DoH:一种更安全的DNS查询方式。
本文来自于云服务器ECS征文活动投稿,已获得作者(昵称绍羽)授权发布。
我们都知道,DNS服务器(Domain Name Server)可以将人类易于理解的域名(就是平时说的网址)转换为机器易于理解的「IP 地址」,它使用UDP端口53对外提供服务。通常,DNS查询是明文的,这意味着你的网站访问记录可以轻易被网络管理员和ISP获取到。
面对日益严峻的行为管理、隐私泄露和恶意劫持,DoH作为一种更安全的DNS查询方式正在被更广泛使用。它通过RFC 8484指定的经过TLS加密的HTTP连接提供DNS解析,这意味着我们的DNS查询得到了加密保护。
那么我能不能尝试一下在公网搭建一个DoH服务器呢?
当我有这种想法之后便开始行动,通过查阅网络公开资料也解决了很多疑点,最终,借助阿里云的ECS(镜像源真的很快,推荐),成功地完成了搭建Doh服务器的实践。
接下来,跟着我一起看看是怎样完成搭建的吧~
01 资源准备:云服务器+域名
1.云服务器
本次实践推荐使用一台装载Ubuntu镜像的云服务器,在阿里云的试用中心可以免费使用一个月t5实例:https://free.aliyun.com/
如果您是高校学生或老师,可以使用高校计划可以免费领用2.5个月:https://developer.aliyun.com/plan/student
2.域名准备
建议使用阿里云万网购买域名,优势是可以获得免费的SSL证书。
02 便捷搭建方案
如果只是想便捷配置可以参考下面的步骤:
1、安装docker:
apt-get install docker.io2、启动docker:
service docker start3、下载创建并初始化Dnscrypt容器:
docker run --name=dnscrypt-server -p 443:443/udp -p 443:443/tcp \
--restart=unless-stopped \
-v /etc/dnscrypt-server/keys:/opt/encrypted-dns/etc/keys \
jedisct1/dnscrypt-server init -N example.com -E '192.168.1.1:443'说明:
①:example.com替换为您的域名,192.168.1.1:443替换为ECS公网IP,可以指定多个逗号分隔的 IP 和端口,如 -E'192.168.1.1:443,[2001:0db8::412f]:443'. -v
②:/etc/dnscrypt-server:/opt/encrypted-dns/etc/keys 表示容器内部的路径。
/opt/encrypted-dns/etc/keys 映射到 /etc/dnscrypt-server/keys。
启动服务命令:docker start dnscrypt-server
4、下载创建并初始化Doh-server容器:
docker run -d --restart unless-stopped --network host --name doh-server \
-e UPSTREAM_DNS_SERVER="udp:127.0.2.1:53" \
-e DOH_HTTP_PREFIX="/dns-query" \
-e DOH_SERVER_LISTEN="127.0.0.1:8053" \
-e DOH_SERVER_TIMEOUT="10" \
-e DOH_SERVER_TRIES="3" \
-e DOH_SERVER_VERBOSE="true" \
satishweb/doh-server5、 验证容器状态:
docker ps -a
6、设置自启动:
docker update --restart=unless-stopped dnscrypt-server docker update --restart=unless-stopped doh-server7、Web客户端和ssl证书参照下文nginx。
8、检查配置-所有服务启动,我们就得到了Doh服务,请转最后小结部分。
03 进阶搭建教程
如何搭建是个问题,那么这里列举3种方案与思路。
i. nginx + doh-server + dnscrypt(本文使用)
ii. nginx + doh-server + Bind(备选方案)
iii. nginx + doh-server + CoreDNS(云原生方案)
1、安装software-properties-common软件包:
这是一个预备操作。我使用的是阿里云官方提供的Ubuntu 20.04 64位系统,其缺少add-apt-repository命令,需要在系统终端中运行以下命令来安装software-properties-common软件包:
sudo apt update
sudo apt -y install software-properties-common dirmngr apt-transport-https lsb-release ca-certificatesTips:
可以使用以下命令添加PPA存储库:
sudo add-apt-repository ppa:<PPA Name>添加PPA存储库后,更新程序包列表并从存储库安装新程序包:
sudo apt update
sudo apt install2、安装Dnscrypt-Proxy
a) 安装和验证
Dnscrypt-Proxy是具备很多现代化功能的DNS代理服务器程序,其支持DNSCrypt v2(身份认证), DNS-over-HTTPS【RFC8484,DNS Queries over HTTPS (DoH)】等功能。
由于Dnscrypt-Proxy使用golang开发,所以其不支持在CentOS5及之前的Linux发行版上安装。Dnscrypt-Proxy需要占用53端口,所以安装前可以先查看一下53端口使用情况,命令:
ss -lp 'sport = :domain'
我们可以使用志愿者贡献的PPA来快捷安装和保持程序的最新版本:
sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
sudo apt install dnscrypt-proxy安装后,Dnscrypt-Proxy服务将在服务器上自动启动。
程序会被安装到/etc/dnscrypt-proxy文件夹,dnscrypt-proxy的监听地址通常为(V:2.1.0~ppa6):127.0.0.53:53,我们可以使用dig命令查看一下。
