如果要跳到说明，请滚动到下一节。但我，像一个TLS握手，非常冗长，所以请享受这个开场白。想象一下这样的场景——我在一家餐厅，需要和私人电话通话，但不幸的是，我的手机电池没电了。为了解决这个问题，我借了我朋友的电话，拨了这个号码——为了保护我的隐私，我走到外面。当我接完电话后，我回到屋里把电话还给我。虽然手机本身并没有储存我的通话记录，但它有一个最近拨打过的号码的记录，如果我借用手机的朋友想要的话，他们可以很容易地看到我到底打给了谁——即使他们不知道谈话的主题。有时候，关于你和谁交谈的数据可以告诉你很多关于谈话的信息——如果有人打电话给情感支持热线或讨债人，你可能会从来电者的身份中推断出很多关于谈话的信息。当我们浏览互联网时，我们使用加密来保护我们的对话。当你通过HTTPS连接到一个网站时，你的浏览器上会亮起一个绿色的挂锁，让你知道你的对话是加密的，因此坐在你和网站服务器之间的对手很难看到你在说什么。我以前曾在博客中谈到，在某些情况下，如何能够去除这种加密以及网站可以用来防止这种情况的缓解措施。不幸的是，在线隐私还有一个更为根本的问题。众所周知，在您的浏览器与网站建立HTTP连接之前（例如，cloudflare.com网站)，您的客户端需要进行DNS查询，以计算出应在其中建立HTTP连接的IP地址。当您使用主机名而不是IP地址连接时，任何其他应用层协议也是如此。对于DNS入门，我们在我们的学习中心有一篇关于DNS基础知识的文章。虽然加密技术对于HTTP本身来说已经有相当长的历史了，但直到最近，这种加密技术才被标准化为DNS。很有可能，如果你不知道你的DNS流量是加密的-它不是。实际上，这意味着当你连接到一个使用HTTPS的网站时，即使你的对话是加密的——有人能截获你的连接，也能看到你在找什么网站（取决于网站的安全性），甚至操纵响应，让你与另一台服务器通信。这对窃听者特别有用；无论他们是运行免费Wi-Fi热点的网络，希望将你的数据卖给目标广告商，还是窃听你网络流量的黑客（讽刺的是，他们穿着黑色连帽衫和巴拉克拉瓦）。通过将您的DNS解析程序切换到使用Cloudflare的DNS解析程序，您可以获得更快的浏览体验，同时确保运行DNS解析程序的人不会将这些数据卖给广告目标您。但是，虽然Cloudflare解析程序同时支持HTTPS上的DNS和TLS上的DNS，要确保Cloudflare Resolver和您之间的连接是加密的，您可能需要执行一些其他配置步骤，例如启用HTTPS上的DNS客户端。这篇博客文章解释了如何配置OpenWRT路由器来加密Cloudflare解析器的出站流量。当您想要保护内部设备（可能不支持加密DNS协议）的流量时，这一点尤其有用；例如您的电视或支持物联网的烤面包机。虽然本地客户端仍可能显式覆盖路由器上的本地DNS解析程序，但许多客户端将默认使用它。开放式（LEDE）上周末，在写这篇文章之前，我订购了一个新的无线路由器总账iNetGL-AR750。这种路由器的外形尺寸非常小，作为"旅行路由器"销售，可以作为Wi-Fi转发器和传统Wi-Fi路由器。在最长的边缘，路由器本身就在我食指的长度上：我订购这个路由器并不是因为它的外形，它还预装了OpenWRT——一个基于Linux的嵌入式操作系统，非常适合路由器。2016年5月，OpenWRT被分为LEDE（Linux嵌入式开发环境），并于2018年1月与OpenWRT项目重新合并。对于那些没有预装LEDE路由器的人，你可以在任何其他支持用OpenWRT固件闪存的路由器上跟随这篇博文；更多信息可以在OpenWRT支持设备页面找到。不过，请注意，根据您的设备，这可能会带来一些风险。支持TLS上的DNS（或者，缺少）我正在玩的路由器有一个配置选项来配置上游DNS解析程序，当查询没有缓存在它自己的内部解析器中时，它将使用它。然后向连接到路由器的客户机建议这个本地解析器。