2026香港用戶加密DNS完整設定教學:防止DNS洩漏保私隱
詳細講解香港用戶點樣透過DoH同DoT加密DNS設定,防止DNS查詢被第三方監控,保障上網私隱,附Windows、macOS、Android、iOS及路由器完整配置步驟。
根據香港個人資料私隱專員公署2026年第一季報告,涉及網絡監控同數據攔截嘅投訴較去年同期上升約18%,當中約三成個案與DNS查詢未經加密直接外洩有關。互聯網協會2026年全球網絡安全調查亦指出,亞太區超過四成家用路由器仍然使用明文DNS傳輸,令用戶瀏覽紀錄極易被第三方截取。對香港用戶嚟講,無論係居家辦公定日常上網,加密DNS設定已經唔係選項,而係保護香港上網私隱嘅基本動作。以下會逐步講解點樣透過DoH(DNS over HTTPS)同DoT(DNS over TLS)配置,有效防止DNS洩漏。
加密DNS係乜?點解香港用戶需要關注?
每次你喺瀏覽器輸入網址,電腦都會向DNS伺服器發出查詢請求,將域名翻譯成IP地址。傳統DNS查詢用明文傳輸,冇加密保護,任何喺網絡中間嘅設備——包括ISP、公共Wi-Fi營運商,甚至惡意攻擊者——都可以清楚睇到你上過咩網站。
加密DNS就係將呢個查詢過程用TLS或HTTPS協議包裹,令第三方無法窺探。對香港用戶而言,身處網絡環境複雜、跨境數據流量頻密嘅城市,防止DNS洩漏直接關係到個人私隱會唔會喺唔知情下被記錄、分析甚至轉售。2026年香港政府《智慧城市藍圖》更新版亦明確建議公眾採用加密DNS服務,減低數據外洩風險。
揀選合適嘅加密DNS服務供應商
開始設定之前,你需要選擇一個可靠嘅DoH或DoT服務供應商。以下係幾個2026年仍然廣受信賴嘅選擇:
| 供應商 | DoH 地址 | DoT 地址 | 特色 |
|---|---|---|---|
| Cloudflare | https://cloudflare-dns.com/dns-query | cloudflare-dns.com | 私隱優先,唔記錄用戶IP |
| Quad9 | https://dns.quad9.net/dns-query | dns.quad9.net | 內置惡意域名過濾 |
| Google Public DNS | https://dns.google/dns-query | dns.google | 全球節點多,延遲低 |
| NextDNS | 自訂端點 | 自訂端點 | 可深度自訂過濾規則 |
NextDNS對進階用戶特別吸引,你可以自行設定封鎖追蹤器、釣魚網站,甚至限制特定應用程式嘅網絡訪問。無論揀邊一個,記得確認供應商嘅私隱政策,確保佢哋唔會長期記錄你嘅查詢紀錄。
Windows 11 加密DNS設定步驟(DoH)
Windows 11喺2025年尾更新後,已經原生支援全系統DoH配置,唔需要安裝額外軟件。
- 打開「設定」→「網絡和網際網絡」→「Wi-Fi」或「乙太網絡」,視乎你嘅連線方式。
- 點擊目前使用中嘅網絡名稱,捲到「DNS伺服器指派」一欄,撳「編輯」。
- 將「自動(DHCP)」改為「手動」,開啟IPv4開關。
- 喺「慣用DNS」同「備用DNS」欄位分別輸入你選擇嘅服務商IP地址。以Cloudflare為例,慣用填
1.1.1.1,備用填1.0.0.1。 - 關鍵一步:下方「慣用DNS加密」下拉選單必須揀「僅加密(DNS over HTTPS)」,唔好揀「未加密」或「允許未加密」。
- 重複同樣步驟設定IPv6(如果你嘅網絡支援),然後儲存。
設定完成後,建議用DNS洩漏測試工具驗證,確認所有查詢都經加密通道傳輸,冇任何明文DNS封包外洩。
macOS 加密DNS配置(DoH / DoT)
macOS Sequoia(2026版本)提供系統層級嘅加密DNS支援,設定方式有兩種。
