在Ubuntu 20.04/18.04上保护你的DNS隐私（DNS over TLS）

本教程将向您展示如何使用DNS over TLS在Ubuntu 20.04/18.04桌面上保护您的DNS隐私。我们将使用名为stubby的工具来实现这一点。但首先，让我告诉你为什么DNS不安全。

DNS漏洞

DNS是不安全的，因为默认情况下，DNS查询未加密，中间实体可能会利用它进行攻击。DNS缓存毒药是中国防火长城（GFW）广泛用于审查中国互联网的DNS滥用之一。GFW检查发送到中国境外DNS服务器的每个DNS查询。由于纯文本DNS协议基于UDP，这是一种无连接协议，GFW可以欺骗客户端IP和服务器IP。当GFW在其阻止列表中找到域名时，它会更改DNS响应。例如，如果一个中国互联网用户想要访问谷歌。com，中国的防火长城向DNS解析程序返回位于中国的IP地址，而不是谷歌的真实IP地址。然后DNS解析程序将假IP地址返回给用户的计算机。

什么是通过TLS的DNS？它如何保护你的隐私？

DNS over TLS意味着DNS查询是通过使用TLS加密的安全连接发送的，这与加密HTTP流量的技术相同，因此第三方无法看到您的DNS查询。与HTTPS和加密的SNI（服务器名称指示）一起，您的浏览历史记录将完全免受ISP的监视。

Stubby是由getdns团队开发的开源DNS存根解析器。它使用getdns库。存根解析器是终端用户计算机上的一个小型DNS客户端，它接收来自Firefox等应用程序的DNS请求，并将请求转发给递归解析器，如1.1.1.1或8.8.8.8。Stubby的特殊之处在于它支持TLS上的DNS。默认情况下，它只发送加密的DNS请求。还有另一个开源的存根解析器cloudflared，它支持HTTPS上的DNS，但stubby已经存在于Ubuntu20.04/18.04存储库中，非常容易使用。

如何在Ubuntu 20.04/18.04桌面上安装和使用Stubby

Stubby位于Ubuntu 20.04/18.04存储库中。打开一个终端窗口并运行以下命令来安装它。

sudo-apt-install-stubby

这将安装stubby和getdns库。安装后，stubby将在后台运行。您可以通过以下方式检查其状态：

systemctl状态存根

Stubby监听localhost（127.0.0.1）的TCP和UDP端口53，运行以下命令可以看到：

sudo netstat-lnptu | grep stubby

systemd resolved提供的默认存根解析器监听127.0.0.53的TCP和UDP端口53。

sudo netstat-lnptu | grep系统解决方案

主配置文件是/etc/stubby/stubby。yml。通常不需要对其进行更改，除非您想使用另一个或您自己的递归解析器。让我解释一些默认配置。您可以通过以下方式打开文件：

sudo nano/etc/stubby/stubby。yml

下一行使stubby作为存根解析器而不是完全递归解析器运行，这就是为什么它被命名为stubby。

解析类型：GETDNS解析存根

以下配置使stubby发送使用TLS加密的DNS查询。它不会以明文形式发送质询。

dns_传输_列表：-获取dns_传输_TLS

下面这一行需要远程递归解析器上的有效TLS证书。

tls_身份验证：需要GETDNS_身份验证

以下几行设置stubby守护程序的侦听地址。默认情况下，IPv4和IPv6都已启用。

监听地址：-127.0.0.1-0:：1

下面一行以循环方式生成短截图查询递归解析器。如果设置为0，Stubby将按顺序使用每个上游服务器，直到它变得不可用，然后继续使用下一个。

循环上游：1

默认情况下，stubby配置文件中启用了3个递归解析器。它们由stubby开发者运行，支持TLS上的DNS。你可以在DNS隐私网站上看到推荐服务器的完整列表。

dnsovertls。中国盾。com 145.100.185.15 dnsovertls1。中国盾。com 145.100.185.16 getdnsapi。净额185.49.141.37

