V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Hackerchai
V2EX  ›  DNS

你更倾向于 DoH 还是 DoT?

  •  
  •   Hackerchai · 2021-01-07 23:08:46 +08:00 via Android · 27912 次点击
    这是一个创建于 1402 天前的主题,其中的信息可能已经有所发展或是发生改变。

    对于两种主流加密 DNS 方案你更喜欢哪种?

    DNS-over-HTTPS 还是 DNS-over-TLS

    原因是什么?

    49 条回复    2021-12-03 03:22:52 +08:00
    TypeError
        1
    TypeError  
       2021-01-07 23:13:17 +08:00 via Android   ❤️ 1
    DoH

    因为是标准 HTTPS 443 端口
    更不容易比被屏蔽
    S179276SP
        2
    S179276SP  
       2021-01-07 23:22:15 +08:00 via Android
    android 自带没法 doh,只可 dot
    Hackerchai
        3
    Hackerchai  
    OP
       2021-01-07 23:23:16 +08:00 via Android
    @TypeError 不过貌似 dot 性能更好
    tinkerer
        4
    tinkerer  
       2021-01-07 23:35:44 +08:00
    DoH
    NXzCH8fP20468ML5
        5
    NXzCH8fP20468ML5  
       2021-01-07 23:56:47 +08:00 via Android   ❤️ 3
    首选 dot 。
    doh 屏蔽起来和其他网站没区别,不存在更好的说法。
    lostberryzz
        6
    lostberryzz  
       2021-01-07 23:59:11 +08:00   ❤️ 1
    Hackerchai
        7
    Hackerchai  
    OP
       2021-01-08 00:03:02 +08:00 via Android
    @lostberryzz Dot 直接比 DoH 少了一个 layer,肯定效率要高一些
    chinvo
        8
    chinvo  
       2021-01-08 00:07:53 +08:00 via iPhone
    dot 工作在 tls 上,doh 工作在 工作在 tls 上的 http 上