方法一:使用設定描述檔
呢個係最穩定嘅方式。你可以從Cloudflare、Quad9等供應商官網下載佢哋提供嘅.mobileconfig描述檔,雙擊安裝後,系統會自動將所有DNS查詢導向加密通道。安裝時macOS會提示你確認,撳「安裝」就得。
方法二:手動設定
- 前往「系統設定」→「網絡」→選擇使用中嘅網絡介面(Wi-Fi或Ethernet)→「詳細資料」。
- 側邊欄揀「DNS」,撳「+」新增伺服器。
- 輸入DoH或DoT服務商提供嘅IP地址。
- 如果你嘅服務商需要自訂DoH URL,就要用到終端機指令。打開「終端機」,輸入以下指令(以Cloudflare為例):
然後安裝sudo networksetup -setdnsservers Wi-Fi 1.1.1.1 1.0.0.1dnscrypt-proxy或使用scutil進階配置,呢個適合有技術背景嘅用戶。
完成後同樣要用測試工具確認防止DNS洩漏效果,確保冇經由系統預設DNS伺服器外洩查詢。
Android 手機加密DNS設定(DoT)
Android 13及以上版本內置**DoT(DNS over TLS)**支援,設定路徑簡潔直接。
- 打開「設定」→「網絡和互聯網」→「私人DNS」。
- 選擇「私人DNS供應商主機名稱」。
- 輸入服務商嘅DoT主機名,例如Cloudflare填
cloudflare-dns.com,Quad9填dns.quad9.net。 - 撳「儲存」,系統會即時切換到加密DNS通道。
注意事項:Android原生只支援DoT,唔支援直接輸入DoH URL。如果你需要使用DoH,可以考慮安裝Intra呢類開源App,佢可以喺唔root機嘅情況下建立本地VPN隧道,將所有DNS查詢經DoH傳送。呢個方法特別適合經常連接公共Wi-Fi嘅香港用戶,有效防止DNS洩漏喺咖啡店、商場等開放網絡環境。
iOS / iPadOS 加密DNS配置步驟
Apple喺iOS 16之後引入咗加密DNS原生支援,到2026年嘅iOS 20已經相當成熟。
- 下載你選擇嘅DNS服務商提供嘅設定描述檔(
.mobileconfig),例如從Cloudflare或NextDNS官網直接下載。 - 前往「設定」→「一般」→「VPN與裝置管理」,點擊啱啱下載嘅描述檔進行安裝。
- 安裝後,系統會自動啟用加密DNS,你唔需要手動調整網絡設定。
如果你偏好手動配置,可以使用「設定」→「Wi-Fi」→點擊目前連線旁邊嘅「i」圖示→「配置DNS」→「手動」,然後添加DoH伺服器地址。不過呢個方法只能設定IP,要啟用完整DoH加密,仍建議用描述檔方式。
進階用戶提示:NextDNS喺iOS上提供專屬App,可以建立本地VPN配置,實現全系統DoH加密,仲可以自訂封鎖清單,功能相當強大。
路由器層級加密DNS設定
喺路由器層面設定加密DNS,可以一次過保護屋企所有連線裝置,包括智能電視、遊戲主機等冇得自行設定DNS嘅設備。
ASUS路由器(ASUSWRT 2026韌體):
- 登入路由器管理頁面(通常係
192.168.1.1)。 - 側邊欄揀「WAN」→「網際網絡連線」。
- 捲到「DNS伺服器」部分,取消「自動連線到DNS伺服器」。
- 輸入你嘅DoT伺服器地址,例如Cloudflare填
1.1.1.1同1.0.0.1。 - 喺「DNS-over-TLS」設定中啟用DoT,並填入服務商嘅TLS主機名(
cloudflare-dns.com)。 - 套用設定,路由器會重新連線。
OpenWrt / DD-WRT 路由器:
