Ubuntu DNS over TLS配置（手把手教你为Ubuntu启用安全加密的DNS解析）

什么是DNS over TLS？

DNS over TLS（DoT）是一种安全协议，它使用传输层安全（TLS）对DNS查询进行加密，防止中间人攻击和窃听。与普通DNS不同，DoT默认使用TCP端口853，并建立加密通道。

准备工作

• 一台运行Ubuntu 20.04或更高版本的电脑（本教程以Ubuntu 22.04为例）
• 具有sudo权限的用户账户
• 网络连接正常

Ubuntu从17.04开始内置了systemd-resolved服务，该服务原生支持DNS over TLS。我们将利用它来完成配置。

步骤一：检查并启用systemd-resolved服务

首先，确认systemd-resolved是否正在运行：

sudo systemctl status systemd-resolved

如果未运行，请启用并启动它：

sudo systemctl enable --now systemd-resolved

步骤二：配置DNS over TLS

编辑resolved.conf配置文件：

sudo nano /etc/systemd/resolved.conf

在打开的文件中，找到并修改以下几行（取消注释并设置）：

[Resolve]DNS=1.1.1.1 8.8.8.8FallbackDNS=Domains=~.DNSOverTLS=yes

说明：

• DNS=1.1.1.1 8.8.8.8：这里使用Cloudflare（1.1.1.1）和Google（8.8.8.8）的DoT支持DNS服务器。
• DNSOverTLS=yes：启用DNS over TLS功能。
• Domains=~.：表示对所有域名都使用此配置。

提示：你也可以使用其他支持DoT的DNS服务器，例如：
- Cloudflare: 1.1.1.1（支持DoT）
- Google: 8.8.8.8（支持DoT）
- Quad9: 9.9.9.9（支持DoT且过滤恶意网站）

步骤三：重启服务并验证配置

保存文件后，重启systemd-resolved服务：

sudo systemctl restart systemd-resolved

然后，检查当前DNS配置状态：

resolvectl status

在输出中，你应该能看到类似以下内容：

Global       Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported    DNS Servers: 1.1.1.1 8.8.8.8     DNS Domain: ~.         ...

注意：DNSOverTLS字段应显示为+DNSOverTLS，表示已启用。

步骤四：测试DNS over TLS是否生效

你可以使用tcpdump工具抓包验证DNS请求是否通过853端口加密传输（需安装tcpdump）：

sudo apt install tcpdump -ysudo tcpdump -i any port 853

然后在另一个终端执行一次DNS查询：

nslookup example.com

如果看到853端口有数据包流动，说明DoT正在工作。

常见问题与注意事项

• NetworkManager冲突：如果你使用NetworkManager管理网络，它可能会覆盖/etc/resolv.conf。建议确保/etc/resolv.conf是systemd-resolved的符号链接：
  sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
• 性能影响：DoT会略微增加DNS查询延迟，但换来的是更高的安全性。
• 兼容性：并非所有公共DNS都支持DoT，请选择明确支持的服务商。

结语

通过以上步骤，你已经成功在Ubuntu系统中启用了DNS over TLS，显著提升了网络隐私和安全性。这种Ubuntu安全DNS设置方法简单有效，适合家庭用户和企业环境。希望这篇DNS加密教程能帮助你更好地保护自己的数字生活！

如需进一步优化，可结合systemd-resolved配置与其他安全工具（如防火墙）协同工作，打造更坚固的网络安全防线。