[免费教程] 2025最新DoH+ECH设置指南，一键告别DNS污染

引言：VPN之外的另一种可能

在我们网站kuajievpn.com中，我们系统性地探讨了使用VPN和现代代理协议作为“终极解决方案”的各种方法。然而，许多用户也在寻找一种更轻量、更低成本，甚至免费的方式，来提升日常浏览的自由度和隐私性。

在所有“轻量级”方案中，DoH (DNS-over-HTTPS) 与 ECH (Encrypted Client Hello) 的组合，无疑是当前技术前沿最闪耀的明星。它们联手，可以直接化解GFW最常用的两种封锁手段。

本文将作为一份详尽的实战手册，从原理到具体操作，一步步教您如何为自己的设备配置这套强大的“入门级翻墙工具箱”。

Part 1: 理解我们面临的挑战：网络封锁与DNS污染

没时间看长文？ 如果您是Chrome浏览器用户，我们特别为您制作了一份图文并茂的两页PDF“懒人包”，可以帮助您在60秒内完成所有设置。

💡 点击此处下载《Chrome隐身访问懒人包》

1.1 背景：为什么有些网站我们无法访问？

在全球互联网的广阔天地中，信息的自由流动本应是常态。然而，许多用户在日常上网时会发现，一些国际知名的网站、新闻媒体或社交平台无法正常打开。这种现象并非偶然的技术故障，而是一种系统性的网络内容过滤与审查机制，通常被称为“防火长城（Great Firewall, GFW）”。

理解这一机制的存在是解决问题的第一步。GFW并非一个被动的防火墙，而是一个主动、智能的系统，它运用多种技术手段，像一个警惕的哨兵，时刻监视和干预着进出中国的网络流量。它会使用特定的“技巧”来阻止用户访问其黑名单上的网站。因此，用户遇到的访问障碍，根源在于一套复杂的、有目的性的过滤体系。本报告旨在揭开这些“技巧”的神秘面纱，并为普通用户提供一套行之有效的工具和方法，以绕开这些障碍，重新连接到完整的互联网世界。

1.2 互联网的“电话簿”：什么是DNS？

要理解GFW的工作原理，首先需要了解互联网的一个基础服务：域名系统（Domain Name System, DNS）。我们可以将DNS生动地比喻为“互联网的电话簿” 。当用户想访问一个网站时，会在浏览器地址栏输入一个方便记忆的域名，例如 www.google.com。然而，计算机和服务器之间通信并非通过域名，而是通过一串数字组成的IP地址（例如 172.217.160.78）。

DNS的核心任务就是进行这种“翻译”工作：将用户输入的域名“翻译”成服务器能够理解的IP地址 。这个过程称为DNS解析或DNS查询。没有DNS，我们就必须记住每一个网站背后那串毫无规律的IP地址，这显然是不现实的。

然而，这个至关重要的“电话簿”系统在设计之初，并未过多考虑安全性。传统的DNS查询过程是完全不加密的，以**明文（plaintext）**形式在网络上传输 。这就好比在一个拥挤的大厅里，你大声喊出你要查询的电话号码，周围的任何人都能听得一清二楚。这种“设计上的不安全”为后续的干扰和篡改埋下了巨大的隐患。

1.3 “电话簿”如何被篡改：DNS污染与劫持

正是利用了传统DNS查询的明文特性，GFW得以高效地实施其最常用、成本最低的封锁手段：DNS污染（DNS Pollution），也称为DNS缓存投毒（DNS Cache Poisoning）。

其原理可以理解为一种**“抢答”式的中间人攻击** 。当用户的设备向互联网服务提供商（ISP）的DNS服务器发起一个查询请求（例如，“www.youtube.com的IP地址是什么？”）时，这个请求会以明文形式发出。GFW作为网络拓扑中的“旁观者”，凭借其特殊位置，能够监听到这个请求。

监听到请求后，GFW会立即抢在真正的、位于国外的DNS服务器返回正确结果之前，伪造一个错误的应答并发送给用户。这个伪造的应答可能是一个无效的、错误的IP地址，或者干脆不返回任何地址，从而导致用户的浏览器无法连接到真实的网站服务器，最终显示连接失败 。由于这个伪造的应答比真实的应答更早到达用户的设备，用户的系统会误以为这就是正确答案，并将其缓存下来，导致在一段时间内对该网站的访问持续失败。