    你说那个更省资源……
    Hackerchai
        9
    Hackerchai  
    OP
       2021-01-08 00:09:46 +08:00 via Android   ❤️ 3
    @xxfye 一楼的意思可能是认为 DoH 使用 443 端口和 HTTPS 共用,使得中间网络很难屏蔽 443 端口,而 DoT 使用 853 端口更容易被端口做屏蔽。至于土蔷,屏蔽 HTTPS 都是用 SNI 识别或者 ip 屏蔽,这点 DoH 也没法幸免于难
    boko
        10
    boko  
       2021-01-08 00:10:01 +08:00 via Android
    DNS-over-QUIC
    Hackerchai
        11
    Hackerchai  
    OP
       2021-01-08 00:10:50 +08:00 via Android
    @chinvo 但是我在我网络下的测试结果反倒是 DoH 更快,我也想不清楚原因
    Hackerchai
        12
    Hackerchai  
    OP
       2021-01-08 00:11:19 +08:00 via Android
    @zghbssjzzhx 国内这个 udp qos 难受啊
    jinliming2
        13
    jinliming2  
       2021-01-08 01:04:02 +08:00
    @chinvo
    @Hackerchai
    +1 我这里也是 DoH 比 DoT 更快(同样的 Google DNS )
    另外,UDP 我这里没有发现有 QoS,KCP 流畅到飞起
    ysc3839
        14
    ysc3839  
       2021-01-08 01:48:53 +08:00   ❤️ 1
    要我写代码的话我选 DOH,因为 HTTP 库多好写。要我选择一个使用的话我选 DOT,因为少一层 HTTP 性能更好。
    LnTrx
        15
    LnTrx  
       2021-01-08 02:55:58 +08:00
    看要实现什么需求吧。既然用加密协议,那一般是“旨在防止中间人攻击与控制 DNS 数据以保护用户隐私”。
    论性能 DoT 可能好一点,但论防止监测、攻击和保护隐私 DoH 应该比较强。
    这是因为 853 的特征非常明显,可以直接切断从而退回 53 。
    但 DoH 就没法简单地封端口了之,还要结合 SNI 等信息才能封禁。
    更重要的是,如果用的是非公共的 DoH,很难知道你的 HTTPS 通信内容是 DNS 查询。( DoH 的路径是可以改的,主动探测也未必能发现)
    zent00
        16
    zent00  
       2021-01-08 08:00:01 +08:00 via iPhone   ❤️ 1
    举个例子,公司要求员工强制使用内网 DNS,你知道我们是怎么操作的吗?先封 53 和 853 再说。
    testcaoy7
        17
    testcaoy7  
       2021-01-08 09:11:41 +08:00   ❤️ 2
    我在用 DoT,主要是因为 dns.google 的 443 端口已经被封,而 853 端口尚可用
    wlh
        18
    wlh  
       2021-01-08 09:45:31 +08:00
    dot 好用,dns 这东西能快一点就快一点
    katana97
        19
    katana97  
       2021-01-08 10:09:46 +08:00
    DoT,看 adguard 面板上的统计 DoH 耗时要高很多
    sky96111
        20
    sky96111  
       2021-01-08 10:55:50 +08:00 via Android
    dot 。dot 特征明显也不一定是坏事,只要解析的内容不被篡改就 ok 。而且可能因为 doh 是 https 端口,Google 的 doh 是受 GFW 影响的,但是 dot 就可以正常查询
    wysnylc
        21
    wysnylc  
       2021-01-08 11:15:42 +08:00
    doh,有加密不易屏蔽
    都用 doh,dot 了还在乎这点性能?在乎性能用 43 去
    tankren
        22
    tankren  
       2021-01-08 11:22:00 +08:00
    pfsense 只支持 DoT
    tinkerer
        23
    tinkerer  
       2021-01-08 12:30:10 +08:00
    @testcaoy7 DoH 可以用自己的服务器简单配置一下做反向代理
    nikolai
        24
    nikolai  
       2021-01-08 12:44:34 +08:00
    DoH + tls1.3 ?
    v2tudnew
        25
    v2tudnew  
       2021-01-08 12:55:47 +08:00
    我用 AdGuard 弄了 DOH DOT,似乎 DOT 某些网站打开很缓慢,用 UDP53 和 DOH 都没问题,可能是程序代码的锅。
    理论上来说 DOT 更快,至于特征,真到那时候再换不就行了,难道公共 DNS 只打算提供一种??
    Hackerchai
        26
    Hackerchai  
    OP
       2021-01-08 14:43:49 +08:00 via Android
    @v2tudnew 你是什么客户端,我这里 clash 的 dot 好像实现有问题,比 doh 慢
    coool
        27
    coool  
       2021-01-08 14:59:34 +08:00
    大佬们指点我一下,我买的 surge4 for mac,激活之后没有可用的 Profile 文件,只有一个 Default Profile 。另一台电脑一直报错:“DNS lookup failed: all DNS server returned an empty answer(8.8.8.8, 8.8.4.4, 114.114.114.114)",折腾很久了没弄好
    ryanlid
        28
    ryanlid  
       2021-01-08 15:13:50 +08:00
    DoH 防封锁,假装是在浏览网页
    v2tudnew
        29
    v2tudnew  
       2021-01-08 15:17:06 +08:00
    @Hackerchai IOS 14 描述文件
    INTEL2333
        30
    INTEL2333  
       2021-01-08 15:47:34 +08:00 via Android
    @Hackerchai 不跨境谁无聊到 qos 你? doq 又用不了多少流量
    kyor0
        31
    kyor0  
       2021-01-08 16:41:14 +08:00
    @coool 策略是要自己添加的
    coool
        32
    coool  
       2021-01-08 16:56:09 +08:00
    @kyor0 请问这个具体是怎么添加呢?源数据比如 url 端口什么的从哪来呢?我的另一台笔记本是激活之后就立刻有一个可用的 profile,包括 jp/server5 等一些节点,只是 dns 一直报错。。。
    Hyouka
        33
    Hyouka  
       2021-01-08 17:25:23 +08:00
    手机用 DoT 电脑的浏览器用 DoH
    因为他俩只单独支持一种
    另外我更喜欢 DoT,因为默认是用 853..
    在国内搭建私人 DNS 不怕警告
    DoH 搭建用的是 443,因为域名没有备案被警告过一次
    adadada
        34
    adadada  
       2021-01-08 19:36:28 +08:00 via iPhone
    @TypeError DNS 服务器最大的特征就是它能响应 DNS 请求。防火墙给 443 端口的服务器发个 doh 请求试探一下,谁回就封谁
    wazon
        35
    wazon  
       2021-01-08 19:52:08 +08:00
    @adadada DoH 的 dns-query 路径并不是定死的,理论上可以规避
    v2tudnew
        36
    v2tudnew  
       2021-01-08 20:08:52 +08:00
    @wazon 问题是国外公共 DNS 服务商会因为墙内被屏蔽而改路径吗?再说 DNS IP 都是固定的,费那功夫直接 IP 封禁不简单高效?国内 DNS 污染都是统一的,DOH DOT 都没用。
    如果说私人 DNS,私人 DNS 你干嘛要公开?你不公开他没事封你 853 端口?

