有什么 Win 上的 DoH/DoT 的防污染 DNS 方案吗？

@MrMissBlack 这年头还有 ftp ！ linux 有个 nf_conntrack_ftp 模块，加载后作用是把 PASV 连接标记为 21 端口主连接的 RELATED 连接，跟随主连接有相同的 connmark 。只要你在转发透明代理的时候是跟着 connmark 走的（ REDIRECT 一定是这样的，因为走 nat 表，TPROXY 的话一定要用 connmark ），那么 RELATED 连接一定和主连接走同样的路由，不知说清楚了没。还有你说的分流导致通不过验证，要看你怎么分流了，国内外分流自然是不会的。。

@domosekai 多谢，受教了

@Les1ie 国内 DOH 会被审查是真的吗?我现在是路由器用 adguardhome 取代 dnsmasq，上游是阿里、dnspod 和谷歌的 DOH 。adh 开启了选择最快 IP 地址，所以访问国内网站不会被解析到国外，遇到被污染的无法连接就只会被谷歌 DOH 解析，所以我把 clash 的上游也设置成了 adh 的 dns 。如果会被审查，这样的话产生大量的屏蔽网站查询记录啊...

话说有一点我一直不太明白，就是折腾 DNS 这件事情。大多数被和谐的站并不只是 DNS 污染这一层；应对运营商劫持也显然只需要阿里等公共 DNS ；即便被污染的站的 IP/SNI 都没有被过滤，速度也是很感人的。与其百般折腾，似乎真不如一个 proxy 靠谱？那折腾防污染 DNS 是出于什么目的呢？

@nekobest 我也不明白，我自己吧以前觉得有些网站明明只是 DNS 污染就要挂 tz 显得不够纯粹，所以折腾 DNS 是为了减少对 tz 不必要的使用。我没有用国内外分流，是根据是否被 xx 自动分流的，所以 DNS 就很有用（我外网速度很好），如果是国内外分流的方案我也不懂为什么要折腾 DNS，有可能有些人不喜欢一直挂着 tz，能不用就不用？

@nekobest 我想起来了，还有一种情况，就是这个 dns 的结果是 tz 也要用的，如果采用的是发送 hostname 给代理或者 sniff 的方案，那么 DNS 是无所谓

你必须升级到 19628 才可以使用 doh

@Whalko 这个域名已测试。无污染。

@domosekai 对。
折腾防污染 DNS 主要是配合透明 DL 。虽然有 sniff 方案。但游戏和一些软件的数据流无法 sniff，透明 dl 如果 IP 被污染即使 tz 正常，也连不上。所以被迫折腾无污染 DNS 。

@domosekai
@nekobest “不喜欢一直挂着 tz”，有一定这样的因素，还有就是某些奇葩网站不让用代理。

@Jerami 我好像确实版本比较低……1903//18362 点 959

@Rilimu 这个确实，不过我还是很好奇有什么“游戏和软件的数据流”居然需要被污染？

@sky96111 #43 没有实际的证据，只有猜想。
可能会在不同的途径泄露访问网站的信息：
1. 公司、集团的出口网关、运营商可能获取请求的域名，造成隐私泄露，也可以抢答 DNS 请求
2. 使用的 dns 服务器可能会缓存客户端的 ip 和请求的域名的信息，也可以返回错误的解析结果

doh 和 dot 可以解决网关、运营商收集 DNS 请求和抢答的问题，但是无法解决 DNS 服务器自己存在的问题，我们只能选择信任 DNS 服务器

个人猜测运营商这里泄露 DNS 请求记录是个大头

为啥不直接改 hosts ？感觉这是一个相当伪的需求。

@sky96111 #43 同感。感觉是个大安全问题。国内服务器知道我们访问的所有网站的域名。

碰巧看见 mos-chinadns 的教程更新了。“隐私保护: 限制 local 服务器只解析指定域名”。好像是解决这种问题。有大佬能抓包验证一下这真的管用吗？

@domosekai #51 某软件需要连 Google 的 appspot 点 com 。而且无视 hosts 。不能被 sniff 。坑....

我也是被 dns 搞的头疼,后来干脆直接写驱动,劫持三层,如果主机名在指定的列表里,则劫持并转发所有 tcp/udp 到代理

YogaDNS 了解下，感觉还行

chrome 和 firefox 不是都已经支持了 DoT 了吗。
还是说你要全局的= =

@jilu171990 #53 虽然可能确实比较伪，但是改 hosts 略麻烦，我上面也说了，我 hosts 里有 10 条 1111，总不能每次遇到一个上不去的网站我就用多线 ping 工具看看什么情况吧。最烂的时候我 V2EX 都是改 hosts 上的，真的受不了了。然后 DoH/DoT 也有一些好处，一是有些时候 DNS 也会被运营商污染来投广告，虽然现在比较少了，二是一定程度的保护隐私。

@zimonianhua #56 感谢推荐，看了看似乎完美符合我的要求，我会去试试看的。可惜好像不开源

@flowfire 还是全局的好一点……然后我就知道 FF 能用 DoH，chrome 和 ff 的 DoT 在哪里我好像没看到过……我去搜搜看。

@Whalko 改 hosts 麻烦自己写脚本自动改啊。。。你这个需求的本质就是你因为懒不愿手动改 hosts，也不愿写脚本自动改 hosts，然后就决定花费无数的时间和精力去折腾同样很麻烦而且有大量额外开销同时在可预见的未来注定会撞墙的 dns，同时 dns 在默认情况下是不可能给你最优的解析结果的，如果你想要最优的解析结果的话，最终还得要去 dns 上改 hosts 。

@Les1ie 猜想就放心一点了..ADH 的选择最快 IP 只需要上游有一个未被污染的解析就可以保证查询正确，即使国内的 DOH 返回污染结果也没有太大的问题，至于泄露...
@Rilimu 从名字上看，不像是这个用途