DoH

Dns over Https 一说 Dns over Http/2

虽然有一些差别，但本质上都是为了解决一个问题

在 使用 dnsforwarder 建立本地 DNS 服务器避免 DNS 问题 一文中，我们讲述了通过了tcp查询代替udp查询来提高污染的难度以避免污染

但是即便是tcp查询，依然使用明文，中间攻击会导致你可以想到的任何不好情况发生

而随着技术发展，https连接的延迟已经越来越低，已经在用户可以接受的范围内——70-600 ms,在http2的情况下，延迟甚至有可能比udp要低

在去年IETF与谷歌实验室分别发布了两套标准

EDNS

我们知道， 一些比较大的网站，比如百度，必应等网站，有着多台服务器，DNS需要依靠用户IP或者别的方案来就进解析，我们称为智能解析

毕竟你北京的电脑解析到莫斯科的服务器会显得自己很傻很天真

支持DoH的DNS

说句实在话，因为技术刚出现，加上国内生态此类生态圈的乱象……

基本没有可以靠谱使用的大厂DNS

只有一些小型第三方DNS

出于毕竟是小型第三方，加之其安全性不保，不在这里罗列

国外比较靠谱的,也就只有CloudFlare DNS && Google Public DNS

谷歌实验室方案接口:

• Google Public DNS： https://dns.google.com/resolve
• CloudFlare DNS: https://1.1.1.1/dns-query / https://1.0.0.1/dns-query

IETE 方案接口:

• Google Public DNS: https://dns.google.com/experimental
• CloudFlare DNS: https://1.1.1.1/dns-query / https://1.0.0.1/dns-query

虽然 IETE 比谷歌实验室方案有着更强的安全性，但是对 edns 不太友好，说明白一点，就是真的把你解析到了美国

实际上本来是相当智能的但是你并不能做到直接访问这些 404 大厂

实现方案

直接使用dns-over-https项目就可以了，其只有linux的支持比较友好

建议按照 使用 dnsforwarder 建立本地 DNS 服务器避免 DNS 问题 搭建带缓存的 dns 服务器

]]>