其配置文件/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件的server_names字段要求你设置一个或多个你喜欢的服务器即可,第一个请求失败会自动向第二个服务器请求。例如:server_names = ['alidns-doh']我们这里不做更改,根据服务器所在可用区的不同,我们可能会修改这里的参数。
b) 修改系统DNS配置
移除系统DNS配置命令:
apt-get remove resolvconf为系统DNS配置文件设置备份:
cp /etc/resolv.conf /etc/resolv.conf.backup修改原DNS配置文件:
vim /etc/resolv.conf修改为nameserver 127.0.0.53 options edns0
最后重启dnscrypt-proxy服务:
sudo systemctl restart dnscrypt-proxy说明:系统Systemd 服务使用的默认套接字库地址为127.0.2.1:53
3、安装DNS-over-HTTPs
这是一个基于golong开发的开源DoH服务器程序,它可以接受http请求并执行DNS查询。我们可以使用deb安装包快捷的安装DNS-over-HTTPs服务器程序:
如果使用debian,则命令为:
sudo dpkg -i doh-server_2.0.1_amd64.deb在ubuntu里面,命令为:
sudo apt install doh-server_2.0.1_amd64.deb
sudo apt install /root/doh-server_2.0.1_amd64.deb注意:以上文件路径请据实替换
Tips:如果你在安装 deb 软件包的过程中得到一个依赖项的错误,你可以使用下面的命令来修复依赖项的问题:
sudo apt install -f安装好的DoH服务器程序的配置文件在路径/etc/dns-over-https/doh-server.conf。为了设置反向解析,我们修改其upstream字段(上游DNS解析),将其修改为上面提到的dnscrypt-proxy的监听地址;dnscrypt-proxy监听字段可以在/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件里修改。这样DoH程序就会使用Dnscrypt-proxy来执行DNS请求。
修改代码:
vim /etc/dns-over-https/doh-server.conf修改如下图所示:
重启服务进行应用更改:
sudo systemctl restart doh-server4、安装Nginx
Nginx是一款高性能的反向代理服务器程序,在这里它负责接受客户端HTTPS DNS请求,然后作为反向代理解码来自客户端的HTTPS请求并向DoH服务器程序发送DoH请求。它是与客户端交流的门户,我们还会为它配置一个SSL证书以便于验证HTTPS请求。
我使用的是“Ondřej Surý”提供的相关版本,在百度中搜索此关键词,然后进入网页下载对应的安装包就好。以下为安装命令:
sudo add-apt-repository ppa:ondrej/nginx
sudo apt install nginx-fullNginx被安装在/etc/nginx目录下,我们需要编辑配置文件。
Vim /etc/nginx/sites-available/dns-over-https其中server_name字段需要使用您自己的域名,域名是提供DoH服务所必需的。upstream dns-backend就是你需要Nginx转发到的地址,这里就是我们的DOH的监听地址。以下为一个示例配置:
完成后我们需要把配置文件放到/etc/nginx/sites-available/dns-over-https
sudo ln -s /etc/nginx/sites-available/dns-over-https /etc/nginx/sites-enabled/dns-over-https验证并重启:
sudo nginx -t sudo systemctl reload nginx我们可以配置nginx对ssl证书的检查:
vim /etc/nginx/conf.d/stapling.conf配置如下图,其中resolver变量是DNScrypt的监听地址。
5、申请SSL证书
方法一:手动安装
如果你购买的是阿里云的域名,那么我们可以选择手动安装,优点是有效期时间长达一年,缺点是比较麻烦。
进入控制台-数字证书管理服务https://yundun.console.aliyun.com/
购买DV单域名证书包后可以点击创建证书,填写申请并验证即可。
购买成功后我们可以下载证书并部署到服务器上。通过ftp或其他方式将证书上传到服务器目录内,修改nginx配置文件以应用更改。示例配置如下:
使用nginx -t命令可测试配置是否正确。
重启nginx进行应用配置:
sudo systemctl reload nginx
方法二:使用插件安装
Certbot 是一个免费的开源申请SSL证书的工具,用于在手动管理的网站上自动部署免费的Let's Encrypt证书以启用HTTPS。在nginx服务器上使用Certbot来配置证书是很棒的选择。优点是比较方便,缺点是有效期短。
使用PPA安装certbot:
sudo add-apt-repository ppa:certbot/certbot
sudo apt install python3-certbot-nginx
成功后的截图如下:
为你的域名申请证书,注意替换,根据提示输入Agree即可下一步:
sudo certbot --nginx -d dns.example.com
下一步我们选择2以便把HTTP流量转发到HTTPS,如果选择1则表示不转发。(如下图所示)
该插件配置文件地址为vim /etc/letsencrypt/options-ssl-nginx.conf
重启nginx进行应用配置:
sudo systemctl reload nginx由于Let’s Encrypt颁发的证书的有效期只有90天,我们可以使用certbot renew命令来更新证书。
04 DOH的使用方法小结
RFC8484中指定使用/dns-query路径作为默认查询路径。在客户端方面,火狐、谷歌等浏览器均已支持DoH,其中谷歌浏览器中的配置路径为:设置-安全和隐私设置-高级-使用安全DNS:
当然,由于政策性原因,我们在中国境内搭建的Doh服务器并不能在没有经营性备案的情况下向公网提供服务,所以本次实践的意义在于学习和动手实践的乐趣。
另外,由于提供DNS服务有快速和准确等要求,所以个人搭建的服务器并不是最优选择;若有需求,可以试一下阿里云的公共DoH服务。
官方活动时间:阿里云采购季还剩最后10天了,整个3月,天天有惊喜;点击我要上云,抓住机会拥有一台属于自己的云服务器吧·