你可能在路由器设置、手机网络选项,或者浏览器地址栏里见过 DoT(DNS over TLS)和 DoH(DNS over HTTPS)这两个词。它们看起来像极客黑话,其实就干一件事:让DNS查询更安全、更难被偷看或篡改。
先说DNS本身是干啥的
打开网页前,电脑得先把“www.baidu.com”这种域名,翻译成“110.242.68.4”这类IP地址——这个过程叫DNS解析。传统DNS走的是明文UDP端口53,就像寄明信片,谁都能看到你查了什么网站。运营商、公共WiFi管理员,甚至隔壁蹭网的人,理论上都可能截获你的浏览意图。
DoT:给DNS套上TLS加密通道
DoT 把整个DNS请求塞进 TLS 加密隧道里,类似HTTPS给网页加密的方式。它用的是专用端口 853,通信双方必须支持TLS握手。启用后,你的DNS查询不会被中间设备轻易窥探或劫持。
比如你在公司用支持DoT的客户端(如dnscrypt-proxy),向Cloudflare的DoT服务器 1.1.1.1 发请求,数据全程加密,防火墙只能看到“连了1.1.1.1的853端口”,但看不到你查的是“股票软件官网”还是“招聘网站”。
dohtls://1.1.1.1DoH:把DNS请求伪装成普通网页流量
DoH 更进一步,直接把DNS查询包装成标准的HTTPS请求,走443端口。从网络层面看,它和你刷微信、看视频的流量一模一样——都是发给 https://cloudflare-dns.com/dns-query 这样的URL。很多企业防火墙默认放行443,所以DoH更容易穿透限制。
Chrome 和 Firefox 默认开启DoH(可手动关闭),当你在地址栏输入网址时,浏览器会悄悄发一个HTTPS POST请求到指定DoH服务器,拿到IP再真正加载页面。
https://dns.google/dns-query关键区别在哪?
不是谁“更好”,而是适用场景不同:
- 端口与识别:DoT走853端口,容易被网络策略拦截;DoH走443,隐蔽性强,但部分企业网关会主动阻断非浏览器的HTTPS DNS请求。
- 部署位置:DoT通常由操作系统或本地DNS代理(如Stubby)实现;DoH常由浏览器或App内置,系统级控制较弱。
- 隐私责任:两者都加密传输,但最终查哪个域名,还是得信任你选的DNS服务商(比如1.1.1.1或8.8.8.8)。加密防的是“中间人”,不防“终点站”。
日常怎么选?
普通用户用浏览器自带DoH最省心;IT运维或家庭路由器玩家,倾向配置DoT——稳定、可控、兼容老设备;如果你常连机场、酒店WiFi,发现有些网站打不开,试试关掉DoH,换DoT或传统DNS,可能是对方封了DoH的特定User-Agent或路径。
别纠结“必须二选一”。Windows 11、macOS、Android 12+ 都支持双开,系统走DoT,浏览器走DoH,互为备份也挺常见。