sing-box DNS 协议全解析:DoH、DoT、DoQ、DNSCrypt 等协议详解
DNS(Domain Name System,域名系统)是互联网中最核心的基础设施之一,用于将域名解析为 IP 地址。随着网络安全和隐私需求的提升,DNS 协议也发展出了多种类型。
📌 目录
1. 传统 DNS 协议
1.1 DNS over UDP(端口 53)
- 基于 UDP,速度快、延迟低。
- 缺点:不加密,易被劫持(如 DNS 污染)。
1.2 DNS over TCP(端口 53)
- 用于响应较大或传输可靠性要求高的场景。
- 缺点:效率较低。
2. 加密 DNS 协议(安全增强)
2.1 DoT(DNS over TLS,端口 853)
- 使用 TLS 加密 DNS 请求。
- 优点:防篡改、防监听。
- 缺点:握手时间稍长。
2.2 DoH(DNS over HTTPS,端口 443)
- 通过 HTTPS 封装 DNS。
- 优点:隐私好、穿透力强、浏览器支持广泛。
- 缺点:实现复杂、资源占用多。
2.3 DNSCrypt(常用端口 443/5353)
- 使用签名技术加密 DNS。
- 优点:轻量、安全。
- 缺点:兼容性弱,非标准。
3. 进阶 DNS 协议
3.1 DoQ(DNS over QUIC,端口 8853)
- 基于 QUIC(HTTP/3)开发的 DNS 协议。
- 优点:连接快、低延迟,适合移动设备。
- 缺点:支持度较低,仍在推广中。
3.2 DoH/3(基于 HTTP/3 的 DoH)
- 新一代基于 QUIC 的加密 DNS。
- 优点:结合 DoH 优点与更快速的 QUIC。
- 缺点:尚处于发展初期。
4. 本地 DNS 协议
4.1 mDNS(Multicast DNS,端口 5353)
- 用于局域网设备名称解析(如 AirPlay)。
- 优点:无需中央服务器。
- 缺点:仅限本地网络使用。
4.2 LLMNR(Link-Local Multicast Name Resolution)
- Windows 下的局域网名称解析协议。
- 现状:逐步被 mDNS 替代。
5. DNS 协议对比总结
| 协议 | 是否加密 | 默认端口 | 特点说明 |
|---|---|---|---|
| DNS/UDP | ❌ | 53 | 快速,但不安全 |
| DNS/TCP | ❌ | 53 | 用于大包或容错 |
| DoT | ✅ | 853 | 安全性强,主流设备支持 |
| DoH | ✅ | 443 | 隐蔽性好,浏览器原生支持 |
| DNSCrypt | ✅ | 443/5353 | 安全轻量,兼容性有限 |
| DoQ | ✅ | 8853 | 快速新协议,适合移动网络 |
| DoH/3 | ✅ | 443 | 最先进协议,速度隐私兼顾 |
| mDNS | ❌ | 5353 | 局域网广播,适用于本地发现 |
| LLMNR | ❌ | 动态分配 | Windows 局域网解析,逐渐淘汰 |
📘 结语
随着隐私意识的提高,推荐尽可能使用加密 DNS(如 DoH 或 DoT)。在搭建现代 VPN、代理、广告过滤器、或者企业网络时,合理选择 DNS 协议,不仅影响速度,更关乎数据安全。
如需使用这些协议配置在 sing-box 或类似工具中,可以继续向我咨询配置方法。
sing-box DNS 协议全解析:DoH、DoT、DoQ、DNSCrypt 等协议详解
