EasyMosdns 分享简单好用的 DoH 与开源策略供研究使用

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

List of DNS Record Types

dig 使用说明

djbdns

DNS Parameters

dnslib for Python

这是一个创建于 1102 天前的主题，其中的信息可能已经有所发展或是发生改变。

EasyMosdns 项目自发布以来，得到了 V2EX 小伙伴们的一致好评，感谢大家的认可 : D

项目地址： https://github.com/pmkol/easymosdns

简化 Mosdns 基本功能使用的辅助脚本，仅需几分钟即可搭建一台支持 ECS 的无污染 DNS 服务器。

放出这个 DoH 的初衷是为了给开源项目 EasyMosDNS 测试规则，不提供公共 DNS 服务，发现直接使用的小伙伴越来越多，日解析量已经突破千万，所以优化了一下性能，分享全新版本的 DoH ，继续供大家研究测试使用。

DoH 地址：[前往查看]

本次更新，做了大量优化与调整：

修复了因 ECS 缓存导致 DNS 解析不准的 Bug
解决了 DNS 泄露国内节点的问题 (仅默认节点不泄露)
更换了 CDN 厂商防止攻击造成宕机
增加了 1 组境内节点规则 CN (即路由器上经常使用的境内 DNS 返回 IP 判断分流的规则)
增加了 6 组境外节点规则 HK/TW/JP/SG/RU/US

发现很多小伙伴并不知道这个项目同时也在维护 DNS 规则库，同时分享出来，适用于 DNS 分流。

DNS 规则库地址：[前往查看]

这个 DoH 有什么不同：

开源策略

对于安全而言这是最有说服力的。

举例说一条大家比较关注的，如何平衡 ECS 信息与隐私保护：源码中可见对 ECS 信息做了模糊处理，例如你的 IP 为 1.3.5.7 ，处理后的 ECS 信息为 1.3.5.0/24 ，对于部分境外域名，强制更改 ECS 信息为与真实 IP 无关联但不会影响解析效果的数值。

加密隧道

严格来讲，国内无论用 UDP/TCP/DoT/DoH/DoQ 哪种方式，直接去查询海外 DNS 都是不可靠的，还可能不定期出现阻断，因为这些访问方式都有明显的特征可以识别，当然如果没有多大访问量又不在意的话，也没什么大问题。

通过境外服务器查询海外域名才是可靠的，但境外查询的结果又如何传递国内，仅在境外服务器搭建 DNS 依旧会出现上述的问题，所以需要自建加密隧道，与远程服务器加密通信完成 DNS 的查询。其中对线路与加密方案的选择，是有少许技术含量的，否则访问量稍大就会出现 TCP 阻断。这也是我唯一没有公开的自研方案。

普通用户只需要了解这个 DoH 是在境外服务器查询的海外域名的即可，由于提供 DoH 的服务器在境内，查询速度有质的提升，可以通过以下两个网站，分辨检测境内与境外 DNS 的分流情况。

[境内] https://nstool.netease.com/

[境外] https://browserleaks.com/dns

这里做个科普：

很多代理工具默认内置了海外 DNS ，开启代理时海外 DNS 是通过远程代理服务器访问的，所以普通用户才会对 DNS 这里的影响无感，上文提到的加密隧道也类似这个原理，只是要做远超过客户端请求量的技术改进。

如果代理使用的是白名单模式，最优的 DNS 选择方案，就是本地 DNS 使用 DNSPOD 或 AliDNS 这类大厂的 EDNS ，远程 DNS 使用代理工具内置或 Google 、OpenDNS 、CloudFlare 等几家知名的海外 DNS ，乱折腾只是浪费时间。

但如果代理使用的是 GFW 黑名单模式，那么就会出现污染问题。这是因为黑名单与污染名单里的域名并不一致，当被污染的域名不在黑名单时，该域名就会返回污染结果。

所以对于无污染 DNS 的正确用法，应当是在本地名单中的域名，使用 DNSPOD 或 AliDNS 这类大厂的 EDNS ，其它全部使用无污染 DNS 进行查询。即实现代理走 GFW 名单节约流量，DNS 走白名单准确解析的效果。当然一些懒人会选择直接全部使用无污染 DNS ，但请确保这个 DNS 服务器在国内且延迟不高，不然真的会很慢。