cjh DoT/DoH 2024-06-14 此文章访问量 50

DoT（RFC7858）和DoH（RFC8484）

DoT (DNS-over-TLS)

DoH (DNS-over-HTTPS)

域名系统（DNS）是一项互联网基础服务，它是一个树状分布式架构系统，将不同级别的数据库部署在各个子节点，将域名和IP地址进行对应，是互联网的“电话本”。随着移动互联网蓬勃发展以及万物互联时代的到来，域名解析会呈现快速增长趋势，每个智能设备每天可能执行成千上万次的DNS查询，由此互联网快速发展对DNS系统提出了更高的要求。

传统DNS多数情况下使用TCP和UDP的53端口通讯，其查询数据以明文方式传输，请求数据易被其他人获取，从而泄露自己的访问记录存在暴露的风险；同时，传统DNS应答数据也易被篡改，用户的访问会被劫持到钓鱼网站和恶意站点；此外，还会有中间设备干扰的风险。

DoT（RFC7858）和DoH（RFC8484）是对DNS查询解析进行加密的两种热门技术，二者区别在于它们采用不同的协议和端口。

DNS over TLS（简称DoT）是一项域名解析安全扩展协议，它使用TLS协议加密传输用户和递归解析服务器之间的DNS消息，通讯端口为853。

DNS over HTTPS（简称DoH）与DoT类似，同样也是一种域名解析安全扩展协议，它使用HTTPS协议加密传输用户和递归解析服务器之间的DNS消息，通讯端口为443。

它们都在一定程度上改善客户端到递归服服务器之间的传输安全问题，以避免传统53端口明文传输带来的风险隐患。随着Google等国际大牌互联网公司的支持和推广，DoT/DoH已成为如今最热门的DNS查询技术。

IPv6公共DNS（www.ipv6dns.com）是下一代互联网国家工程中心推出的全国首个IPv6 DNS服务。凭借着安全、稳定、高速、智能的上网体验获得了众多IPv6用户的认可，目前已成为国内为数不多、表现优异的IPv6公共DNS之一。近期，下一代互联网国家工程中心在此基础上增加了对DoT/DoH功能的支持，现正式开启公测，欢迎各位同仁提出宝贵建议。目前，苹果iOS14、安卓9.0以上版本的手机,MacOS11、Windows 10操作系统的电脑以及Firefox、Chrome、Edge等浏览器已支持配置DoT/DoH。用户可访问http://www.ipv6dns.com/dot-doh/ 查看详细教程。

DoT 配置指南

https://www.ipv6dns.com/pconfig/?dot

DoH 配置指南

https://www.ipv6dns.com/pconfig/?doh

DOT 和 DOH的异同

读到这里，我们已经了解了DOT和DOH。此时可能会有一个疑问：DOT使用TLS实现DNS消息的加密和认证，DOH使用HTTPS传输DNS，而HTTPS也是应用TLS进行加密的，那么使用TLS的DOT和基于HTTPS的DOH有什么区别呢？

DOT 和 DOH 之间最重要的区别是使用的端口不同。DOH 则使用端口 443，DOT 仅使用端口 853。DOT 具有专用端口，但即使请求和响应本身都已加密，DoT 流量却是可以被发现的。DOH 则相反，DNS 查询和响应可以混淆在其他 HTTPS 流量中。下表展示了DOT的DOH的一些区别：