“附加服务器”部分中还有其他默认禁用的DNS服务器。

dns。第九节。网络单播。切努弗林斯。dk dnsovertls3。中国盾。com（支持TLS1.2和TLS1.3）dnsovertls2。中国盾。com域名解析。cmrg。net dns。拉斯德布林。网

也有DNS服务器监听端口443。如果网络中的端口853被阻止，您可以取消对它们的注释以使用这些服务器。

dnsovertls。中国盾。com dnsovertls1。中国盾。com域名解析。cmrg。net dns。纽托皮亚。组织

现在，按Ctrl+X可以退出nano文本编辑器。

切换到Stubby

编辑/etc/resolve。不再建议使用conf文件更改服务器名称。按照下面的说明，使systemd resolved向stubby发送DNS查询。

GNOME桌面

单击桌面右上角的网络管理器图标。然后选择有线设置。（如果您使用的是Wi-fi，请选择Wi-fi设置。）

点击齿轮按钮。

选择IPv4选项卡，然后在DNS设置中，将自动切换到OFF，这将阻止Ubuntu系统从路由器获取DNS服务器地址。在DNS字段中输入127.0.0.1。单击应用按钮保存更改。

然后重新启动NetworkManager，使更改生效。

sudo systemctl重新启动NetworkManager

一旦你重新连接，你可以看到你的Ubuntu系统现在使用127.0.0.1作为详细信息选项卡中的DNS服务器。

统一桌面

推荐阅读：如何在Ubuntu 20.04/18.04上安装Unity桌面环境。

单击桌面右上角的网络管理器图标，然后单击编辑连接。

选择连接名称，然后单击齿轮图标。

选择IPv4设置选项卡，将方法从自动（DHCP）更改为仅自动（DHCP）地址，这将阻止Ubuntu系统从路由器获取DNS服务器地址。然后指定DNS服务器（127.0.0.1）。斯塔比在127.0.0.1上收听。

保存更改。然后重新启动NetworkManager，使更改生效。

sudo systemctl重新启动NetworkManager

重新连接后，再次单击网络管理器图标并选择连接信息。你可以看到你的Ubuntu系统现在使用127.0.0.1作为DNS服务器。

从命令行更改DNS服务器

只要桌面环境使用NetworkManager，就可以使用以下方法更改DNS服务器。

打开终端窗口，进入网络管理器连接配置文件目录。

cd/etc/NetworkManager/系统连接/

然后列出系统上可用的连接名称。

ls

如你所见，我的系统上有几个连接，其中一个是有线连接。一些是无线连接，一个是VPN连接。因为我的台式计算机通过以太网电缆连接到路由器，所以我需要使用nano命令行文本编辑器编辑有线连接配置文件。

sudo nano“有线连接1”

