- ISP網内の通信は平文でも外部からの盗聴の危険は小さいのでパブリックDNS向けの仕様
- Unboundも対応済み
DoT
- DNS をTLSで包む
- TCP 853番ポート (専用)
- 中身は普通の DNS メッセージ
DoH
- DNS をHTTPSで運ぶ
- TCP 443番ポート (HTTPSと同居)
- HTTP/2, HTTP/3 のリクエストとして送信
GFW
- DoTはポート853固定なので、そのポート自体をブロック
- DoHは443だからHTTPSと見分けにくいけど、既知のDoHサーバー(CloudflareやGoogleのIP)をIPレベルでブロック
- 最近はトラフィック分析もあるっぽい
対応しているもの
- Public DNS: Google, Cloudflare
- Client: Firefox,Chrome,AndroidiOS/macOS,Windows
- OS設定を無視して上書き設定するクライアントがあり批判されている
- 一部のアプリがDo53やDoHを利用して端末のスタブリゾルバを回避してしまことがある
- AndroidはGoogle Public DNSにDoTを試行してしまう
- Google Public DNS は IP SAN 証明書で DNS ブロックを突破してしまうのでL3 FWでIPを落とす必要がある (Do53やDoTは5tuple Firewallで853/tcpをブロックすれば基本的にはOK)
- Intra
Ref