这种基于DNS的拦截方式，是ISP和审查机构最偏爱的方法，因为它实施起来“最简单也最便宜”。除了DNS污染，还存在DNS劫持（DNS Hijacking），攻击者可以直接控制用户的路由器或DNS服务器，将用户的请求重定向到恶意网站，例如钓鱼网站，以窃取敏感信息 。对于身处GFW环境下的用户而言，DNS污染是导致大量国外网站无法访问的首要原因。因此，解决DNS污染问题，是我们穿越数字高墙的第一步，也是最关键的一步。

Part 2: 第一道防线：使用DoH加密你的“查号”请求

2.1 DoH是什么？它如何保护我们？

为了应对DNS污染和劫持的威胁，一项名为**DNS-over-HTTPS（DoH）**的新协议应运而生。DoH的原理非常直观：它将原本以明文传输的DNS查询请求，封装到HTTPS协议中进行加密传输 。HTTPS是目前网络上用于保护在线银行、电子商务等敏感通信的加密标准，其安全性久经考验。

DoH的工作流程可以这样理解：

• 加密封装： 当用户发起DNS查询时，DoH客户端（例如浏览器）会将这个查询请求像普通网页数据一样，用HTTPS进行加密。
• 伪装传输： 这个加密后的DNS请求会通过标准的HTTPS端口（端口443）发送出去 。这个端口是所有加密网页流量的通用端口。
• 安全解析： 请求到达支持DoH的DNS服务器后，服务器解密请求，查询正确的IP地址，然后再将结果用HTTPS加密返回给用户。

DoH的巧妙之处在于其“伪装”能力。由于DoH流量与海量的普通HTTPS网页浏览流量混合在一起，使用相同的端口和加密方式，它能够有效地“隐藏在众目睽睽之下” 。对于GFW来说，它只能看到一堆加密的HTTPS流量，无法轻易地识别出哪些是DNS查询，哪些是正常的网页访问。这就好比，GFW是一个只检查“明信片”（传统DNS）内容的哨兵，而DoH则是将你的信件内容放进了“无法打开的加密信封”（HTTPS），并混在一大堆普通信件中一起邮寄。哨兵无法读取信件内容，也就无法进行篡改或丢弃。

通过这种方式，DoH从根本上解决了DNS污染问题。因为GFW无法解密和读取用户的DNS查询内容，它就无法知道用户在查询哪个被封锁的域名，自然也就无法进行“抢答”式的投毒攻击 。

2.2 DoH vs. DoT：为什么我们推荐DoH？

除了DoH，还有另一种加密DNS的协议叫做DNS-over-TLS（DoT）。从加密效果上看，DoT和DoH都使用TLS来保护DNS查询的机密性和完整性。然而，两者之间存在一个对GFW环境下的用户至关重要的战略性区别：它们使用的网络端口不同 。

• DNS-over-TLS (DoT)： 使用专门的端口853 。
• DNS-over-HTTPS (DoH)： 使用通用的HTTPS端口443 。

这个区别意味着，DoT流量具有非常明显的特征。网络管理员或审查者可以轻易地识别出哪些流量是发往端口853的，即使无法解密其内容，也可以直接对这个特定端口的流量进行封锁或干扰 。这使得DoT在面对强大的审查系统时显得非常脆弱。

相比之下，DoH流量因为使用了端口443，与全球数十亿用户每天产生的海量加密网页浏览流量完全混淆在一起 。如果GFW要封锁DoH，理论上就需要封锁所有使用端口443的HTTPS流量，这将导致整个互联网的加密通信瘫痪，代价巨大且不切实际。

因此，在需要规避审查的场景下，选择DoH而非DoT并非技术优劣之争，而是一个纯粹的战略考量。DoH的“伪装”能力使其具有更强的抗封锁性和穿透性，是普通用户穿越数字高墙的更优选择。

