"加密 DNS 解析：DoH 与 DoQ 的隐私与性能取舍"

概述传统 DNS（UDP/53）缺乏加密保护，容易遭到劫持与窥探。DoH 与 DoQ 分别基于 HTTPS 与 QUIC 实现 DNS 加密，提升隐私并改善网络条件下的查询性能与可用性。原理与差异DoH：在 HTTP/2/3 之上封装 DNS，复用 `tcp/443` 与现有 HTTPS 生态；易于穿透封锁并复用浏览器堆栈［参考3］。DoQ：基于 QUIC（UDP），标准为 RFC 9250，使用 `udp/853`；具备无队头阻塞与流复用优势，但自定义端口更易被阻断［参考2,4］。DoT（补充）：基于 TLS（`tcp/853`），实现简单但端口识别度高，易被阻断［参考3,1］。隐私与性能隐私：两者皆提供 TLS 层加密；DoH 规范建议不使用 Cookie，TLS 1.3 减少握手往返并避免会话恢复关联问题［参考3］。性能：研究显示 DoQ 在部分环境下可较 DoH 降低页面加载时延（约 10% 级别）；实际收益与网络状况、实现质量与部署点相关［参考4］。部署建议浏览器/系统：现代浏览器与操作系统支持 DoH；DoQ 逐步落地，需评估防火墙策略与 UDP 可用性。运营环境：遭遇流量识别或封锁时，DoH（443）更具可达性；边缘节点可结合 DoQ 提升并发与时延指标。参考与验证［参考1］NextDNS：DoT、DoH、DoQ 的端口、封锁与实现差异说明：https://help.nextdns.io/t/x2hmvas/what-is-dns-over-tls-dot-dns-over-quic-doq-and-dns-over-https-doh-doh3［参考2］技术文章：DoQ 与 DoH/DoT 的 RFC 与时间线（DoQ RFC 9250）：https://www.timochan.cn/posts/study/protecting_privacy_and_optimizing_networks［参考3］Cloudflare：DNS 加密说明（DoH 的隐私与端口优势、TLS 1.3 相关性）：https://blog.cloudflare.com/zh-cn/dns-encryption-explained-zh-cn/［参考4］指南：DoQ 的工作与实现、性能研究与部署建议：https://www.catchpoint.com/http2-vs-http3/dns-over-quic关键词校验关键词覆盖 DoH/DoQ 与隐私性能取舍，与正文一致。