科普：详解 DoH、DoT 与 DoQ 三大 DNS 加密技术

本文将尽可能让你了解什么是DNS，DOH,DOT和DOQ又是什么。
我在之前的帖子放出了我自己写的doh程序，基于c++撰写（也有rust），可以看这个帖子获取我自己部署的doh:https://www.nodeseek.com/post-611103-1
回归主题，首先，什么是dns，DNS(Domain Name System)又称域名系统，是互联网的重要基础设施，它的作用类似于通讯录，负责将域名转换为计算机可识别的IP地址。当用户访问网页时，解析器会先检查缓存以提高速度，若无缓存则向根服务器等层级查询。
然而，传统的 DNS 查询存在重大安全缺陷：它通常以明文形式传输 。这意味着任何人（包括互联网服务提供商 ISP、黑客或网络管理员）都能轻易窃听用户的浏览记录，甚至篡改数据将用户重定向至恶意网站，为了修补这一漏洞，业界推出了三种主流的 DNS 加密技术：DoH、DoT 和 DoQ。

1. DoH (DNS over HTTPS)：伪装成网页流量
   DoH 是目前应用最广泛的加密协议之一，得到了 Google、Cloudflare 等大厂的支持 。
   技术原理：通过 HTTPS 协议（即加密的网页传输协议）发送 DNS 查询 。
   核心优势：由于 DNS 流量被混入普通的 HTTPS 网页流量中，ISP 很难将其区分出来进行阻断或监控 。这种“伪装”特性极大地提升了隐私保护，防止了中间人攻击和数据监听 。

2. DoT (DNS over TLS)：但这一个在国内不好使，特征过于明显(853端口)
   与 DoH 不同，DoT 更侧重于协议层面的规范性加密。
   技术原理：利用 TLS（传输层安全协议）为 DNS 建立专用的加密通道 。
   核心优势：DoT 提供了极高的数据完整性保护。通过专用的加密端口，它能有效防止数据在传输过程中被篡改或窃听 。在公共 Wi-Fi 等不安全网络环境下，DoT 能提供稳定的安全保障 。

3. DoQ (DNS over QUIC)：兼顾速度与安全（同样不是很好用，因为默认端口同样是853，只是从tcp改为了udp协议）
   DoQ 是基于 Google 开发的 QUIC 协议构建的新一代技术，目前正处于标准化进程中 。
   技术原理：使用 QUIC 协议传输 DNS 查询。QUIC 本身基于 UDP，专为低延迟和高速度设计 。
   核心优势：DoQ 旨在解决加密带来的延迟问题。它不仅具备加密防窃听的能力，还能提供比传统 TCP 协议更快的连接速度和更低的延迟 。虽然尚处早期阶段，但被视为未来平衡性能与安全的理想方案 。
   Doq难以伪装的原因是ALPN(应用层协议协商)。设备与服务器建立连接握手时会暴露特征，除非自己制作两端的源码，否则特征依然明显。

至此，我还是推荐使用DOH作为安全加密的解析手段。
可以通过在代理软件，浏览器，win系统等修改成doh或者其他的dns。这里由于每个人的环境不同，无法给出统一的教程。