有什么 Win 上的 DoH/DoT 的防污染 DNS 方案吗？

受不了你国的魔幻网络了，节点里介绍的 mos-chinadns 我去试过了，不知道为什么没有达到理想的效果，该污染还是污染。simplednscrypt 倒是没有任何问题，但是访问国内网站的速度就极大地降低了。clash 听说也能做一个 DoH 客户端，但是我不知道该怎么做…… 仅限在 win 上，有什么抗污染+分流的 dns 方案吗？谢谢

Rilimu

2020-08-02 23:44:08 +08:00

同。win 上用 moschinadns 的默认分流配置好几个月了。没发现问题。local remote 都是 dot 。

请求哪个域名被污染了？

Rilimu

2020-08-02 23:47:11 +08:00

@Les1ie mos-chinadns 把 dot doh 的延时给灭了。连接服用。第一次请求后，和传统 UDP 一块。

JamesR

2020-08-02 23:47:38 +08:00

路由器上对被污染的域名走 VPN 解析，由于被污染的域名比较少，自己写个通配符匹配就行了。

Les1ie

2020-08-02 23:52:28 +08:00

@Rilimu #22 我去看看要是延迟和 udp 的差不多那么还比较好

m4d3bug

2020-08-02 23:58:13 +08:00

overtrue

MrMissBlack

2020-08-03 00:28:37 +08:00

@love 如果玩 bt 的话对流量消耗太大了

katana97

2020-08-03 08:43:09 +08:00

在局域网里搭建 AdGuard Home

domosekai

2020-08-03 09:27:15 +08:00

@MrMissBlack 不要用 tun，开全局 HTTP 代理，bt 直连就行

H0u5er

2020-08-03 11:52:39 +08:00

v2ray 支持 DoH，搞了一个旁路由，效果显著，在 DNS 泄漏的测试中获得满分。如果阿里的 dns 开启 DoH 之后，发现某些国内对网站解析得出的是国外的 IP 地址（如斗鱼直播），配置中加上 clientIp 参数即可。

"dns": {
"hosts": {
"some_local_site.com": "192.168.1.1",
"some_local_site.net": "192.168.1.1",
"x1.local.com": "192.168.1.252",
"x2.local.com": "192.168.1.253",
"x3.local.com": "192.168.1.254"
},
"servers": [
{
"address": "223.5.5.5",
"port": 53,
"domains": [
"geosite:cn",
"h0u5er.com",
"ntp.org"
],
"expectIPs": [
"geoip:cn"
]
},
{
"address": "https://1.1.1.1/dns-query",
"port": 53,
"domains": [
"geosite:geolocation-!cn",
"geosite:speedtest"
]
},
"1.1.1.1",
"localhost"
]
},

参考资料：
https://medium.com/@TachyonDevel/%E6%BC%AB%E8%B0%88%E5%90%84%E7%A7%8D%E9%BB%91%E7%A7%91%E6%8A%80%E5%BC%8F-dns-%E6%8A%80%E6%9C%AF%E5%9C%A8%E4%BB%A3%E7%90%86%E7%8E%AF%E5%A2%83%E4%B8%AD%E7%9A%84%E5%BA%94%E7%94%A8-62c50e58cbd0

MrMissBlack

2020-08-03 12:12:01 +08:00

@domosekai 有些场景不用透明代理不行，比如安卓 tv，或者是一些不支持代理的软件。当然我自己用是没问题的，用 proxifier 就行了，但是家里其他人要用就麻烦了。
我现在想到的最好办法是单独将 transmission 指定一个不经过代理的出口，不过具体实现还没想好。

domosekai

2020-08-03 12:23:35 +08:00

@MrMissBlack 我以为你是 win，如果是 router 上分流那么限制端口就好了，我自己是只转发 1024 以下到代理，高位端口的应用很少的，个别开就行了，比如安卓的 5228

Whalko

2020-08-03 12:50:59 +08:00

@Rilimu #21 试试看 https share 点 dmhy 点 org 一个很典型的被污染的网址

Whalko

2020-08-03 13:00:46 +08:00

@Les1ie #20 这个在 direct 模式下能生效吗？…

Whalko

2020-08-03 13:01:56 +08:00

@Rilimu #21 受到楼上提醒，我用 Wireshark 抓个包看看好了，看看具体问题出在哪里，是不是因为我根本没配置好…

MrMissBlack

2020-08-03 13:42:37 +08:00

@domosekai 您好，请教一下如果碰上 ftp 这种被动端口，会不会不好处理呢

byzf

2020-08-03 13:52:34 +08:00

dnscrypt, 我在 arch linux 的包推荐里找到的, 然后发现 windows 上也有, 亲测极其干净.(我这么说出来是不是以后就不干净了
虽然不知道为什么, dnspod(腾讯的) 用 doh, 貌似还是返回的被污染的结果.

xingyuc

2020-08-03 13:56:18 +08:00

@love 自己公司开发的网站被劫持加上了流量小广告不承认怎么办……

MrMissBlack

2020-08-03 14:01:12 +08:00

@domosekai 另外我还担心一件事。有些网站开启了 ddos 防护，如果使用 ip 分流会不会通不过网页验证

imn1

2020-08-03 14:18:05 +08:00

最最简单当然是利用梯子就行了
简单傻瓜方案是 github 搜一些华人开发的 dns 项目
如果想用大厂的，就装 unbound，github 上面有专为 cn 写的配置
或 stubby，这个是开箱即用的，默认配好了十多个国外 DoT，缺点是慢，没有 cache

如果想自己配，各方面顺畅、方便自己管控，考虑三点
1.分流，国内 udp，国外 DoT/DoH
2.因为要正确，所以肯定比 udp 慢，上 cache，设定 10~24 小时 TTL 缓存
3.支持 edns，避免一些 cdn 总是解析到国外

Les1ie

2020-08-03 14:33:31 +08:00

@Whalko #33 试过了生效

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/695037

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.