【創科新異】老生常談:DNS封廣告

Published on 16-07-2019

面對DNS污染,特別是不法分子直接騎劫DNS 以把使用者流向偽冒或釣魚網站。或ISP 公司發錢寒到用透過DNS 進行廣告活動(如404頁面,取代人家原來的ads廣告等)。

這時候私人公司的DNS Server 便顯得十分重要,更何況他們為了商譽,往往把穩定性及安全性放得更高。

可惜的是Symantec於2018年11月15日起便不再提供DNS 服務。

幸好的是,CloudFlare於2018年4月1日起提供 DNS(1.1.1.1)服務。而2019年1月 Google,CloudFlare及Adguard都先後支援DNS over Https (DoH) 和DNS over tls (DoT)。

只要在手機或平板(Android 9)進行設定便可以使用DoT:(設定>網路和互聯網>進階>不公開的網域名稱系統(DNS))加入。

Adguard (冇DOT,部分廣告能封,包括萬惡的9巴APP全頁廣告,部分大陸網站廣告封唔到);

預設:dns.adguard.com;封鎖成人網站:dns-family.adguard.com

Cloudflare(有DOT,未能封鎖廣告):1dot1dot1dot1.cloudflare-dns.com

Google(冇DOT,未能封鎖廣告):dns.google

而DoH 方面,PC或Mac版的Firefox 自Ver.62起便可以透過(選項>一般>網路設定>設定>開啟 DNS over HTTPS)啟用。

可惜是另外主流的Chrome71 和,Edge41和Safari 12 都沒有原生DoH功能。

Mozilla & Cloudflare (有DoH,有廣告):https://mozilla.cloudflare-dns.com/dns-query

(大衛請加油!!!#Firefox力戰瀏覽器歌利亞。)

Google (冇DoH,有廣告)
Google Public DNS provides the API at https://dns.google.com/resolve?;(支援DNSSEC驗證,更高隱私度及尋找DNS失敗的原因)human-friendly web interface at https://dns.google.com/query?.

Adguard (冇DoH,冇廣告);預設:https://dns.adguard.com/dns-query;封鎖成人網站:https://dns-family.adguard.com/dns-query

但筆者進行了多次測試,Firefox在使用Adguard DoH時,廣告攔截效果明顯比Android 上的DoT差,可以說是未如理想。未能因而停用ADblock plugin。

可惜的是Win10 及 Mac OS都沒有內建 DOH 或 DOT,只能透過cloudflared 以poxy dns 方法。

由於是非原生方法,筆者便不特別介紹。有興趣者可至以下網址下載使用。https://developers.cloudflare.com/argo-tunnel/downloads/#windows

雖然香港接近無DNS污染,ISP DNS是可信的,但安全角度而言。

就算沒有DOH或DOT,使用

Google DNS(8.8.4.4)、CloudFlare DNS(1.1.1.1)、OpenDNS(208.67.222.123) 、 AdguardDNS(176.103.130.130)及Quad 9(9.9.9.9)都是較安全做法。

當中OpenDNS可以自制filter(https://signup.opendns.com/homefree/);AdguardDNS有防成人網站的176.103.130.132,176.103.130.134.;Quad 9 更是號稱安全優先,封閉有害及偽冒網站

在香港而言,DNS反應上

可以說是平衡家長需求及反應速度的話OpenDNS 最佳選擇。私隱優先的是CloudFlare,安全第一應該是Quad 9。AdguardDNS 則是流動工具,因為PC/Mac 上的Chrome &Firefox 都有ad block的plugin。

詳細設定方法可參考:

https://developers.cloudflare.com/1.1.1.1/setting-up-1.1.1.1/

https://adguard.com/en/adguard-dns/overview.html

而IOS和Android 8.0及較舊的用戶則需要使用DNS Override APP 或手動在WIFI 設定(逐個)來取代預設的DNS。

最後,Google、Quad 9、CloudFlare都宣佈在2019年2月1日已正式開始測試EDNS(Extension Mechanisms for DNS)以提供更安全的DNS服務。同時不合規定的DNS,很可能不被以上DNS 服務商提供服務(即不能瀏覽或會瀏覽速度很慢)。網站管理人員可用以下網址作EDNS合規測試:https://dnsflagday.net/

PS:DoH及DoT 測試由https://1.1.1.1/help 提供,而Adguard 和Google都是因未能連上1.1.1.1而判斷為no DOT 及DOH.筆者懷疑是CloudFlare的小動作。

Adguard DNS 基本上是用Google 及OpenDns 資料。

二次元的神農氏

參考:

https://security.googleblog.com/2019/01/google-public-dns-now-supports-dns-over.html

https://adguard.com/en/adguard-dns/overview.html

https://dnsflagday.net/#supporters

More Stories
【渺渺的書櫃】《夜巡貓》:微笑再好好活下去