V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Hackerchai
V2EX  ›  DNS

你更倾向于 DoH 还是 DoT?

  •  
  •   Hackerchai · 8 天前 via Android · 5252 次点击

    对于两种主流加密 DNS 方案你更喜欢哪种?

    DNS-over-HTTPS 还是 DNS-over-TLS

    原因是什么?

    46 条回复    2021-01-09 07:25:48 +08:00
    TypeError
        1
    TypeError   8 天前 via Android   ❤️ 1
    DoH

    因为是标准 HTTPS 443 端口
    更不容易比被屏蔽
    S179276SP
        2
    S179276SP   8 天前 via Android
    android 自带没法 doh,只可 dot
    Hackerchai
        3
    Hackerchai   8 天前 via Android
    @TypeError 不过貌似 dot 性能更好
    tinkerer
        4
    tinkerer   8 天前
    DoH
    xxfye
        5
    xxfye   8 天前 via Android   ❤️ 3
    首选 dot 。
    doh 屏蔽起来和其他网站没区别,不存在更好的说法。
    lostberryzz
        6
    lostberryzz   8 天前   ❤️ 1
    Hackerchai
        7
    Hackerchai   8 天前 via Android
    @lostberryzz Dot 直接比 DoH 少了一个 layer,肯定效率要高一些
    chinvo
        8
    chinvo   8 天前 via iPhone
    dot 工作在 tls 上,doh 工作在 工作在 tls 上的 http 上

    你说那个更省资源……
    Hackerchai
        9
    Hackerchai   8 天前 via Android   ❤️ 2
    @xxfye 一楼的意思可能是认为 DoH 使用 443 端口和 HTTPS 共用,使得中间网络很难屏蔽 443 端口,而 DoT 使用 853 端口更容易被端口做屏蔽。至于土蔷,屏蔽 HTTPS 都是用 SNI 识别或者 ip 屏蔽,这点 DoH 也没法幸免于难
    boko
        10
    boko   8 天前 via Android
    DNS-over-QUIC
    Hackerchai
        11
    Hackerchai   8 天前 via Android
    @chinvo 但是我在我网络下的测试结果反倒是 DoH 更快,我也想不清楚原因
    Hackerchai
        12
    Hackerchai   8 天前 via Android
    @zghbssjzzhx 国内这个 udp qos 难受啊
    jinliming2
        13
    jinliming2   8 天前
    @chinvo
    @Hackerchai
    +1 我这里也是 DoH 比 DoT 更快(同样的 Google DNS )
    另外,UDP 我这里没有发现有 QoS,KCP 流畅到飞起
    ysc3839
        14
    ysc3839   8 天前   ❤️ 1
    要我写代码的话我选 DOH,因为 HTTP 库多好写。要我选择一个使用的话我选 DOT,因为少一层 HTTP 性能更好。
    LnTrx
        15
    LnTrx   8 天前
    看要实现什么需求吧。既然用加密协议,那一般是“旨在防止中间人攻击与控制 DNS 数据以保护用户隐私”。
    论性能 DoT 可能好一点,但论防止监测、攻击和保护隐私 DoH 应该比较强。
    这是因为 853 的特征非常明显,可以直接切断从而退回 53 。
    但 DoH 就没法简单地封端口了之,还要结合 SNI 等信息才能封禁。
    更重要的是,如果用的是非公共的 DoH,很难知道你的 HTTPS 通信内容是 DNS 查询。( DoH 的路径是可以改的,主动探测也未必能发现)
    zent00
        16
    zent00   7 天前 via iPhone   ❤️ 1
    举个例子,公司要求员工强制使用内网 DNS,你知道我们是怎么操作的吗?先封 53 和 853 再说。
    testcaoy7
        17
    testcaoy7   7 天前   ❤️ 2
    我在用 DoT,主要是因为 dns.google 的 443 端口已经被封,而 853 端口尚可用
    wlh
        18
    wlh   7 天前
    dot 好用,dns 这东西能快一点就快一点
    katana97
        19
    katana97   7 天前
    DoT,看 adguard 面板上的统计 DoH 耗时要高很多
    sky96111
        20
    sky96111   7 天前 via Android
    dot 。dot 特征明显也不一定是坏事,只要解析的内容不被篡改就 ok 。而且可能因为 doh 是 https 端口,Google 的 doh 是受 GFW 影响的,但是 dot 就可以正常查询
    wysnylc
        21
    wysnylc   7 天前
    doh,有加密不易屏蔽
    都用 doh,dot 了还在乎这点性能?在乎性能用 43 去
    tankren
        22
    tankren   7 天前
    pfsense 只支持 DoT
    tinkerer
        23
    tinkerer   7 天前
    @testcaoy7 DoH 可以用自己的服务器简单配置一下做反向代理
    nikolai
        24
    nikolai   7 天前
    DoH + tls1.3 ?
    v2tudnew
        25
    v2tudnew   7 天前
    我用 AdGuard 弄了 DOH DOT,似乎 DOT 某些网站打开很缓慢,用 UDP53 和 DOH 都没问题,可能是程序代码的锅。
    理论上来说 DOT 更快,至于特征,真到那时候再换不就行了,难道公共 DNS 只打算提供一种??
    Hackerchai
        26
    Hackerchai   7 天前 via Android
    @v2tudnew 你是什么客户端,我这里 clash 的 dot 好像实现有问题,比 doh 慢
    coool
        27
    coool   7 天前
    大佬们指点我一下,我买的 surge4 for mac,激活之后没有可用的 Profile 文件,只有一个 Default Profile 。另一台电脑一直报错:“DNS lookup failed: all DNS server returned an empty answer(8.8.8.8, 8.8.4.4, 114.114.114.114)",折腾很久了没弄好
    ryanlid
        28
    ryanlid   7 天前
    DoH 防封锁,假装是在浏览网页
    v2tudnew
        29
    v2tudnew   7 天前
    @Hackerchai IOS 14 描述文件
    INTEL2333
        30
    INTEL2333   7 天前 via Android
    @Hackerchai 不跨境谁无聊到 qos 你? doq 又用不了多少流量
    kyor0
        31
    kyor0   7 天前
    @coool 策略是要自己添加的
    coool
        32
    coool   7 天前
    @kyor0 请问这个具体是怎么添加呢?源数据比如 url 端口什么的从哪来呢?我的另一台笔记本是激活之后就立刻有一个可用的 profile,包括 jp/server5 等一些节点,只是 dns 一直报错。。。
    Hyouka
        33
    Hyouka   7 天前
    手机用 DoT 电脑的浏览器用 DoH
    因为他俩只单独支持一种
    另外我更喜欢 DoT,因为默认是用 853..
    在国内搭建私人 DNS 不怕警告
    DoH 搭建用的是 443,因为域名没有备案被警告过一次
    adadada
        34
    adadada   7 天前 via iPhone
    @TypeError DNS 服务器最大的特征就是它能响应 DNS 请求。防火墙给 443 端口的服务器发个 doh 请求试探一下,谁回就封谁
    wazon
        35
    wazon   7 天前
    @adadada DoH 的 dns-query 路径并不是定死的,理论上可以规避
    v2tudnew
        36
    v2tudnew   7 天前
    @wazon 问题是国外公共 DNS 服务商会因为墙内被屏蔽而改路径吗?再说 DNS IP 都是固定的,费那功夫直接 IP 封禁不简单高效?国内 DNS 污染都是统一的,DOH DOT 都没用。
    如果说私人 DNS,私人 DNS 你干嘛要公开?你不公开他没事封你 853 端口?

