路由

对于GFW的DNS污染问题：GFW会对境外域名的DNS查询返回错误IP（DNS污染），使你无法访问即使配置了VPN的网站。防DNS污染是另一个需要处理的问题。

DoH将DNS查询包裹在HTTPS中，使ISP无法识别和篡改DNS流量（看起来像普通HTTPS）。

浏览器级别配置（最简单）：

Firefox：Settings -> Privacy & Security -> DNS over HTTPS -> 选择「Max Protection」，服务器选择Cloudflare（1.1.1.1）或NextDNS

Chrome：chrome://settings/security -> 启用「Use Secure DNS」

系统级DoH（全局生效）：

使用AdGuard Home（自建DNS服务器，可在AnubizHost VPS部署）：

curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v

AdGuard Home安装后，配置上游DNS为DoH服务器（Cloudflare/Google/NextDNS），所有设备将DNS指向AdGuard Home，实现全局DoH。

DNSCrypt通过加密和认证DNS查询，防止DNS污染（中间人修改DNS响应）。

安装dnscrypt-proxy：

apt install dnscrypt-proxy -y

配置文件 /etc/dnscrypt-proxy/dnscrypt-proxy.toml：

listen_addresses = ['127.0.0.1:53']
server_names = ['cloudflare', 'cloudflare-ipv6']
ipv6_servers = false
dnscrypt_servers = true
doh_servers = true
require_nolog = true
require_nofilter = false

启动服务：

systemctl enable dnscrypt-proxy && systemctl start dnscrypt-proxy

将系统DNS设置为127.0.0.1，所有DNS查询通过DNSCrypt处理。

GFW的DNS污染会对境外域名返回错误IP。在使用翻墙工具的同时，还需要解决DNS污染问题。

方案一：使用国内国际分流DNS

安装ChinaDNS或使用支持分流的代理客户端（如sing-box、Mihomo/Clash）：

• 中国域名使用国内DNS（如114.114.114.114）
• 境外域名使用通过代理的境外DoH（如通过VPS查询Cloudflare 1.1.1.1）

方案二：全部通过代理查询境外DNS

配置代理客户端（Shadowsocks、VLESS）的DNS设置，将所有DNS查询发送到境外DNS服务器（通过代理隧道查询，不经过GFW过滤），彻底解决DNS污染。

大多数现代翻墙客户端（Hiddify、Clash Verge、sing-box GUI）都内置了这个功能，在设置中启用「DNS分流」或「使用远程DNS」即可。