本文首发于：微信公众号「运维之美」，公众号 ID：Hi-Linux。

​「运维之美」是一个有情怀、有态度，专注于 Linux 运维相关技术文章分享的公众号。公众号致力于为广大运维工作者分享各类技术文章和发布最前沿的科技信息。公众号的核心理念是：分享，我们认为只有分享才能使我们的团体更强大。如果你想第一时间获取最新技术文章，欢迎关注我们！

公众号作者 Mike，一个月薪 3000 的杂工。从事 IT 相关工作 15+ 年，热衷于互联网技术领域，认同开源文化，对运维相关技术有自己独特的见解。很愿意将自己积累的经验、心得、技能与大家分享交流，篇篇干货不要错过哟。如果你想联系到我，可关注公众号获取相关信息。

(相关资料图)

最近手机更新到了最新的 Android Pie (9.0) 系统，随着系统的更新，就可以体验到 Android Pie 带来了一系列的新特性。比如：全新设计的导航栏以及多任务界面、数字应用、安全和隐私等新功能。其中有一项更新是非常实用的，该功能可以提升用户上网过程中的安全性，它就是：DNS over TLS，在 Android 里叫做 Private DNS（私人 DNS）。

默认情况下，如果网络的 DNS 服务器支持，设备会自动使用 DNS over TLS，但如果用户不希望使用 DNS over TLS，可选择将其关闭。

Android Pie 的 新功能简化了在 Android 配置自定义安全的 DNS 解析程序。当网站提供 DNS 服务时，客户端和网站服务器就会自动进行加密，第三方无法窥视 DNS 查询。因为 Android 9 内置对 DNS over TLS 的支持。同时该 TLS 还负责自动默认 HTTPS 访问网站，在地址栏可看到绿色安全锁图标。这可确保不会被 ISP、移动运营商以及客户端与 DNS 解析程序之间的第三方篡改内容或无法解析。

在讲这个功能之前先来了解一下什么是 DNS 和 DNS 污染。

原理

既然说起 DNS 和其污染问题，就不得不先看看 DNS 系统是如何工作的。

互联网所有通信都是建立在 TCP/IP 的基础上，如果想访问目标网络，就必须知道目标 IP。不过 IP 的数量有限，还有 IP 是由一串数字或十六进制组成的，不是那么好记，所以有了域名。域名本身不具有访问性，它如果想被访问，必须绑定一个或多个 IP，一个 IP 可以绑定一个或多个域名。这时候就有一个问题，如何知道域名指向的是哪个 IP。所以需要一项服务，它记载着所有域名和IP的关系，需要的时候询问它就可以了，这就是 DNS（域名系统）。

以访问 Wikipedia 网站为例。

DNS 解析流程图

图中可以看到我们的 ISP 的 DNS 服务器在图中叫做 DNS Recurser，在解析一个域名的时候，总共经过了以下的步骤：

从上面的 DNS 解析流程可以看出，解析一个域名一共要经历 6 个步骤。

由于 DNS 的数据是以明文传输，所以 DNS 服务器返回的数据在传输的过程中是有可能被篡改的，导致域名指向错误的 IP，引导用户访问错误或恶意的网站。比如：在最后一次查询的时候，有人假冒了http://wikipedia.org的解析服务器，则可以在中间进行欺骗攻击，致使用户最后得到的 IP 地址不是真实的地址。如图所示，

解析请求被劫持

为什么要使用私有 DNS？

从上面的例子我们可以看出，DNS 是存在被劫持和污染的风险的。为了保护用户的上网安全，一些 DNS 加密查询技术因此应运而生。常见的有：DNS over HTTPS、DNSCrypt 和 DNS over TLS。这三种的技术原理大致一样，都是通过一些手段加密用户与 DNS 服务器之间的通信，避免 DNS 污染。

目前支持 DNS over TLS 的平台不多， Android Pie 就是其中这一。如果你的系统暂时不支持 DNS over TLS，你可以暂时使用 SmartDNS 这个程序来作为本地 DNS 服务器，它支持将 DNS over TLS 作为 DNS 上游服务器。

SmartDNS 项目地址：https://github.com/pymumu/smartdns

在 Android Pie 上启用 DNS over TLS

在 Android Pie 上启用 DNS over TLS 的方法非常简单。下面以一加 5 为例，大概需要如下步骤：

保存以后，如果私人 DNS 下方显示主机名代表配置成功。

验证是否生效

一些可用的 DNS over TLS 提供商

祝大家早日吃上 Andorid Pie。最后我们来搞个小投票，看看大家所使用的手机品牌和系统。

参考文档