DNS-over-TLS (DoT)

是一种通过TLS（传输层安全）协议加密DNS查询和响应的技术。它旨在提供更高的隐私性和安全性，防止DNS数据在客户端和递归解析器之间的传输过程中被窃听或篡改。使用DoT时，DNS查询通常通过端口853发送，这个端口是专门为DoT服务预留的。

DNS-over-HTTPS (DoH)

也是用来加密DNS查询和响应的一种技术，但它使用的是HTTPS协议来封装DNS请求。这使得DNS查询看起来就像普通的HTTPS流量一样，可以与其它网页流量混在一起，增加了拦截和审查的难度。DoH的通信一般通过标准的HTTPS端口443进行。

两者的区别主要在于：

• 协议基础：DoT基于TLS直接加密DNS流量，而DoH则将DNS查询封装在HTTPS请求中。
• 端口使用：DoT通常使用专门的端口853，而DoH使用的是HTTPS常用的端口443。
• 网络管理影响：由于DoH流量难以与其他HTTPS流量区分开来，这对企业或组织的网络管理提出了挑战，因为传统的基于端口的过滤规则不再有效。而DoT由于使用了专用端口，更易于管理和控制。
• 部署和兼容性：DoT可能更容易集成到现有的DNS基础设施中，因为它只是为DNS添加了一个安全层。DoH可能需要对应用程序进行更多的更改，以支持通过HTTPS发送DNS查询。
• 两者的目的都是为了提高DNS的安全性和隐私保护，但它们实现的方法不同，并且各有优缺点，在不同的场景下可能会选择不同的方案。

什么是DoH

在 DoH（DNS-over-HTTPS）协议中，DNS 查询请求和响应使用 HTTPS 协议。与传统的基于 UDP 和 TCP 的 DNS 协议相比，DoH 协议通过 TLS 协议对 DNS 报文进行了加密，从而防止 DNS 报文被窃听或劫持。另外，DoH 协议使用了 443 端口，该端口同时也是标准的 HTTPS 端口。这样，DNS 流量就可以隐藏在正常的 HTTPS 流量中，从而增加了窃听或劫持的难度。

参见 RFC 8484 了解 DoH 协议的详细信息。