DoH, DoT, DoQ 的区别
来自DNS-WIKI
DNS 基础概念
DNS (Domain Name System) 是互联网的电话簿。它负责将用户可读的网站名称(如 www.example.com)转换为机器可以理解的IP地址(如 192.0.2.1)。DNS查询和响应在传统的DNS协议中是明文传输的,这意味着它们可能受到中间人攻击,如监听、拦截和篡改。
随着网络安全意识的提升,现代的DNS查询正逐渐向加密过渡,以增强用户隐私和数据安全。下面是几种加密DNS的技术:
DoH (DNS over HTTPS):
DoH是一种通过HTTPS协议传输DNS查询的方法。它利用了HTTPS协议天然的加密特性来保障数据传输的隐私性和安全性。DoH的引入使DNS查询与普通的WEB流量混合,从而更难被封锁或监控。
DoT (DNS over TLS):
DoT利用传输层安全性协议(TLS)来加密DNS查询,确保数据在传输过程中不被监听或篡改。DoT通常在853端口上运行,并提供了一种端到端加密的解决方案。
DoQ (DNS over QUIC):
DoQ是一种新兴的技术,它结合了DNS查询和QUIC协议的优势。QUIC是一个基于UDP的多路复用传输协议,它减少了连接建立时间,并提供了更好的性能和加密支持。DoQ旨在进一步提升DNS查询的效率和隐私性。
优缺点
- DNS
- 优点:原生支持,广泛部署,无需额外配置。
- 缺点:明文传输,容易受到篡改和监听。
- DoH
- 优点:与HTTPS流量不可区分,难以被审查,易于绕过某些网络限制。
- 缺点:可能与现有的网络基础设施(如中间件、缓存)存在兼容性问题。
- DoT
- 优点:设计简洁,易于实现,提供端到端加密。
- 缺点:可被ISP或网络防火墙识别并阻止,因为使用了专用端口。
- DoQ
- 优点:减少连接延迟,提高传输效率,支持并发请求。
- 缺点:目前支持度不广,需要进一步测试和部署。
公共DNS服务提供商
| Public DNS | DNS IPv4 | DNS IPv6 | DoH | DoT | DoQ |
|---|---|---|---|---|---|
| Google Public DNS | 8.8.8.8 和 8.8.4.4 | 2001:4860:4860::8888 和 2001:4860:4860::8844 | https://dns.google/dns-query | tls://dns.google | |
| Cloudflare DNS | 1.1.1.1 和 1.0.0.1 | 2606:4700:4700::1111 和 2606:4700:4700::1001 | https://cloudflare-dns.com/dns-query | tls://1dot1dot1dot1.cloudflare-dns.com | |
| Quad9 | 9.9.9.9 和 149.112.112.112 | 2620:fe::fe 和 2620:fe::fe:9 | https://dns.quad9.net/dns-query | tls://dns.quad9.net | |
| AdGuard DNS | 94.140.14.14 和 94.140.15.15 | 2a10:50c0::ad1
和 2a10:50c0::ad2 |
https://dns.adguard-dns.com/dns-query | tls://dns.adguard-dns.com | quic://dns.adguard-dns.com |
| Cisico OpenDNS | 208.67.222.222 和 208.67.220.220 | 2620:119:35::35 和 2620:119:53::53 | https://doh.opendns.com/dns-query | ||
| Ali DNS | 223.5.5.5 和 223.6.6.6 | 2400:3200::1 和 2400:3200:baba::1 | https://dns.alidns.com/dns-query | tłs://dns.alidns.com | quic://dns.alidns.com |
| DNSPod DNS | 119.29.29.29 | 2402:4e00:: 和 2402:4e00:1:: | https://doh.pub/dns-query | tłs://dot.pub | |
| TrafficRoute DNS | 180.184.1.1 和 180.184.2.2 |
