DNS over HTTPS (DoH) 与 DNS over TLS (DoT) 原理与区别详解

一、背景与问题描述
传统DNS查询使用UDP 53端口明文传输，存在隐私泄露（运营商/黑客可监控查询记录）、篡改劫持（返回虚假IP）、中间人攻击等安全隐患。DoH和DoT通过加密技术解决这些问题，但二者在实现方式和特性上存在显著差异。

二、核心原理分步解析

1. 传统DNS的安全缺陷

• 明文传输：查询内容（如访问域名）和响应结果（对应IP）均未加密
• 无完整性验证：数据在传输过程中可能被篡改
• 端口固定：UDP 53端口易被识别和干扰

2. DNS over TLS (DoT)

• 传输层加密：在TCP协议基础上使用TLS加密，端口853
• 实现方式：
  1. 客户端与DNS服务器建立TCP连接
  2. 进行TLS握手，验证服务器证书
  3. 在加密通道内传输DNS报文（仍使用DNS协议格式）
• 特点：
  • 独立于应用层协议
  • 网络设备可能通过端口识别并干扰

3. DNS over HTTPS (DoH)

• 应用层加密：将DNS查询封装在HTTPS请求中，端口443
• 实现方式：
  1. 使用HTTP/2或HTTP/3协议
  2. DNS查询通过HTTP POST或GET请求发送
  3. 数据使用TLS加密，与普通HTTPS流量混合
• 特点：
  • 伪装成普通网页流量，更难被识别和屏蔽
  • 依赖HTTP协议栈

三、技术对比分析

1. 协议栈差异

DoT: DNS协议 → TLS加密 → TCP传输 → IP
DoH: DNS协议 → HTTP封装 → TLS加密 → TCP/QUIC → IP

2. 部署与兼容性

• DoT：需要专用853端口，可能被防火墙拦截
• DoH：使用443端口，兼容现有网络环境，但需要HTTP协议支持

3. 隐私保护程度

• DoT：加密但可识别为DNS流量
• DoH：完全混合在HTTPS流量中，提供更好隐蔽性

四、实际应用场景

1. 浏览器集成（如Firefox/Chrome）

• 默认使用DoH，直接与公共DNS服务商（如Cloudflare、Google）通信
• 绕过本地网络设置的DNS，提供统一加密解析

2. 操作系统级支持（如Android 9+）

• 可通过系统设置配置DoT，保护所有应用DNS查询
• 需要支持DoT的DNS服务器（如8.8.8.8）

五、部署配置示例

1. DoT客户端配置

# 使用dig测试DoT
dig @1.1.1.1 +tls example.com

2. DoH curl示例

# 通过DoH查询DNS
curl -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com'

六、争议与挑战

1. 监管冲突：DoH可能绕过企业网络的内容过滤策略
2. 性能开销：加密和HTTP封装增加延迟（可通过HTTP/3优化）
3. 中心化风险：大型DoH服务商可能垄断DNS解析数据

七、未来发展趋势

• Oblivious DoH：通过中继服务器分离客户端IP与查询内容
• 标准化进程：IETF持续完善RFC 8484（DoH）和RFC 7858（DoT）
• 混合部署：根据场景选择合适方案（如企业内网用DoT，移动端用DoH）

通过理解DoH/DoT的技术原理和实际权衡，开发者可根据具体需求选择最适合的DNS安全解决方案。