doh和dot的区别（建筑基础类型有哪些）

DoH（DNSoverHTTPS）即使用安全的HTTPS协议运行DNS，主要目的是增强用户的安全性和隐私性。通过使用加密的HTTPS连接，第三方将不再影响或监视解析过程。因此，欺诈者将无法查看请求的URL并对其进行更改。如果使用了基于HTTPS的DNS，数据在传输过程中发生丢失时，DoH中的传输控制协议（TCP）会做出更快的反应。

除了基于HTTPS的DNS外，目前还有另一种用于保护域名系统的技术：基于TLS的DNS（DoT）。这两个协议看起来很相似，它们也都承诺了更高的用户安全性和隐私性。但是这两项标准都是单独开发的，并且各有各的RFC文档。DoT使用了安全协议TLS，在用于DNS查询的用户数据报协议（UDP）的基础上添加了TLS加密。DoT使用853端口，DoH则使用HTTPS的443端口。

DNS是将域名和IP映射的地址簿，详细原理可参见一文搞明白DNS与域名解析

DNS的重要性也让其成了黑客主要攻击对象，常见的DNS攻击包括：DNS劫持、缓存投毒、DNS欺骗等等，目的就是通过各种攻击手段将正常访问合法网站的用户，引到黑客控制的假冒服务器上，进行钓鱼欺诈、窃取用户凭证或敏感数据等非法行为

为了防止针对DNS系统的攻击，强化域名系统的安全性，互联网诞生了4种提升DNS安全性的协议，分别是DNSSEC，DNSCrypt，DNSoverTLS（DoT），DNSoverHTTPS（DoH）

其中DNSSEC和DNSCrypt较早出现，DoT和DoH很新，本文试图学习了解此二种DNS安全协议

默认情况下，DNS查询和响应以明文形式（通过UDP）发送，这意味着它们可以被网络、ISP或任何能够监视传输的人读取。即使网站使用HTTPS，也会显示导航到该网站所需的DNS查询。

这种隐私上的欠缺对安全有着巨大影响，在某些情况下也会影响人权；如果DNS查询不是私密的，则政府可以更轻松地审查互联网，而不良行为者也可以跟踪用户的网上行为

未经加密的普通DNS查询可以比作通过邮件发送的明信片：处理邮件的任何人都可能瞥见背面写的文字，因此邮寄包含敏感或私密信息的明信片不是明智的做法。

基于TLS的DNS和基于HTTPS的DNS是为加密明文DNS流量而开发的两个标准，可以防止恶意方、广告商、ISP和其他人解读其数据。继续上面的比喻，这些标准的目的是将邮寄的明信片放在信封内，以便任何人都可以寄送明信片，而不必担心有人窥探到明信片的内容

2、四种提升DNS安全性的协议

DNSSEC是“DomainNameSystemSecurityExtensions”的缩写，即域名系统安全扩展，允许域名所有者对DNS记录进行数字签名，签名DNS记录的私有签名密钥通常仅由合法域名所有者持有，因此可防止未经授权的第三方修改DNS条目。

DNSSEC诞生于1997年，已经列入互联网标准化文档（参考RFC4033、RFC4034、RFC4035），是最早大规模部署的DNS安全协议，所有的根域名服务器都已经部署了DNSSEC。

虽然DNSSEC已经诞生20年，但APNIC统计其采用率几乎不到10％，ICANN敦促业界普及使用DNSSEC协议。DNSSEC协议仅提供真实性和完整性的校验，无法确保DNS流量通信的机密性。

DNSCrypt是OpenDNS发布的加密DNS工具。与SSL将HTTP流量转换为HTTPS加密流量的原理相同，DNSCrypt也是将常规DNS流量转换为加密DNS流量，这样可以防止窃听和中间人攻击。它不需要对域名或它们的工作方式进行任何更改，只是提供了一种方法，安全加密客户端与DNS服务器之间的通信。在一定程度上，DNSCrypt比DNSSEC的保密性更强，因为DNSSEC只做数字签名的校验，而DNSCrypt既能加密DNS流量也能确保完整性。

DNSCrypt客户端必须明确信任所选提供者的公钥，想使用哪个DNSCrypt服务器，就需要预先安装该服务器的公钥，而不是通过常规浏览器中受信任证书颁发机构列表获取信任；此外，DNSCrypt未申请列入标准化文档，在大规模的应用场景中存在一定的局限性。

DNSoverTLS（简称DoT）是一项安全协议，它可以强制所有和DNS服务器相关的链接都使用TLS，已列入标准文档（参见RFC7858和RFC8310）。

DNSoverTLS就是基于TLS隧道的域名协议，由于TLS本身已经实现了保密性与完整性，因此DoT自然也就具有这两项特性。DoT通过TLS协议及SSL/TLS证书（如:沃通SSL证书）实现安全加密和身份验证，实现保密性和完整性。