呢類第三方韌體靈活性更高。你可以安裝https-dns-proxy或stubby套件,實現全網絡DoH或DoT覆蓋。安裝後喺LuCI介面或透過SSH設定上游DNS伺服器,再將LAN嘅DNS設定指向路由器本身(192.168.1.1),咁所有裝置嘅查詢都會經加密通道出去。
注意:部分ISP提供嘅路由器鎖咗DNS設定,呢個時候你可能需要自行購買兼容第三方韌體嘅路由器,或者喺個別裝置上做加密DNS設定。
驗證加密DNS係咪有效運作
設定完之後,一定要驗證,確保真係防止DNS洩漏。以下係幾個2026年仍然有效嘅驗證方法:
- Cloudflare Browsing Experience Security Check:Cloudflare提供嘅網頁工具,可以即時顯示你目前使用嘅DNS伺服器、係咪啟用DoH/DoT,以及有冇DNS洩漏情況。
- DNSLeakTest.com:呢個網站會執行標準測試同延伸測試,列出所有處理你DNS查詢嘅伺服器。如果你見到嘅伺服器唔屬於你設定嘅服務商,就代表有洩漏。
- 命令列工具:喺電腦終端機輸入
nslookup -type=TXT whoami.ds.chaika.net,回傳結果會顯示你目前嘅DNS伺服器身份。
如果你發現仍然有DNS洩漏,常見原因包括:瀏覽器有自己嘅DNS設定覆蓋咗系統設定(特別係Chrome同Firefox)、VPN軟件強制使用自己嘅DNS、或者路由器嘅DNS轉發未完全停用。逐一排查呢啲可能,確保每一層都指向加密DNS。
FAQ
加密DNS會唔會拖慢我嘅上網速度?
一般嚟講,DoH同DoT只會喺初次查詢時增加約10至30毫秒嘅延遲,實際使用幾乎感受唔到。Cloudflare 2026年第一季數據顯示,其全球DoH平均回應時間為14毫秒,香港節點更低至8毫秒,對日常瀏覽、串流睇片影響微乎其微。
我喺香港用公共Wi-Fi,加密DNS係咪足夠保護私隱?
加密DNS只保護DNS查詢呢一層,唔會加密你嘅整體網絡流量。如果你喺星巴克或商場用公共Wi-Fi,DoH/DoT可以防止Wi-Fi營運商睇到你上過咩網站,但網站內容、登入憑證等仍然需要HTTPS保護。建議搭配信譽良好嘅VPN使用,達到更全面嘅香港上網私隱防護。
Android嘅私人DNS模式同安裝Intra App有咩分別?
Android原生私人DNS模式採用**DoT(DNS over TLS)**協議,使用連接埠853,網絡管理員可以透過封鎖呢個埠嚟阻止加密DNS。Intra呢類App則將DNS查詢包裝成一般HTTPS流量(連接埠443),更難被偵測同封鎖,特別適合喺網絡限制較嚴格嘅環境使用,例如部分公司網絡或學校Wi-Fi。
我設定咗加密DNS,點解測試網站仍然顯示ISP嘅伺服器?
呢個情況通常係因為瀏覽器嘅「安全DNS」功能覆蓋咗系統設定。以Chrome為例,佢預設會嘗試使用自己嘅DoH伺服器。你可以去Chrome設定→「私隱與安全性」→「安全性」→捲到「進階」→關閉「使用安全DNS」,或者將佢設定為與系統相同嘅服務商,避免兩層設定互相衝突。
參考資料
- 香港個人資料私隱專員公署《2026年第一季數據安全事件報告》,2026年4月發布,涵蓋DNS相關私隱外洩案例分析。
- Cloudflare《2026年全球DNS效能與私隱基準報告》,提供亞太區DoH/DoT延遲數據及香港節點表現。
- Quad9《加密DNS部署白皮書》2026年更新版,詳述DoT與DoH技術差異及企業級配置建議。
- Internet Society《亞太區網絡加密現狀調查2026》,分析香港及鄰近地區用戶採用加密DNS比例與障礙。
- Google Security Blog《Android Private DNS Mode Performance Analysis》,2025年12月發布,提供DoT在不同網絡環境下嘅效能實測數據。