如果你在家里跑 Pi-hole、AdGuard Home 或 Unbound,大概率已经比普通用户更在意 DNS 隐私。但越认真折腾,越会遇到一个硬问题:DNS 这条链路,很难做到“没人知道你问了什么”。
Numa v0.14 做了一件小但关键的事:把 ODoH 客户端和 relay 打包进一个 Rust 单二进制,并上线公开 relay:odoh-relay.numa.rs。按作者材料里的公开生态观察,它让知名公开 ODoH relay 多了一个运营方;此前 DNSCrypt 列表里,几乎只剩 Frank Denis 在 Fastly Compute 上跑的 relay 还能算知名可用。
这不是一个“DNS 工具又多一个”的新闻。更准确地说,它把匿名 DNS 从平台会员、账号体系和巨头默认入口里,往外拽了一点。
ODoH 解决的不是加密,而是归因
普通 DoH / DoT 解决的是传输加密。你的运营商或旁路监听者更难直接看明文 DNS,但 DNS 服务方仍可能同时看到两件事:你的 IP,以及你查了什么域名。
ODoH,也就是 Oblivious DNS over HTTPS,换了一个拆法:不让同一个节点同时拿到这两类信息。
| 环节 | 能看到什么 | 看不到什么 |
|---|---|---|
| relay | 用户 IP、连接时间 | DNS 查询内容,只看到密文 |
| target | DNS 查询内容 | 用户真实 IP,只看到 relay IP |
| 用户端 | 用 target 公钥加密查询 | 不把明文查询交给 relay |
Numa 默认把自己的 relay 搭配 Cloudflare 的 ODoH target。relay 是 Numa,target 是 Cloudflare,两个运营方不共享同一个 eTLD+1。
这个细节比功能本身更重要。ODoH 的价值就在“拆分可见信息”。如果 relay 和 target 由同一方控制,隐私收益会被大幅削弱,甚至只剩形式。
Numa 还补了几个工程细节:relay 只暴露 POST /relay 和 GET /health;对目标地址做 SSRF 防护,不允许拿 relay 去访问内网元数据地址;默认拒绝 relay 和 target 同运营方配置。
这些不是花活。隐私基础设施经常不是死在算法上,而是死在默认配置、滥用处理和长期维护上。
对自托管 DNS 用户来说,动作也很具体:如果你已经在跑 Pi-hole、AdGuard Home 或 Unbound,可以先把 Numa 当成一个可观察的新选项,而不是立刻替换现有解析链路。适合先在测试环境里接入,确认延迟、失败回退、日志策略和上游 target 配置,再决定要不要放进日常网络。
它降低门槛,但不等于隐身
Numa 的变化,主要是把“参与 ODoH 网络”这件事做轻了。一个二进制,切到 relay 模式,前面挂 Caddy,就能开始跑 relay。
和几类常见方案放在一起看,差异更清楚:
| 路线 | 主要门槛 | 现实限制 |
|---|---|---|
| iCloud Private Relay | iCloud+、Apple 设备、Apple 生态 | 好用,但平台锁定明显 |
| NextDNS 等服务 | 账号、配置、服务信任 | 隐私容易变成账户关系的一部分 |
| Cloudflare for Families / Quad9 等公共 DNS | 默认入口清楚,配置简单 | 仍要信任服务方的查询处理与策略 |
| 自建 Unbound | 自己递归解析 | 你的 IP 会进入权威 DNS 链路 |
| Numa ODoH | 开源客户端 + relay 模式 | 仍依赖更多 relay、更多 target 和更大流量 |
这里要把冷水泼足。
ODoH 不是端到端防监控,也不是绝对匿名。target 仍然能看到 DNS 查询内容。协议层不能阻止 target 记录查询,只能让这些查询更难直接归到某个用户 IP 上。
小 relay 还可能更危险。匿名性靠集合。一个 relay 如果只有几个人用,甚至只有你自己用,时间相关性会非常刺眼:你的 IP 刚连上 relay,target 那边马上出现一个查询。
所以,自建单用户 relay 不一定更安全。很多隐私系统最反直觉的地方就在这里:一个人躲进小屋,未必比混在人群里安全。
还有一个现实约束:target 的 HPKE 公钥分发仍依赖 WebPKI。客户端从 target 的 HTTPS well-known 地址取配置。如果你不信这套证书和分发链路,ODoH 没有魔法能替你绕过去。
所以它真正提供的是一件事:降低可归因性。它转移信任,不消灭信任。
真正稀缺的是运营方,而不是 RFC
我更在意 Numa 暴露出来的生态现实:ODoH 不是新协议,RFC 9230 已经在那里。但公开 relay 生态很薄。
这像早期 Tor、邮件、RSS、Mastodon 都遇到过的问题。协议可以开放,代码可以漂亮,真正稀缺的是有人长期维护节点、扛滥用、付账单、处理安全细节。
“天下熙熙,皆为利来。”隐私基础设施的麻烦在于,它经常没有足够清楚的“利来”。
大公司能做匿名 DNS,但往往会顺手带上平台、账号、套餐、遥测和默认入口。小项目能做得更干净,却缺规模、缺带宽、缺长期运营能力。
Numa 这一步的价值在中间。它没有宣称自己解决 DNS 隐私,只是把“跑一个 relay”变成更多开源用户可能完成的事。
这比多写一篇隐私宣言有用。
接下来最该看的不是 Numa relay 本身有多响,而是三个变量:
- 有没有更多互不隶属的 relay 运营方出现;
- 这些 relay 是否能维持稳定可用,而不是短期尝鲜;
- 客户端和自托管工具是否愿意把 ODoH 做成可理解、可验证、可回退的配置项。
对自托管用户,合理动作不是立刻迁移,而是观望加小规模测试。对开发者和运维者,更现实的动作是评估自己能不能长期跑一个公共 relay,而不是搭一个只给自己用的小节点。
真正的分水岭在这里。ODoH 要变得有意义,不靠某一个 relay 被写进配置文件,而靠更多互不隶属的运营方出现。relay 越多,流量越大,匿名集合越厚,协议的纸面隐私才更接近现实。
所以这次我愿意给一个明确肯定:Numa 做对了方向。但账还没结完。
匿名 DNS 不是把查询包起来就完事。它是一门运营的苦活,也是一场耐心竞赛。
回到开头那个问题:自托管用户到底少了什么?少的不是又一个 DNS 选项。少的是一个不靠会员、不靠账号、不靠单一巨头入口的公共隐私网络。
Numa 只是往这张网里补了一根线。
一根线不够。但没有线,就永远织不成网。