https://www.nullprivate.com/categories/%E7%BD%91%E7%BB%9C/Recent content in 网络 on 宁屏Hugozh-cnWed, 11 Feb 2026 00:00:00 +0800https://www.nullprivate.com/blog/2026/02/11/doh-vs-dot-comparison/Wed, 11 Feb 2026 00:00:00 +0800https://www.nullprivate.com/blog/2026/02/11/doh-vs-dot-comparison/<p>DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 是两种常见的加密 DNS 传输方式. 它们都能保护 DNS 查询不被轻易窃听或篡改, 但所依赖的协议栈不同.</p> <p>先看结论:</p> <ul> <li><strong>DoH</strong>: 借助 HTTP 传输 DNS, 更容易复用现有 Web 基础设施.</li> <li><strong>DoT</strong>: 直接在 TLS 之上传输 DNS, 协议路径更短, 结构更直接.</li> <li><strong>两者核心目标一致</strong>: 保护 DNS 查询的隐私与完整性.</li> </ul> <p>对应标准如下:</p> <table> <thead> <tr> <th>协议</th> <th>标准</th> <th>说明</th> </tr> </thead> <tbody> <tr> <td>DoT</td> <td><a href="https://datatracker.ietf.org/doc/html/rfc7858">RFC 7858</a></td> <td>DNS over TLS</td> </tr> <tr> <td>DoH</td> <td><a href="https://datatracker.ietf.org/doc/html/rfc8484">RFC 8484</a></td> <td>DNS Queries over HTTPS</td> </tr> </tbody> </table> <p>如果想真正理解两者差异, 最好先从网络协议层次结构开始看.</p> <h2 id="网络协议层次结构">网络协议层次结构</h2> <p>现代网络协议栈采用分层设计, 每一层负责不同任务. DNS 虽然是应用层协议, 但它并不强绑定某一种传输方式.</p> <p>可以先用一张表快速理解各层角色:</p> <table> <thead> <tr> <th>层级</th> <th>常见协议</th> <th>主要作用</th> </tr> </thead> <tbody> <tr> <td>应用层 (L7)</td> <td>DNS, HTTP/1.1, HTTP/2, HTTP/3, FTP</td> <td>定义应用语义</td> </tr> <tr> <td>安全层</td> <td>TLS, DTLS</td> <td>提供加密与身份校验</td> </tr> <tr> <td>传输层 (L4)</td> <td>TCP, UDP, QUIC</td> <td>负责连接, 重传, 流控等</td> </tr> <tr> <td>网络层 (L3)</td> <td>IPv4, IPv6</td> <td>负责路由和转发</td> </tr> <tr> <td>数据链路层 (L2)</td> <td>Ethernet, Wi‑Fi</td> <td>负责本地链路传输</td> </tr> </tbody> </table> <p>这里有几个关键点:</p>