如果您的电脑是通过Wi-fi连接的，则需要编辑无线连接配置文件。在此文件中，找到[ipv4]配置。默认情况下，它应该如下所示：

[ipv4]dns搜索=方法=自动

要使系统使用Stubby，请将配置更改为以下内容。

[ipv4]dns=127.0.0.1；dns搜索=忽略自动dns=真方法=自动

要在Nano文本编辑器中保存文件，请按Ctrl+O，然后按Enter确认。按Ctrl+X退出。然后重新启动Network Manager，使更改生效。

sudo systemctl重新启动NetworkManager

现在，您可以通过运行以下命令来检查当前DNS服务器：

系统解析——状态

样本输出：

链路2（enp5s0）当前作用域：DNS LLMNR设置：是多播DNS设置：无DNSSEC设置：不支持DNSSEC：无DNS服务器：127.0.0.1

如果127.0.0.1被列为DNS服务器，那么您的系统正在使用Stubby。

忽略DHCP服务器提供的DNS设置

如果使用Ubuntu server edition，可以将systemd配置为忽略DHCP服务器提供的DNS设置，这样系统就不会意外使用错误的DNS服务器。

首先，检查网络接口的状态。

网络控制状态enp5s0

它将显示此接口的网络文件。编辑此网络文件。

sudo nano/run/systemd/network/10-netplan-enp5s0。网络

找到[DHCP]部分并添加以下行。

UseDNS=false

这样地：

[DHCP]RouteMetric=100 UseMTU=true UseDNS=false

保存并关闭文件。然后重新启动systemd Networkd。为变更生效提供服务。

sudo systemctl重启systemd networkd

运行以下命令检查每个网络接口的DNS服务器。如果一切正常，您将无法看到DHCP服务器提供的DNS服务器。

解析CTL状态

网络文件中的更改可以由新的软件包更新覆盖。如果服务器使用netplan管理网络连接，还可以将netplan配置为忽略DHCP DNS设置。

sudo nano/etc/netplan/50 cloud init。亚马尔

将以下两行添加到文件中。

dhcp4覆盖：使用dns:否

这样地：

网络：ethernets:eth0:dhcp4:true dhcp4覆盖：使用dns:no可选：true set name:eth0 nameservers:search:[无效]地址：127.0.0.1版本：2

保存并关闭文件。然后应用更改。

sudo网络计划申请

如何检查DNS流量是否加密

我们可以使用WireShark监控DNS流量。从Ubuntu 20.04/18.04存储库安装WireShark。

sudo apt安装wireshark

如果您被问到“非超级用户是否应该能够捕获数据包？”，回答是的。安装后，运行以下命令将用户帐户添加到wireshark组，以便捕获数据包。

sudo adduser你的用户名wireshark

注销并重新登录以使更改生效。然后从应用程序菜单中打开WireShark，在WireShark中选择网络接口。例如，我的以太网接口名是enp5s0。然后输入端口853作为捕获过滤器。这将使WireShark仅捕获端口853上的流量，该端口是DNS通过TLS使用的端口。

单击左上角的按钮开始捕获。之后，在终端窗口中，使用dig实用程序运行以下命令来查询域名。例如，我可以查询我的域名的A记录。

挖一个利努克斯宝贝。通用域名格式

现在，您可以在WireShark中看到捕获的DNS流量。如您所见，我的DNS查询被发送到185.49.141.37、145.100.185.15和145.100.185.16，这是stubby配置文件中定义的3个默认DNS解析程序。连接是通过TCP和TLS加密的，这就是我想要的。

如果DNS查询在未加密的情况下发送，则计算机将通过端口53联系DNS服务器。您可以使用端口53作为捕获过滤器再次捕获数据包，但在WireShark中看不到任何数据包，这意味着stubby正在加密您的DNS查询。

如何将CloudFlare DNS添加到Stubby

我发现我的计算机和3个默认DNS服务器之间有很高的延迟（超过200毫秒），而CloudFlare DNS服务器（1.1.1.1、1.0.0.1）的延迟非常低（低于20毫秒）。CloudFlare还支持TLS上的DNS。要添加CloudFlare DNS服务器，请编辑stubby配置文件。

sudo nano/etc/stubby/stubby。yml

向下滚动到upstream_recursive_servers:部分，并在其他DNS服务器上方添加以下文本。

#CloudFlare服务器-地址数据：1.1.1.1 tls_认证名称：“CloudFlare dns.com”-地址数据：1.0.0.1 tls_认证名称：“CloudFlare dns.com”

然后找到以下行：

循环上游：1

将1更改为0。这将使stubby始终使用CloudFlare DNS服务器。如果CloudFlare不可用，stubby将使用其他DNS服务器。保存文件并重新启动stubby以使更改生效。

sudo systemctl重启stubby

DNS over HTTPS支持

Stubby将在0.3版中支持HTTPS上的DNS。Ubuntu 20.10附带了0.2.6版。要检查Stubby版本，请运行

斯塔比V

收尾

我希望本教程能帮助你在Ubuntu20.04/18.04上使用DNS over TLS保护你的DNS隐私。和往常一样，如果你觉得这篇文章很有用，那么订阅我们的免费时事通讯以获得更多提示和窍门。当心。