chrome用户可通过四种方法启用dns over https(doh)防范dns劫持:一、浏览器设置中开启“使用安全dns”并选择服务商;二、手动输入自定义doh uri地址;三、通过chrome://flags强制启用doh;四、windows系统下通过注册表配置dnsoverhttpsmode和dnsoverhttpstemplates。
如果您在使用Chrome浏览器时遭遇域名解析被篡改、网页跳转异常或疑似DNS劫持现象,则可能是本地网络中的DNS请求未加密,导致中间设备可拦截并替换响应。以下是开启安全DNS(DNS over HTTPS, DoH)以防范此类劫持的多种配置方法:
一、通过浏览器设置启用安全DNS
此方法利用Chrome内置图形界面直接启用DoH,无需修改系统配置,适用于普通用户快速建立加密DNS通道,防止运营商或局域网设备对DNS查询进行篡改或重定向。
1、点击浏览器右上角的三个垂直圆点图标,打开主菜单。
2、在菜单中选择“设置”选项,进入配置页面。
3、在左侧导航栏中点击“隐私和安全”。
4、在右侧内容区域中找到并点击“安全”选项。
5、向下滚动至“高级”部分,定位到“使用安全DNS”设置项。
6、将该选项右侧的开关切换为开启状态。
7、在“选择服务提供商”下拉菜单中,可选择Google、Cloudflare、OpenDNS等预设选项,或选择“自定义”以手动输入地址。
二、手动配置自定义安全DNS服务器
当您希望绕过默认推荐、规避已知存在劫持风险的本地DNS服务商,或需验证特定可信DoH端点时,可强制指定加密DNS地址,确保所有查询均经由HTTPS隧道发送至目标服务器,杜绝明文DNS中间人干预。
1、按第一种方法进入“使用安全DNS”设置界面。
2、在“选择如何处理安全DNS”区域,选择“使用特定的服务”单选按钮。
3、在下方输入框中,键入支持DoH协议的完整URI地址,例如:https://dns.google/dns-query、https://cloudflare-dns.com/dns-query或https://dns.quad9.net/dns-query。
4、输入完成后,Chrome将自动尝试连接并验证该端点的有效性;若显示绿色对勾,则表示地址可用。
5、点击保存或直接关闭设置页,更改立即生效,无需重启浏览器。
三、通过实验性标志(Flags)强制启用DoH
此方式跳过Chrome的自动协商逻辑,直接激活底层DoH协议栈,适用于检测到DNS劫持但常规设置未触发DoH、或当前网络环境屏蔽了标准DoH服务发现机制的情况,可有效阻断降级至不安全DNS路径。
1、在浏览器地址栏中输入chrome://flags并回车,进入实验性功能页面。
2、在页面顶部搜索框中输入关键词dns over https进行筛选。
3、找到名为“DNS over HTTPS (DoH) mode”的实验选项。
4、点击其右侧下拉菜单,选择Force HTTPS模式。
5、页面底部出现“重启”按钮,点击后浏览器将自动关闭并重新启动,新配置随即加载。
四、通过注册表配置强制启用安全DNS(Windows系统)
此方法在系统级锁定Chrome的DoH行为,防止用户误操作关闭或网络策略动态覆盖,适用于高风险网络环境(如公共Wi-Fi、企业访客网络)中对抗主动DNS劫持攻击。
1、按下Win + R键,输入regedit并回车,打开注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome。如路径不存在,请手动创建对应键值。
3、在右侧空白处右键,选择新建 > 字符串值(REG_SZ)。
4、命名为DnsOverHttpsMode。
5、双击该值,将其数据设置为secure以强制仅使用加密DNS。
6、如需指定服务器地址,再新建一个字符串值,命名为DnsOverHttpsTemplates,其值设为完整的DoH URI模板,例如:https://dns.google/dns-query{?dns}。