2.3 DoH的局限性：它并非万能药

尽管DoH是抵御DNS污染的强大武器，但它并非万能。用户必须清楚地认识到它的局限性，以避免产生错误的安全预期。

首先，DoH只加密DNS查询过程。它保护的是“查电话号码”这个动作不被窃听和篡改。一旦你拿到了正确的IP地址并发起连接，后续的网页浏览数据流，以及你的真实IP地址，DoH是完全不涉及的。它不能像VPN那样隐藏你的IP地址或加密你的全部网络流量 。

其次，也是最重要的一点，GFW的封锁策略是多层次的。当它发现基于DNS的封锁手段被DoH绕过后，它会启用第二道防线：SNI探测。

SNI（Server Name Indication，服务器名称指示）是TLS协议中的一个扩展。在建立HTTPS连接的最初阶段（称为“TLS握手”），用户的浏览器需要告诉目标服务器它想访问的是哪个具体网站。例如，一个IP地址可能托管了成百上千个网站，服务器需要通过SNI来知道应该提供哪个网站的证书和内容。问题在于，在传统的TLS 1.2及更早版本中，这个SNI信息是以明文形式包含在初始的“ClientHello”握手消息中的 。

这意味着，即便你使用了DoH成功获取了网站的真实IP地址，但在你尝试与该IP地址建立加密连接的那一刻，你的设备依然会以明文方式告诉GFW：“你好，我正要去访问 youtube.com”。GFW一旦检测到这个明文的SNI信息，就可以立刻切断该TCP连接，从而实现封锁 。

GFW的运作方式是“组合拳”，它同时使用DNS污染和SNI探测两种手段 。这解释了为什么有些用户在启用了DoH之后，发现部分网站可以访问了（这些网站可能只被DNS污染），而另一些网站依然无法访问（这些网站同时被DNS污染和SNI探测封锁）。要实现更稳定、更全面的访问，我们必须解决SNI泄露这个“阿喀琉斯之踵”。

Part 3: 终极进化：DoH与ECH联手，实现更强的隐私保护

3.1 DoH的“阿喀琉斯之踵”：什么是SNI？

正如前文所述，SNI（服务器名称指示）是DoH方案中的关键弱点。我们可以用一个更具体的比喻来理解它：DoH好比让你能够通过加密的秘密渠道，安全地查到了你想拜访的朋友的家庭住址（IP地址）。但是，当你到达那栋公寓楼（服务器）下，按下门铃时，你必须通过对讲机公开喊出你要找的朋友的名字（SNI），这样公寓的管理员（服务器）才能为你接通。而GFW就像是站在公寓楼门口的保安，它听到了你喊出的名字，如果这个名字在它的黑名单上，它就会阻止你进入公寓楼。

这个在TLS握手初期以明文形式发送的、包含目标网站域名的ClientHello消息，就是泄露用户访问意图的最后一道线索 。随着DoH的普及，审查系统也随之进化，越来越依赖SNI探测这种更精确、更具针对性的封锁手段 。因此，仅仅加密DNS查询已经不够，我们必须将连接建立过程中的这最后一点明文信息也隐藏起来。

💡 想知道哪款浏览器能最好地防御这种探测吗？请看我们的深度评测。

3.2 隐藏最后的线索：ECH技术详解

为了弥补SNI泄露的短板，一项名为**Encrypted Client Hello（ECH，加密客户端问候）**的新技术应运而生。ECH的目标非常明确：加密整个ClientHello消息，彻底隐藏包括SNI在内的所有连接元数据 。

ECH的实现方式极具创造性，它将原本单一的ClientHello消息拆分为内外两层 ：

• Outer ClientHello（外部问候）： 这一部分是明文的，包含一些非敏感信息。它携带一个“外部SNI”，这个SNI对于所有使用同一家ECH服务提供商（如Cloudflare）的网站来说都是相同的。例如，所有访问Cloudflare上开启了ECH的网站，其外部SNI都会显示为 cloudflare-ech.com 。
• Inner ClientHello（内部问候）： 这一部分包含了用户真正想访问的网站域名（即真实的“内部SNI”）以及其他敏感的连接参数。整个内部问候会被一把公钥加密，只有ECH服务提供商（如Cloudflare）用其对应的私钥才能解密。

