下午测试了一下 DoH/DoT 的可用性,很惨烈
主流服务几乎没有幸存,只有类似 NextDNS 这种 IP 地理分布广的服务商,部分 ip 没有被屏蔽而已 P1
屏蔽的方式采用的是 sni 检测 和 路由黑洞 ,有些域名直接就被 RST 了,而其他的则是无限的等待。不过这些加密 DNS 的域名并没有被污染
P2 我自己的自建服务器也被屏蔽了 DoT 而 DoH 正常。随后我做了测试 P3 ,发现很多屏蔽 DoT 的服务器 DoH 正常。小众的 DNS 正常。这也印证了一个猜测,DoH 因为共用 HTTPS 协议的 443 端口,不能一刀切,所以需要 sni 黑名单 + ip 黑名单 。而 DoT 可以直接屏蔽来自境外的 853 端口
综合来看,加密 DNS 马上就会在国内死掉。可能的解决方案有:
- 使用自建
DNS,用DoH协议,人数少偷偷用 - 使用
Use DoH/DoT with Proxy的方案,但是需要各个代理工具的支持(Surge支持,而Clash不支持)。我试验过Surge的Use DoH with Proxy,能用,但是国内网站的 cdn 体验就直接爆炸了
P1:
P2:
P3:
1
Select Language