今日学到一个东西，基于 https 的 dns 解析

DoH DoT

DoH ，DoT 。

cloudflare 之前还搞过 dns over sms……

应该是 http 的写死 IP 的私有加密协议。https 是需要证书的，证书是针对域名的，域名就得解析，那用啥解析这个 HTTPS 的域名呢

dns over https
dns over tls

还有直接访问 ip 的骚操作
360 就有

@chairuosen #4 那当然是 IP 证书—— https://1.1.1.1

@chairuosen #4 用你当前设置好的 DNS 服务器啊，就跟用 IE 为了下载别的浏览器一样，用当前 DNS 去解析这个网址，返回错误 IP 你连不上，你就知道出问题了；只要能连上那就一定是正确结果，之后就只走 HTTPS 了呗。

@bipy #7 咦，还真有

我已经用上了 dot ，
coredns
forward tls://8.8.8.8

@krixaar #8 这样做就违背了 HTTPDNS 的初衷了，还是会被污染

@chairuosen 咋污染，后续请求走的是加密流量

@chairuosen #4 可以写死 IP 地址，不进行域名解析。证书里包含域名又不代表一定要进行 DNS 解析。

@chairuosen #11 但这样做绕开了单一 IP 阻断，以及给了你便捷的确认是否被污染的手段。只要默认的 DNS 解析出了 cloudflare-dns.com 的其它地址，万一 1.1.1.1 被某个傻缺 wifi 登录页面劫持了呢。

@chairuosen 这个就是 bootstrap 问题
一个是用 IP 证书
一个是预置的 hosts ，Firefox 有一个 network.trr.bootstrapAddress 设置
最后就是用常规 DNS 解析 DoH 服务器域名

你这里有个误解，常规 DNS 污染是可以被发现的（证书与地址不符），而 DoH 仍然是不会被污染的（通过 TLS 加密）
这里是个两层结构

（顺便，1.1.1.1 被深信服占了）

@2i2Re2PLMaDnghL 可以 https://1.0.0.1

@krixaar DOH\DOT 不影响 WIFI 登录页面，反正 IOS 没受到影响。别说公共 WIFI 了，傻缺运维把 1.1.1.1 设置成某网关地址了，能咋办？凉拌。又不是只有一个公共 DNS ，真要有傻缺阻断所有加密流量，这不是司马昭之心么，还不快跑？

@xiadong1994 dns over sms ，那不得上一个小时网，话费扣 50

概念意义上来说，dns 是通过域名换取主机 ip 地址。实现上包括 DNS 报文协议和传输协议，但是概念上并没有规定 dns 的传输实现一定要基于 udp 。

只不过最开始搞 dns 服务实现的人采用了 udp ，然后这个东西推广开了默认成为了事实标准，只不过他没有想到如今的网络安全问题会这么严重。

@fkdog 你这边可能混淆了 Name 到 IP 转换和现有的 DNS 协议体系 rfc 1034/1035

而且 rfc1035 可以用 tcp ，你也可以用 dig +tcp 实际使用。之前甚至可以用来避免污染（因为有三次握手，纯抢答没用），现在会被选择性 RST