为了进行实验-通过web UI，我可以配置此路由器使用1.1.1.1、1.0.0.1、2606:4700:4700:：1111和2606:4700:4700:：1001作为upstream DNS服务器（如果网络不支持，则更新IPv6地址）：通过将路由器的广域网端口连接到我的计算机上，我可以在它离开路由器时使用Wireshark在它到达实际的广域网之前嗅出它的流量。当DNS查询不在路由器缓存中时，它会被转发到1.1.1.1。由于我的路由器发送这些查询是未加密的，而不是通过TLS使用DNS，所以我可以看到这些DNS查询以未加密的形式在互联网上发送：虽然Cloudflare解析器支持TLS上的DNS，但不幸的是，我的路由器不支持，而且只会发送所有未加密的查询。通过TLS设置DNS默认情况下，LEDE使用Dnsmasq作为内部解析程序进行预安装，因此不支持TLS上的DNS。为了使请求加密，我们将用Unbound和odhcpd替换Dnsmasq。我根据非常有用的OpenWRT Unbound package文档执行以下步骤。在开始之前，我们需要通过SSH连接到路由器，如果系统提示您输入密码，密码可能与您为web门户设置的密码相同：LEDE使用opkg作为它的包管理器。首先，更新包列表，然后安装Unbound with Unbound Control和odhcpd的完整版本：opkg更新opkg安装未绑定odhcpd未绑定控件opkg移除dnsmasq注意，如果你想用标准用户界面控制它，你可以另外安装Luci的Unbound应用程序。opkg安装luci应用程序未绑定由于我的路由器目前没有运行vanilla LEDE，如果我安装这个模块，它的用户界面不会改变，而且我自己也没有测试过这个模块。有了Unbound，我们可以添加一些配置来确保Unbound使用1.1.1.1、1.0.0.1、2606:4700:4700:：1111和2606:4700:4700:：1001作为具有TLS加密的DNS解析程序。我通过在/etc/unbound/unbound中添加一些配置来实现这一点_外部确认使用Vim：前进区：名称："。"转发地址：1.1.1。1@853转发地址：1.0.0。1@853转发地址：2606:4700:4700:：1111@853转发地址：2606:4700:4700:：1001@853转发ssl上游：是在一些配置文件/Unbound/etc'中添加了一些配置/Unbound/etc'中列出的参数。在我的例子中，我备份了配置文件并简单地使用了以下命令：配置未绑定选项add_local_fqdn"1"选项add\u wan_fqdn"1"选项dhcp_link'odhcpd'选项dhcp4趶slaac6'1'选项域"lan"选项域类型'static'选项侦听端口"53"选项重新绑定保护"1"选项未绑定控件"1"如果文件中确实有其他参数，请确保没有任何内容覆盖参数集-请特别注意未绑定的\u控件参数。我还将以下配置与/etc/config/dhcp合并（只保留一些现有条目）：配置dhcp"lan"选项dhcpv4"服务器"选项dhcpv6"服务器"选项接口"lan"期权租赁时间"12小时"选项ra"服务器"选项ra_管理"1"配置odhcpd'odhcpd'选项maindhcp"1"选项leasefile'/var/lib/odhcpd/dhcp.leases协议'选项leasetrigger'/usr/lib/unbound/odhcpd.sh版'...最后，我们可以在未绑定时启用autostart并启动它：服务解除绑定启用服务未绑定启动这就是布丁的证据；当我们拦截路由器和更广泛的互联网之间的DNS查询时，我们会注意到它们是用TLS v1.2加密的：结论在这篇博文中，我们讨论了如何加密你的DNS流量可以帮助隐私保护你的互联网浏览。通过用Unbound替换Dnsmasq，我们可以允许OpenWRT利用DNS而不是TLS来帮助加密我们的web流量。