    所以综上所述,纯粹闲的蛋疼,哪个用起来快用哪个完事。
    wazon
        37
    wazon   7 天前
    @v2tudnew 之前讲过改路径仅限非公开的 DNS,853 端口可以一刀切全局封禁,而 443 不行
    v2tudnew
        38
    v2tudnew   7 天前
    @wazon 所以我说非公开 DNS 是闲的慌来封禁吗? 53 端口都没封禁,DNS 解析而已,这手段早就证明没域名 IP 封禁有效了。
    v2tudnew
        39
    v2tudnew   7 天前
    如果真要考虑所有可能,我给你点提示,白名单模式。
    wazon
        40
    wazon   7 天前
    @v2tudnew 本主题讨论的是 DNS 中 DoT 和 DoH 的偏好,不是 DNS 和其他方案的比较。DoT 和 DoH 都是加密协议,在前面网友多个比较的角度中,单论 DNS 访问不容易被传输路径中设备干扰的能力,DoH 显然比 DoT 好。
    v2tudnew
        41
    v2tudnew   7 天前
    @wazon 那论效率显然 DOT 更好,虽然可能被干扰(可能几年到几十年?。
    注:随便个 DNS 服务器都支持 DOH DOT UDP TCP
    caola
        42
    caola   7 天前
    自建的 DoH 也可以使用非 443 端口啊
    Tink
        43
    Tink   7 天前 via Android
    doh
    Hackerchai
        44
    Hackerchai   7 天前 via Android
    @coool 机场给你生成订阅
    Hackerchai
        45
    Hackerchai   7 天前
    @INTEL2333 主要是国内网络 udp 质量堪忧啊,晚上会特别爆炸,不仅仅是境外流量
    INTEL2333
        46
    INTEL2333   7 天前 via Android
    @Hackerchai 广州电信和广州移动家宽还有几台单线机器跨省和运营商跑 zt 没感觉到明显的 qos,能不要人云亦云嘛?境内阿里和腾讯跑 doq 并没有感觉到被劣化。你 doq 才跑多少?你值得被 qos 么?
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1214 人在线   最高记录 5298   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 23:38 · PVG 07:38 · LAX 15:38 · JFK 18:38
    ♥ Do have faith in what you're doing.