常见的DNS查询采用的udp的方式,经过的端口是53。鉴于目前隐私保护的要求,互联网正在对其基础设施进行升级,其中就包括DNS的实现和协议。
目前备选的DNS替代方案常见如下三种:DOH,DOT,QUIC。三种方式都采用TLS加密,DOH和DOT采用的基于TCP的http/2传输,QUIC采用基于UDP的http/3传输。QUIC减少了网络拥塞时重复传输和TCP的反复握手。
- DOH
Dns over https,端口tcp/443(较难拦截),详见:互联网安全的基石doh技术及其设置
- DOT
dns over tls,端口tcp/853,传输结构较DOH简单
- DoQ
dns over quic,端口udp/8853,DNS-over-Quic 是一种新的 DNS 加密协议,AdGuard DNS 是第一个支持它的公共域名解析服务。它好在哪呢?与 DoH 和 DoT 不同,它使用 QUIC 作为传输协议,并终于让 DNS 回归初心 —— 工作在 UDP上。它带来了 QUIC 必须提供的所有好处 —— 开箱即用的加密、减少连接时间、在数据包丢失时更好的性能。此外,QUIC 被认为是一种传输级协议,不存在使用 DoH 可能发生的元数据泄漏风险。
quic详见quic协议
三种方式的具体应用见:adguard云端部署
参考资料:
- https://help.nextdns.io/t/x2hmvas/what-is-dns-over-tls-dot-dns-over-quic-doq-and-dns-over-https-doh-doh3
- https://adguard.com/zh_cn/adguard-dns/overview.html