与前述两项协议相比，DNSoverTLS更具优势：和DNSSEC相比，DNSoverTLS具备了保密性；与DNSCrypt相比，DNSoverTLS已经形成标准化文档。目前支持DNSoverTLS的客户端还不够多，主流浏览器还没有计划增加对DNSoverTLS的支持。

很多人将DNSoverHTTPS和DNSoverTLS混为一谈，事实上二者是两种不同的协议，DNSoverTLS使用TCP作为基本的连接协议，而DNSoverHTTPS使用HTTPS和HTTP/2进行连接；DNSoverTLS有自己的端口853，DNSoverHTTPS则使用HTTPS标准端口443。

两种协议都是通过TLS加密和SSL/TLS证书（如:沃通SSL证书）来实现保密性与完整性。目前，DNSoverHTTPS已经形成RFC标准化文档[RFC8484]，且受主流浏览器青睐。

DNSoverTLS（缩写：DoT）是通过传输层安全协议（TLS）来加密并打包域名系统（DNS）的安全协议，工作在853端口，由RFC7858及RFC8310定义，旨在防止中间人攻击与控制DNS数据以保护用户隐私

截至2018年，Cloudflare、Quad9与CleanBrowsing均向大众提供支持DNSoverTLS的公共DNS解析服务

2018年4月，Google宣布AndroidP将包含对DNSoverTLS的支持。PowerDNS的DNSDist也宣布在其最新的1.3.0版本中添加了对DNSoverTLS的支持。

2020年6月，苹果在WWDC大会宣布iOS14与macOS11新增对加密DNS的支持，包括DNSoverHTTPS（DoH）与DNSoverTLS（DoT）

Unbound+Dnsdist+DOHC/S搭建DNSOverTLS以及DNSOverHTTPS服务器

使用Unbound+DOHServer搭建DNS-OVER-HTTPS&&DNS-OVER-TLS&&DNSCrypt服务器

DNSoverHTTPS（缩写：DoH）是一个进行安全化的域名解析方案，使用HTTPS协议和HTTP/2协议进行DNS解析请求，工作在443端口，由RFC8484定义，旨在避免原始DNS协议中用户的DNS解析请求被窃听或者修改

DoH用于DNS解析器的递归DNS解析，解析器（DoH客户端）必须能够访问托管查询端点的DoH服务器。

基于HTTPS的DNS缺乏操作系统的本机支持，因此，希望使用它的用户必须安装附加软件。以下几种使用场景很常见：

在应用程序中使用DoH实现：某些浏览器具有内置的DoH实现，因此可以绕过操作系统的DNS功能来执行查询。缺点是应用程序可能无法通过错误配置或缺乏对DoH的支持来通知用户是否跳过DoH查询。

在本地网络中的名称服务器上安装DoH代理：在此方案中，客户端系统继续使用传统（端口53或853）DNS来查询本地网络中的名称服务器，然后通过到达来通过DoH收集必要的回复互联网中的DoH服务器。此方法对最终用户是透明的。

在本地系统上安装DoH代理：在此方案中，操作系统配置为查询本地运行的DoH代理。与前面提到的方法相反，需要在希望使用DoH的每个系统上安装代理，这可能需要在更大的环境中付出很多努力。

为操作系统安装DoH解析插件

在所有这些方案中，DoH客户端不直接查询任何权威名称服务器。相反，客户端依赖于使用传统（端口53或853）查询的DoH服务器来最终到达权威服务器。因此，DoH不具备端到端加密协议的资格，只有逐跳加密且仅在始终使用DNSoverTLS时才有资格

DOH（DNS-over-HTTPs）服务器搭建

Unbound+Dnsdist+DOHC/S搭建DNSOverTLS以及DNSOverHTTPS服务器

使用Unbound+DOHServer搭建DNS-OVER-HTTPS&&DNS-OVER-TLS&&DNSCrypt服务器

1、在Firefox62及以上版本中开启DNSoverHTTPS

在浏览器地址栏输入about:config然后打开，并同意警告信息。

设置network.trr.mode值为2

在network.trr.uri中填入上表中任一服务器，例如：https://1.1.1.1/dns-query

设置好后，在地址栏输入about:networking可以看到具体通信情况

2、在Chrome中开启DNSoverHTTPS

在浏览器地址栏输入chrome://flags然后打开

设置SecureDNSlookups值为Enabled

3、在Chromium版Edge中开启DNSoverHTTPS

在浏览器地址栏输入edge://settings/privacy然后打开

打开“使用安全的DNS指定如何查找网站的网络地址”

对DoT和DoH都做了一定的了解