当GFW监视网络时，它只能看到一个发往Cloudflare服务器的、外部SNI为cloudflare-ech.com的连接请求。由于成千上万个不同的网站都共享这同一个外部SNI，GFW无法分辨出用户到底想访问哪一个具体网站，从而失去了根据SNI进行精确封锁的依据。

ECH的有效性依赖于“人多力量大”的原则。当足够多的网站通过同一个大型服务商（如CDN）启用ECH时，所有用户的访问流量在外部看起来都一模一样，形成了一个巨大的“隐私保护人群”，个别用户的访问行为便淹没其中，难以被识别和追踪 。这就好比，你不再需要对着公寓对讲机喊朋友的名字，而是将写有朋友名字的信件放进一个标准化的加密信封（ECH），然后投进一个成千上万人都在使用的大邮局（CDN服务商）的邮箱里。门口的保安只知道有一封信寄往这个邮局，但完全不知道最终的收件人是谁。

3.3 强强联合：DoH + ECH如何协同工作

ECH虽然强大，但它并不能独立工作。事实上，一个安全可靠的ECH实现，必须以DoH为基础。这两者之间存在着密不可分的共生关系。

原因在于，ECH加密“内部问候”所需要的那把公钥，本身是通过DNS系统来获取和分发的 。当浏览器准备访问一个支持ECH的网站时，它会先发起一个特殊的DNS查询（查询HTTPS或SVCB记录），以获取该网站的ECH公钥。

现在，设想一下如果这个获取公钥的DNS查询是未经加密的传统DNS查询。GFW可以轻易地截获这个查询，并进行中间人攻击（MITM）：它可以用一把自己伪造的假公钥来替换掉真实的公钥并发回给浏览器。浏览器拿到假公钥后，用它加密了包含真实SNI的“内部问候”。由于GFW拥有这把假公钥对应的私钥，它可以轻松解密“内部问候”，从而获取到真实的SNI，并继续进行封锁。这样一来，ECH的全部努力都将付诸东流 。

因此，为了确保ECH的安全性，获取其公钥的DNS查询过程本身必须是加密且无法被篡改的。这正是DoH的用武之地。只有通过DoH这样一个安全的通道去获取ECH公钥，才能保证公钥的真实性，进而保证整个ECH握手的安全性 。

综上所述，DoH与ECH构成了一套完整的、两阶段的防御体系，专门针对GFW最主流的两种封锁手段：

• 第一阶段（地址查询）： 用户通过 DoH 安全地查询网站的IP地址和ECH公钥。此阶段挫败了GFW的 DNS污染 攻击。
• 第二阶段（连接建立）： 用户通过 ECH 安全地与服务器进行握手，隐藏了真实的网站域名。此阶段挫败了GFW的 SNI探测 攻击。

只有将DoH和ECH结合使用，才能构建起一道足够坚固的防线，有效规避审查，实现稳定、私密的互联网访问。

Part 4: 实战操作指南：分步设置教程

在开始详细的、跨平台的设置步骤之前，我们想再次提醒您：

如果您主要使用桌面版Chrome浏览器，我们强烈推荐您下载我们制作的PDF“懒人包”，它用最简洁的图文，总结了后续Chrome的设置流程。

💡 点击此处下载《Chrome隐身访问懒人包》

4.1 选择你的DoH服务商：关键的第一步

在开始任何设置之前，选择一个可靠的DoH服务商是至关重要的一步。这一选择将直接决定后续所有努力的成败。

一个核心原则是：绝对不要使用任何由中国大陆公司运营的DNS服务来规避审查。诸如阿里DNS（Alidns） 或腾讯DNS（DNSPod） 等服务，虽然也提供DoH功能，但它们必须遵守中国的法律法规，其解析结果会受到审查和过滤，不会返回被封锁网站的真实IP地址 。使用它们进行“翻墙”无异于缘木求鱼。此外，一些服务商的合规记录也存在争议，例如DNSPod曾因未及时处理滥用举报而受到国际域名管理机构ICANN的调查 ，这进一步引发了对其可信度的担忧。