    所以综上所述,纯粹闲的蛋疼,哪个用起来快用哪个完事。
    wazon
        37
    wazon  
       2021-01-08 20:22:30 +08:00
    @v2tudnew 之前讲过改路径仅限非公开的 DNS,853 端口可以一刀切全局封禁,而 443 不行
    v2tudnew
        38
    v2tudnew  
       2021-01-08 20:30:58 +08:00
    @wazon 所以我说非公开 DNS 是闲的慌来封禁吗? 53 端口都没封禁,DNS 解析而已,这手段早就证明没域名 IP 封禁有效了。
    v2tudnew
        39
    v2tudnew  
       2021-01-08 20:32:01 +08:00
    如果真要考虑所有可能,我给你点提示,白名单模式。
    wazon
        40
    wazon  
       2021-01-08 20:43:46 +08:00
    @v2tudnew 本主题讨论的是 DNS 中 DoT 和 DoH 的偏好,不是 DNS 和其他方案的比较。DoT 和 DoH 都是加密协议,在前面网友多个比较的角度中,单论 DNS 访问不容易被传输路径中设备干扰的能力,DoH 显然比 DoT 好。
    v2tudnew
        41
    v2tudnew  
       2021-01-08 20:49:31 +08:00
    @wazon 那论效率显然 DOT 更好,虽然可能被干扰(可能几年到几十年?。
    注:随便个 DNS 服务器都支持 DOH DOT UDP TCP
    caola
        42
    caola  
       2021-01-08 22:57:36 +08:00
    自建的 DoH 也可以使用非 443 端口啊
    Tink
        43
    Tink  
       2021-01-08 23:01:47 +08:00 via Android
    doh
    Hackerchai
        44
    Hackerchai  
    OP
       2021-01-08 23:40:44 +08:00 via Android
    @coool 机场给你生成订阅
    Hackerchai
        45
    Hackerchai  
    OP
       2021-01-08 23:52:18 +08:00
    @INTEL2333 主要是国内网络 udp 质量堪忧啊,晚上会特别爆炸,不仅仅是境外流量
    INTEL2333
        46
    INTEL2333  
       2021-01-09 07:25:48 +08:00 via Android
    @Hackerchai 广州电信和广州移动家宽还有几台单线机器跨省和运营商跑 zt 没感觉到明显的 qos,能不要人云亦云嘛?境内阿里和腾讯跑 doq 并没有感觉到被劣化。你 doq 才跑多少?你值得被 qos 么?
    hpcex
        47
    hpcex  
       2021-02-07 12:29:24 +08:00
    Dot 853
    LnTrx
        48
    LnTrx  
       2021-03-08 18:57:29 +08:00
    没想到这么快 DoH/DoT 就被干了一批
    jmk92
        49
    jmk92  
       2021-12-03 03:22:52 +08:00
    我自己写 socket 做了 dot ,以及基于 https 的 doh ,单次请求 dot 40ms 左右,doh 60ms 左右,dot 胜出
    第二次第三次请求,doh 由于 keep-live 的长连接只需 10ms ,dot 也做了保持连接,也在 10ms 左右。
    doh 等待十几秒请求依旧 10ms ,dot 过了几秒就无响应了,可能触发了 server 那边的 timeout ,必须重新发起 tcp
    目前不确定是否是由于不同的 timeout 策略的影响,还是我代码的问题,暂时不深入研究了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2613 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 04:10 · PVG 12:10 · LAX 20:10 · JFK 23:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.