域名解析之 DNS-over-HTTPS 和 DNS-over-TLS

小渣渣

DoH 与 DoT 说明

DoT 全称是 DNS over TLS，它使用 TLS 协议来传输 DNS 协议。TLS 协议是目前互联网最常用的安全加密协议之一，我们访问 HTTPS 的安全基础就是基于 TLS 协议的。相比于之前使用无连接无加密的 UDP 模式， TLS 本身已经实现了保密性与完整性。

DoH 全称是 DNS over HTTPS，它使用 HTTPS 来传输 DNS 协议。DoH 的安全原理与 DoT 一样，他们之间的区别只在于：DoH 有了 HTTPS 格式封装，更加通用。基于HTTPS的DNS是尚在提议阶段的标准，由IETF以RFC 8484（2018年10月）发布。协议文档：https://datatracker.ietf.org/doc/html/rfc8484

DoT 在专用端口上通过 TLS 连接 DNS 服务器，而 DoH 是基于使用 HTTPS 应用层协议，将查询发送到 HTTPS 端口上的特定 HTTP 端点，这里造成的外界感知就是端口号的不同，DoT 的端口号是 853，DoH 端口号 443。

国内服务商

1、阿里公共DNS
阿里提供的DNS，测试阶段，存在污染。
DoT地址：
dns.alidns.com
223.5.5.5
223.6.6.6


DoH地址：
RFC8484地址：
https://dns.alidns.com/dns-query
https://223.5.5.5/dns-query
https://223.6.6.6/dns-query


JSON地址:
https://dns.alidns.com/resolve
https://223.5.5.5/resolve
https://223.6.6.6/resolve
http://dns.alidns.com/resolve
http://223.5.5.5/resolve
http://223.6.6.6/resolve


2、DnsPod 公共DNS
腾讯提供的DNS，测试阶段，存在污染。
DoT地址：dns.pub 或者 doh.pub
DoH地址：https://doh.pub/dns-query


3、360DNS
360提供的DNS，360浏览器内置的DOH服务地址，存在污染。
DoT地址：dot.360.cn
DoH地址：doh.360.cn


开发者调用：
DoH的调用方式支持RFC8484和JSON两种调用方式：
RFC8484：https://doh.360.cn/dns-query
JSON：https://doh.360.cn/query?


4、中国下一代互联网公共DNS.
DoT地址：dns.cfiec.net
DoH地址：https://dns.cfiec.net/dns-query


4、红鱼dns
DoT地址：rubyfish.cn
DoH地址：https://rubyfish.cn/dns-query


5、GEEKDNS
公益性站点，不做稳定性承诺，支持 EDNS-Client-Subnet。
DOH地址(国内) : https://i.233py.com/dns-query
DOH地址(国外)：https://dns.233py.com/dns-query


二、国外服务商
1、Cloudflare 公共DNS
知名云服务商 Cloudflare 提供的解析服务器。
DoT地址：
1.1.1.1
1.0.0.1
cloudflare-dns.com


DoH地址：
https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https://1dot1dot1dot1.cloudflare-dns.com


2、Google 公共DNS
DoT地址：
dns.google
8.8.8.8
8.8.4.4


DoH地址：
RFC8484(GET/POST)：
https://dns.google/dns-query
https://8.8.8.8/dns-query
https://8.8.4.4/dns-query


JSON(GET)：
https://dns.google/resolve
https://8.8.8.8/resolve
https://8.8.4.4/resolve


3、DNS.SB
服务器位于国外，但延迟使用体检较为可观，支持EDNS-Client-Subnet。
DoT地址：
dns.sb
185.222.222.222
185.184.222.222
2a09::
2a09::1


DoH地址：https://doh.dns.sb/dns-query


4、AdGuard DNS
存在广告拦截,采用Anycast，全球多地存在节点。


DoT地址：
默认服务器：dns.adguard.com
家庭保护服务器：dns-family.adguard.com
非过滤服务器：dns-unfiltered.adguard.com


DoH地址：
默认服务器：https://dns.adguard.com/dns-query
家庭保护服务器：https://dns-family.adguard.com/dns-query
非过滤服务器：https://dns-unfiltered.adguard.com/dns-query


DNS-over-QUIC地址：
默认服务器：quic://dns.adguard.com
家庭保护服务器：quic://dns-family.adguard.com
非过滤服务器：quic://dns-unfiltered.adguard.com


DNSCrypt地址：
默认服务器：sdns://AQIAAAAAAAAAFDE3Ni4xMDMuMTMwLjEzMDo1NDQzINErR_JS3PLCu_iZEIbq95zkSV2LFsigxDIuUso_OQhzIjIuZG5zY3J5cHQuZGVmYXVsdC5uczEuYWRndWFyZC5jb20
家庭保护服务器：sdns://AQIAAAAAAAAAFDE3Ni4xMDMuMTMwLjEzMjo1NDQzILgxXdexS27jIKRw3C7Wsao5jMnlhvhdRUXWuMm1AFq6ITIuZG5zY3J5cHQuZmFtaWx5Lm5zMS5hZGd1YXJkLmNvbQ
非过滤服务器：sdns://AQcAAAAAAAAAFDE3Ni4xMDMuMTMwLjEzNjo1NDQzILXoRNa4Oj4-EmjraB--pw3jxfpo29aIFB2_LsBmstr6JTIuZG5zY3J5cHQudW5maWx0ZXJlZC5uczEuYWRndWFyZC5jb20

使用 Postman 测试 Cloudflare 的 DNS over HTTPS

Cloudflare 的 DNS over HTTPS 端点还支持用于查询 DNS 数据的 JSON 格式。由于互联网工程任务组 (IETF) 缺乏商定的 DNS over HTTPS JSON 架构，Cloudflare 选择遵循与 Google 的 DNS over HTTPS 解析器相同的架构。

JSON 格式的查询是使用GET请求发送的。使用 发出请求时GET，DNS 查询会编码到 URL 中。客户端应包含AcceptMIME 类型的 HTTP 请求标头字段application/dns-json，以指示客户端能够通过 HTTPS 解析器接受来自 DNS 的 JSON 响应。

登录可见。

参考：

https://docs.dnspod.cn/public-dns/dot-doh/
https://developers.google.com/speed/public-dns/docs/doh/json
https://zh.wikipedia.org/zh-hans/DNS_over_HTTPS
https://developers.cloudflare.com/1.1.1.1/encryption/dns-over-https/make-api-requests/dns-json/

小渣渣

.NET 实现的 doh 服务端：https://github.com/TechnitiumSoftware/DNS-over-HTTPS