因此，我们必须选择由信誉良好、注重隐私的国际公司运营的公共DNS服务。下表列出了一些广受推荐的、适合用于规避GFW的DoH服务商及其配置信息。服务商名称DoH服务器地址主要特点适用性说明Cloudflarehttps://cloudflare-dns.com/dns-query速度快，全球节点多，大力推广并支持ECH，提供恶意软件过滤选项。强烈推荐。作为ECH技术的主要推动者，与Firefox等浏览器深度合作，是实现DoH+ECH组合拳的最佳选择 。Google Public DNShttps://dns.google/dns-query稳定可靠，由Google运营，同样支持ECH。推荐。全球基础设施强大，性能有保障，是另一个可靠的选择 。NextDNShttps://dns.nextdns.io高度可定制，提供强大的广告、跟踪器拦截和家长控制功能，支持ECH。推荐。适合希望对过滤规则进行精细化管理的用户。提供详细的日志和分析功能 。AdGuard DNShttps://dns.adguard-dns.com/dns-query专注于广告和跟踪器拦截，提供多种过滤级别的服务器，支持ECH。推荐。对于希望在DNS层面实现强力广告拦截的用户来说是绝佳选择 。

在后续的设置中，用户可以从上表中选择一个DoH服务器地址进行配置。

4.2 在桌面浏览器上启用DoH与ECH

在桌面端，最简单直接的方法是在浏览器层面启用DoH和ECH。这种方法无需修改系统设置，影响范围仅限于浏览器本身。

4.2.1 Mozilla Firefox (首选推荐)

Firefox在隐私保护技术方面一直走在前列，其对DoH和ECH的支持最为成熟和用户友好，是实现稳定访问的首选工具 。

💡关于为什么Firefox是最佳选择，以及与其他浏览器的详细对比，请阅读我们的*《隐私浏览器终极指南》

设置步骤：

• 点击浏览器右上角的菜单按钮（三条横线），选择 设置。
• 在左侧菜单中选择 隐私与安全。
• 向下滚动页面，找到 基于HTTPS的DNS (DNS over HTTPS) 部分。
• 选择 最高保护 级别。这将强制所有DNS查询都通过DoH进行，如果失败则会提示错误，而不是降级到不安全的DNS，这对于防范降级攻击至关重要 。
• 在下方的 选择提供商 菜单中，可以选择一个预设的提供商（如Cloudflare），或者选择 自定义，然后将上表中您选定的DoH服务器地址粘贴进去。
• 完成设置。无需额外操作，从Firefox 119版本开始，只要开启了DoH（特别是设置为“最高保护”），ECH功能就会被自动启用 。

Firefox将DoH与ECH无缝整合，为用户提供了一键式的“全套解决方案”，是目前最简单、最可靠的选择。

4.2.2 Google Chrome

Chrome浏览器同样支持DoH和ECH，但其ECH的实现和状态对普通用户来说不如Firefox透明。

设置步骤：

• 点击浏览器右上角的菜单按钮（三个竖点），选择 设置。
• 在左侧菜单中选择 隐私和安全，然后点击右侧的 安全 选项。
• 向下滚动，找到 高级 部分。
• 开启 使用安全DNS 的开关。
• 选择 使用 自定义 选项，然后在下方的输入框中，粘贴您从上表中选定的DoH服务器地址 。
• 完成设置。Chrome会自动尝试使用ECH，但其生效情况依赖于所连接的服务器和网络环境 。

4.2.3 Microsoft Edge

Edge浏览器基于Chromium核心，其设置方式与Chrome基本相同。

设置步骤：

• 点击浏览器右上角的菜单按钮（三个横点），选择 设置。
• 在左侧菜单中选择 隐私、搜索和服务。
• 向下滚动页面，找到 安全性 部分。
• 开启 使用安全的 DNS 指定如何查找网站的网络地址 的开关。
• 选择 选择服务提供商，然后在下方的自定义输入框中，粘贴您从上表中选定的DoH服务器地址 。

