你更倾向于 DoH 还是 DoT？

DoH

因为是标准 HTTPS 443 端口
更不容易比被屏蔽

android 自带没法 doh，只可 dot

@TypeError 不过貌似 dot 性能更好

DoH

首选 dot 。
doh 屏蔽起来和其他网站没区别，不存在更好的说法。

https://irtf.org/anrw/2019/slides-anrw19-final33.pdf

DoT 性能比 DoH 要好

@lostberryzz Dot 直接比 DoH 少了一个 layer，肯定效率要高一些

dot 工作在 tls 上，doh 工作在 工作在 tls 上的 http 上

你说那个更省资源……

@xxfye 一楼的意思可能是认为 DoH 使用 443 端口和 HTTPS 共用，使得中间网络很难屏蔽 443 端口，而 DoT 使用 853 端口更容易被端口做屏蔽。至于土蔷，屏蔽 HTTPS 都是用 SNI 识别或者 ip 屏蔽，这点 DoH 也没法幸免于难

DNS-over-QUIC

@chinvo 但是我在我网络下的测试结果反倒是 DoH 更快，我也想不清楚原因

@zghbssjzzhx 国内这个 udp qos 难受啊

@chinvo
@Hackerchai
+1 我这里也是 DoH 比 DoT 更快（同样的 Google DNS ）
另外，UDP 我这里没有发现有 QoS，KCP 流畅到飞起

要我写代码的话我选 DOH，因为 HTTP 库多好写。要我选择一个使用的话我选 DOT，因为少一层 HTTP 性能更好。

看要实现什么需求吧。既然用加密协议，那一般是“旨在防止中间人攻击与控制 DNS 数据以保护用户隐私”。
论性能 DoT 可能好一点，但论防止监测、攻击和保护隐私 DoH 应该比较强。
这是因为 853 的特征非常明显，可以直接切断从而退回 53 。
但 DoH 就没法简单地封端口了之，还要结合 SNI 等信息才能封禁。
更重要的是，如果用的是非公共的 DoH，很难知道你的 HTTPS 通信内容是 DNS 查询。（ DoH 的路径是可以改的，主动探测也未必能发现）

举个例子，公司要求员工强制使用内网 DNS，你知道我们是怎么操作的吗？先封 53 和 853 再说。

我在用 DoT，主要是因为 dns.google 的 443 端口已经被封，而 853 端口尚可用

dot 好用，dns 这东西能快一点就快一点

DoT,看 adguard 面板上的统计 DoH 耗时要高很多

dot 。dot 特征明显也不一定是坏事，只要解析的内容不被篡改就 ok 。而且可能因为 doh 是 https 端口，Google 的 doh 是受 GFW 影响的，但是 dot 就可以正常查询

doh,有加密不易屏蔽
都用 doh,dot 了还在乎这点性能?在乎性能用 43 去

pfsense 只支持 DoT

@testcaoy7 DoH 可以用自己的服务器简单配置一下做反向代理

DoH + tls1.3 ？

我用 AdGuard 弄了 DOH DOT，似乎 DOT 某些网站打开很缓慢，用 UDP53 和 DOH 都没问题，可能是程序代码的锅。
理论上来说 DOT 更快，至于特征，真到那时候再换不就行了，难道公共 DNS 只打算提供一种？？

@v2tudnew 你是什么客户端，我这里 clash 的 dot 好像实现有问题，比 doh 慢

大佬们指点我一下，我买的 surge4 for mac，激活之后没有可用的 Profile 文件，只有一个 Default Profile 。另一台电脑一直报错：“DNS lookup failed: all DNS server returned an empty answer(8.8.8.8, 8.8.4.4, 114.114.114.114)"，折腾很久了没弄好

DoH 防封锁，假装是在浏览网页

@Hackerchai IOS 14 描述文件

@Hackerchai 不跨境谁无聊到 qos 你？ doq 又用不了多少流量

@coool 策略是要自己添加的

@kyor0 请问这个具体是怎么添加呢？源数据比如 url 端口什么的从哪来呢？我的另一台笔记本是激活之后就立刻有一个可用的 profile，包括 jp/server5 等一些节点，只是 dns 一直报错。。。

手机用 DoT 电脑的浏览器用 DoH
因为他俩只单独支持一种
另外我更喜欢 DoT,因为默认是用 853..
在国内搭建私人 DNS 不怕警告
DoH 搭建用的是 443,因为域名没有备案被警告过一次

@TypeError DNS 服务器最大的特征就是它能响应 DNS 请求。防火墙给 443 端口的服务器发个 doh 请求试探一下，谁回就封谁

@adadada DoH 的 dns-query 路径并不是定死的，理论上可以规避

@wazon 问题是国外公共 DNS 服务商会因为墙内被屏蔽而改路径吗？再说 DNS IP 都是固定的，费那功夫直接 IP 封禁不简单高效？国内 DNS 污染都是统一的，DOH DOT 都没用。
如果说私人 DNS，私人 DNS 你干嘛要公开？你不公开他没事封你 853 端口？

所以综上所述，纯粹闲的蛋疼，哪个用起来快用哪个完事。

@v2tudnew 之前讲过改路径仅限非公开的 DNS，853 端口可以一刀切全局封禁，而 443 不行

@wazon 所以我说非公开 DNS 是闲的慌来封禁吗？ 53 端口都没封禁，DNS 解析而已，这手段早就证明没域名 IP 封禁有效了。

如果真要考虑所有可能，我给你点提示，白名单模式。

@v2tudnew 本主题讨论的是 DNS 中 DoT 和 DoH 的偏好，不是 DNS 和其他方案的比较。DoT 和 DoH 都是加密协议，在前面网友多个比较的角度中，单论 DNS 访问不容易被传输路径中设备干扰的能力，DoH 显然比 DoT 好。

@wazon 那论效率显然 DOT 更好，虽然可能被干扰（可能几年到几十年？。
注：随便个 DNS 服务器都支持 DOH DOT UDP TCP

自建的 DoH 也可以使用非 443 端口啊

doh

@coool 机场给你生成订阅

@INTEL2333 主要是国内网络 udp 质量堪忧啊，晚上会特别爆炸，不仅仅是境外流量

@Hackerchai 广州电信和广州移动家宽还有几台单线机器跨省和运营商跑 zt 没感觉到明显的 qos，能不要人云亦云嘛？境内阿里和腾讯跑 doq 并没有感觉到被劣化。你 doq 才跑多少？你值得被 qos 么？

Dot 853

没想到这么快 DoH/DoT 就被干了一批

我自己写 socket 做了 dot ，以及基于 https 的 doh ，单次请求 dot 40ms 左右，doh 60ms 左右，dot 胜出
第二次第三次请求，doh 由于 keep-live 的长连接只需 10ms ，dot 也做了保持连接，也在 10ms 左右。
doh 等待十几秒请求依旧 10ms ，dot 过了几秒就无响应了，可能触发了 server 那边的 timeout ，必须重新发起 tcp
目前不确定是否是由于不同的 timeout 策略的影响，还是我代码的问题，暂时不深入研究了