概述
DNS over HTTPS(DoH)和 DNS over TLS(DoT)都能加密你的 DNS 查询, 防止第三方在传输过程中读取。它们使用不同的端口,与操作系统和应用程序 的集成方式也不同。
HostuxDNS 两者均支持,同时也支持 DNS over QUIC(DoQ),适用于 兼容该协议的应用程序。
对比
| 属性 | DoH | DoT |
|---|---|---|
| 端口 | 443 |
853 |
| 传输层 | HTTPS | TLS |
| 与普通网页流量无法区分 | 是 | 否(专用端口) |
| 内置于浏览器 | 是(Firefox、Chrome、Edge) | 否 |
| 内置于 Android | 否(需要应用) | 是(私有 DNS,Android 9+) |
| 内置于 Windows | 是(Windows 11 设置) | 否 |
| 内置于 Linux systemd-resolved | 部分支持 | 是 |
| HostuxDNS 端点 | https://dns.hostux.net/dns-query |
dns.hostux.net 端口 853 |
何时使用 DoH
如果你在浏览器或其他应用里配置 DNS,可以选择 DoH:
- 浏览器:Firefox、Chrome、Edge 均在设置中原生支持 DoH。
- Windows 11:设置 > 网络和 Internet > DNS 服务器分配 直接支持 DoH。
- 853 端口被封锁的网络:DoH 走 443 端口,更难被过滤。
HostuxDNS DoH 端点:https://dns.hostux.net/dns-query
含广告和跟踪器拦截:https://dns.hostux.net/ads
何时使用 DoT
如果你希望加密 DNS 作用到整套系统,可以选择 DoT:
- Android:私有 DNS(设置 > 网络)使用 DoT。输入
dns.hostux.net。 - 使用 systemd-resolved 的 Linux:在
/etc/systemd/resolved.conf中配置DNS=和DNSOverTLS=yes。 - Unbound:将查询转发到
dns.hostux.net的853端口,并启用 TLS 验证。
HostuxDNS DoT 服务器名:dns.hostux.net,端口 853
DNS over QUIC(DoQ)
DoQ 是基于 QUIC(与 HTTP/3 相同的传输层)构建的新协议。与 DoT 相比,它能降低连接延迟,AdGuard Home 和 dnscrypt-proxy 均支持该协议。
HostuxDNS DoQ 端点:quic://dns.hostux.net,端口 853/udp
如何配置
所有支持平台的分步配置说明,请查看配置指南。
常见问题
DoH 和 DoT 在实际使用上有什么区别?
DoH 是在浏览器或应用里单独设置,DoT 则在系统层面配置,因此整台设备上的应用都能共用同一个解析器。
在受限制的网络里,什么时候更适合用 DoH?
如果网络会拦截专用 DNS 端口,或者明显干扰 DNS 流量,DoH 更合适。因为它走 HTTPS,更难被单独识别出来。
什么时候 DoT 会更简单?
如果操作系统本身就支持通过主机名配置加密 DNS,那么 DoT 更省事。在 Android 和一些 Linux 解析器上,这也是更干净的方案。
要不要改用 DoQ?
如果你的客户端已经支持 DoQ,而且你想降低连接延迟,可以使用 DoQ。否则,DoH 和 DoT 仍然是兼容性更好的默认选择。
在 Firefox 和 Android 上分别该怎么选?
在 Firefox 里,浏览器会在设置选项里直接提供 DoH。在 Android 上,DoT 会通过私有 DNS 作用到整台设备。