4.3 在安卓设备上启用DoH

对于安卓用户，有两种主流方法可以启用加密DNS，各有优劣。

4.3.1 方法一：使用系统内置的“私人DNS”（基于DoT）

从Android 9 Pie版本开始，系统内置了名为“私人DNS”的功能，设置非常便捷 。

设置步骤：

• 打开系统 设置。
• 进入 网络和互联网 (或类似名称，如“连接与共享”)。
• 点击 私人DNS (可能在“高级”选项内)。
• 选择 私人DNS提供商主机名。
• 在输入框中，输入一个DoT服务器的主机名。请注意，这里输入的是DoT地址，而非DoH地址。例如，对于Cloudflare，应输入 1dot1dot1dot1.cloudflare-dns.com 。对于AdGuard，应输入 dns.adguard-dns.com 。
• 点击 保存。

此方法的优点是全局生效，操作简单。缺点是它使用的是DoT协议，如前文分析，其特征明显，比DoH更容易被封锁。但对于许多用户来说，这仍然是一个足够有效的快速解决方案。

4.3.2 方法二：使用第三方App（基于DoH，推荐）

为了使用抗封锁性更强的DoH协议，并获得更多高级功能，推荐使用专门的第三方App。

推荐App 1：Intra

• 简介： 由Google内部的Jigsaw团队开发，专门为对抗DNS操纵和审查而设计。它完全免费、开源，且注重隐私 。
• 工作原理： Intra会在设备上创建一个本地VPN，将所有的DNS流量导入其中，并通过DoH协议发送到你选择的服务器（如Cloudflare或Google）。
• 设置： 安装后打开，一键启动即可。可以在设置中选择或自定义DoH服务器。

推荐App 2：AdGuard for Android

• 简介： 这是一款功能强大的广告拦截器，其核心功能之一就是提供系统级的DNS过滤。它支持包括DoH在内的多种加密DNS协议 。
• 工作原理： 与Intra类似，AdGuard也通过本地VPN来接管设备的所有网络流量，从而实现DNS过滤和广告拦截。
• 设置： 在AdGuard的 设置 -> DNS保护 中，可以启用DNS过滤，并从列表中选择或自定义添加DoH服务器地址。

对于安卓用户，建议的策略是：首先尝试使用系统内置的“私人DNS”（DoT），因为它最简单。如果发现访问不稳定或被封锁，再安装Intra或AdGuard等App，切换到抗干扰能力更强的DoH方案。

4.4 在苹果设备上启用DoH

在iOS和iPadOS上启用DoH的过程与安卓和桌面端有所不同，需要借助“配置描述文件”。

4.4.1 核心概念：为什么需要配置描述文件？

从iOS 14和macOS Big Sur开始，苹果的操作系统已经原生支持DoH和DoT协议。然而，苹果并未在系统“设置”中提供一个图形界面让用户直接输入DoH服务器地址 。启用这一原生功能，必须通过安装一个 .mobileconfig格式的配置描述文件来完成。

与安装一个App相比，使用配置描述文件的方式更受推荐，原因如下 ：

• 透明可信： 配置描述文件本质上是一个XML格式的文本文件，可以用任何文本编辑器打开查看其内容，确保它只做了它声称的事情。
• 无后台运行： 它只是一个系统设置文件，安装后即生效，不会有任何App在后台运行，不消耗额外电量和内存。
• 更高安全性： 避免了第三方App作为中间人可能带来的数据收集或隐私风险。

4.4.2 方法一：使用在线生成器创建并安装描述文件（强烈推荐）

这是最安全、最灵活的方法。用户可以通过可信的在线工具，为自己选择的DoH服务商生成专属的描述文件。

推荐工具：

• dns.notjakob.com: 一个广受好评的开源描述文件生成器 。
• paulmillr/encrypted-dns (GitHub): 一个维护了大量预制描述文件的GitHub项目，可以直接下载使用 。
• apple.nextdns.io: NextDNS官方提供的描述文件生成器 。

