背景与痛点

默认情况下，AdGuard Home 使用系统 DNS 或公共 DNS 服务（如 8.8.8.8）作为上游服务器。这种配置存在两个主要问题：

• 隐私泄露风险：传统 DNS 查询以明文传输，ISP 或网络中间人可以轻松监控用户的浏览记录
• 性能瓶颈：公共 DNS 服务器可能因地理位置或负载过高导致查询延迟增加

技术选型对比

主流加密 DNS 协议特性对比：

| 协议 | 端口 | 加密方式 | 兼容性 | 性能开销 | |-----------|---------|------------|----------|----------| | DoH | 443/tcp | TLS | 高 | 中 | | DoT | 853/tcp | TLS | 中 | 低 | | DNSCrypt | 443/udp | 曲线加密 | 低 | 高 |

推荐组合方案：

• 移动端优先：DoH（兼容性强）
• 家庭网络：DoT（性能更好）
• 高安全需求：DNSCrypt + Anonymized DNS

核心配置实现

修改 AdGuard Home 的 configuration.yaml 文件：

dns:
  upstream_dns:
    - "https://dns.adguard-dns.com/dns-query"  # Cloudflare DoH
    - "tls://dns.google"                       # Google DoT
    - "sdns://AQM..."                          # DNSCrypt 示例
  bootstrap_dns:
    - "9.9.9.9"
    - "1.1.1.1"
  fallback_dns:
    - "94.140.14.14"

关键参数说明：

• upstream_dns：主用加密 DNS 服务器列表（按优先级排序）
• bootstrap_dns：用于解析 DoH/DoT 服务器域名的传统 DNS
• fallback_dns：当所有加密查询失败时的备用方案

性能测试数据

使用 dig 命令测试不同配置的查询延迟（单位：ms）：

dig example.com @127.0.0.1 -p 53 | grep "Query time"

测试结果对比：

| 配置方案 | 首次查询 | 缓存命中 | |-------------------|----------|----------| | 默认 ISP DNS | 48ms | 2ms | | 纯 DoH | 112ms | 3ms | | DoT + 本地缓存 | 65ms | 1ms | | 混合模式 | 58ms | 1ms |

安全增强措施

1. 防止 DNS 泄露：
2. 禁用 EDNS Client Subnet

3. 启用 DNS-over-QUIC（实验性）

4. 防御中间人攻击：

5. 严格验证 TLS 证书（配置 tls_verify=true）
6. 使用 DNS 订阅列表自动更新可信服务器

常见问题解决

• 症状：部分网站无法访问 原因：CDN 依赖 ECS 信息 解决：在规则中添加 [/example.com/]1.1.1.1 例外

• 症状：DNS 查询超时 原因：IPv6 配置冲突 解决：明确指定 prefer_ipv6: false

实践建议

建议先在小范围网络进行灰度测试，使用如下命令监控日志：

tail -f /opt/adguardhome/work/data/querylog.json | jq '.|select(.status != "NOERROR")'

期待大家在评论区分享自己的优化配置方案，特别是针对特定地区或网络环境的调优经验。