通用设置步骤 (以dns.notjakob.com为例)：

• 在你的iPhone或iPad上，使用Safari浏览器访问 https://dns.notjakob.com/ (或其他生成器网站)。
• 在工具页面，选择 DNS-over-HTTPS (DoH)。
• 在 DoH server URL 输入框中，粘贴您从本文4.1节表格中选定的DoH服务器地址（例如 https://cloudflare-dns.com/dns-query）。
• 可以为这个配置起一个名字，然后点击 Add to profile 和 Finalize。
• 点击 Download profile，浏览器会提示“本网站正在尝试下载一个配置描述文件”，点击 允许。
• 描述文件下载后，打开系统 设置 App。
• 在顶部会看到一个新的 已下载描述文件 选项，点击进入。
• 屏幕会显示描述文件的详细信息，点击右上角的 安装。
• 输入你的设备解锁密码，然后再次点击 安装。
• 安装完成后，DoH即已在系统层面全局启用。你可以在 设置 -> 通用 -> VPN、DNS与设备管理 中看到已安装的描述文件。

4.4.3 方法二：使用App Store应用

一些App Store应用也可以帮助用户启用DoH，它们本质上是提供了一个友好的界面来安装和管理配置描述文件。

推荐App：

• DNS Security: 一款评价很高的应用，支持DoH和DoT，通过安装DNS描述文件而非VPN描述文件工作，被认为是正确的方式 。
• Morhill DoH Switcher: 一款免费应用，可以帮助用户在不同的DoH服务之间切换 。

这种方法更适合希望通过App界面方便地开启/关闭或切换DNS设置的用户，但相比手动安装描述文件，透明度略低。

Part 5: 总结与未来展望

5.1 要点回顾：你的新“翻墙”工具箱

本报告详细阐述了一套现代、高效且低成本的规避网络审查的策略。其核心思想是构建一个分层的防御体系，以应对GFW多层次的封锁技术。

• 第一道防线：DoH。 通过将DNS查询加密并混入普通HTTPS流量，DoH有效抵御了最常见的DNS污染攻击。它是所有后续步骤的基础。
• 第二道防线：ECH。 通过加密TLS握手中的ClientHello消息，ECH隐藏了用户访问的具体网站域名，从而挫败了日益普遍的SNI探测封锁。
• 黄金组合：DoH + ECH。 这两项技术必须协同工作。DoH为ECH安全获取公钥提供了必要的加密通道，两者结合，能够有效化解目前GFW最主流的两种非IP封锁手段 。
• 最佳实践： 在桌面端，使用Firefox浏览器并开启“最高保护”级别的DoH，是实现这一黄金组合最简单、最可靠的方式。在移动端，安卓用户可通过Intra等App启用DoH，iOS用户则通过安装配置描述文件来启用系统级DoH。

这套工具箱为普通用户提供了一种无需购买VPN、技术门槛相对较低且足够稳定的方式来访问全球互联网。

5.2 保持警惕：这并非一劳永逸的解决方案

在掌握这些新工具的同时，用户也必须对其局限性有清醒的认识，并对未来保持审慎的乐观。

首先，DoH/ECH不是VPN的替代品。它只保护DNS查询和连接建立过程的隐私，并不能加密用户与网站之间的实际数据传输，也无法隐藏用户的真实IP地址。对于需要最高级别匿名和安全保护的场景，一个信誉良好的**VPN服务**仍然是不可或缺的 。

其次，它无法对抗**IP封锁**。如果GFW直接封锁了某个网站服务器的IP地址段，那么无论DNS解析和连接握手多么隐秘，最终的连接请求依然无法到达目的地。

最后，这是一场持续的“猫鼠游戏”。互联网审查技术在不断演进，规避审查的技术也在不断发展 。从最初的DNS污染，到SNI探测，未来GFW可能会采用更先进的流量分析、行为特征识别等手段来封堵DoH和ECH。因此，不存在一劳永逸的解决方案。

最终的目标，不是找到一把能打开所有锁的“万能钥匙”，而是通过理解这些技术背后的原理，提升自身的数字素养和适应能力。当现有的方法失效时，具备基本知识的用户将能更快地理解新的封锁手段，并寻找和接纳新一代的规避工具。保持学习和警惕，是在这场无声的技术对抗中维持信息自由的关键。