DoH, DoT и DoQ: три способа зашифровать DNS и где у каждого своё место

В классическом DNS из 1987 года защищённости нет вообще: запросы летят по UDP на 53-й порт открытым текстом, и любой узел между вами и резолвером видит, какие домены вы открывали последний час. Это удобно атаковать, удобно подменять и удобно классифицировать. На любом публичном Wi-Fi кофейня в принципе видит, какие сайты вы посещаете, даже без HTTPS-перехвата.

IETF предложил три разных решения, и они отличаются не «лучше/хуже», а «для какого слоя архитектуры». DoT хорошо ложится на ОС и роутеры, DoH идеален для приложений, DoQ — это будущее мобильных. Разберёмся, в каких случаях какой выбирать.

Что не так с классическим DNS

Прежде чем сравнивать защищённые варианты, полезно перечислить конкретные проблемы UDP/53:

• Любой посредник видит всё. Провайдер, маршрутизатор отеля, гостевой Wi-Fi кофейни, корпоративный proxy — каждый может построить полный список ваших активных доменов в реальном времени.
• Лёгкая подмена. UDP не имеет аутентификации, и атакующий в той же сети может ответить раньше настоящего резолвера. Так выглядят DNS-spoofing атаки.
• Принудительная подмена резолвера. Многие провайдеры перенаправляют любой трафик на 53-й порт на собственный резолвер, даже если в системе настроен 8.8.8.8 — обычный DNAT прозрачно подменяет адресата.
• Утечка имени до SNI. Сначала виден домен в DNS, потом виден в SNI. Закрыть только одно из двух мало.

DoT: TLS поверх TCP, отдельный сервис

DoT (RFC 7858) — самый прямолинейный подход. Берётся TLS, делается на отдельном порту 853, внутрь упаковывается обычный DNS-протокол. Архитектурно это выглядит как «ещё один сервис, как HTTPS, только для DNS». Выглядит явно: видно отдельное TLS-соединение на 853-й порт, и сетевой админ всегда понимает, что это DoT.

Где обычно включают:

• Android 9+. Settings → Network → Private DNS → автоматический или указать свой (например, 1dot1dot1dot1.cloudflare-dns.com).
• iOS / macOS через MDM-профили или Cloudflare WARP.
• OpenWRT, MikroTik, Ubiquiti. Включается на роутере для всей домашней сети.
• Linux: stubby, knot-resolver, systemd-resolved (с DNSOverTLS=yes).

Главный плюс — централизованное управление. Один раз настроил роутер, и весь трафик квартиры идёт через защищённый DNS. Главный минус — порт 853 явно виден в сети и может блокироваться отдельно.

DoH: HTTPS-запрос на 443

DoH (RFC 8484) идёт другим путём. Запрос упаковывается в обычный HTTPS GET или POST на порт 443 — для сети это выглядит как любой другой web-трафик. Это плюс для приватности (отделить от прочего HTTPS трудно) и одновременно минус для управляемости (корпоративная сеть не может централизованно фильтровать DNS).

Где обычно включают:

• Firefox с 2019 года — about:preferences#privacy → DNS-over-HTTPS.
• Chrome с 2020 года — chrome://settings/security → Use secure DNS.
• Edge через chrome://settings/privacy.
• Windows 11 — встроенный DoH в системных настройках.
• iOS 14+ через .mobileconfig-профиль или Cloudflare WARP.
• cURL: curl --doh-url https://1.1.1.1/dns-query https://example.com

На стороне сервера DoH-эндпоинты есть у Cloudflare (https://1.1.1.1/dns-query), Google (https://dns.google/dns-query), Quad9 (https://9.9.9.9/dns-query) и десятков других. Все они отвечают по стандарту RFC 8484, поэтому клиент работает с любым.

DoQ: DNS поверх QUIC — самое новое

DoQ (RFC 9250) появился в 2022 году и взял лучшее из двух предыдущих. Транспорт — QUIC, который изначально шифрован и работает поверх UDP. Это даёт три выигрыша одновременно:

• 1-RTT handshake вместо 3 RTT у DoT/DoH через TCP. На дальних маршрутах это критично.
• 0-RTT для повторных запросов — фактически мгновенный DNS после первого подключения.
• Connection migration — соединение переживает смену IP, что важно для мобильных устройств.

На середину 2026 года DoQ уже включён в AdGuard DNS, Cloudflare WARP, Mullvad DNS. На клиентской стороне — Android 13+ (через Private DNS, если резолвер DoQ есть), современные dnsdist и unbound. Постепенно становится основным для мобильных.

Какой когда выбирать

Как проверить, что у вас всё работает

Признаки того, что DNS реально шифрован:

• 1.1.1.1/help от Cloudflare — показывает, какой резолвер вы используете и какой транспорт.
• В Wireshark при попытке посмотреть UDP/53 трафика практически нет.
• На Android: Settings → Network → Private DNS — статус «Connected» зелёного цвета.
• В Firefox: about:networking#dns — список запросов с пометкой resolver canonical name.
• dig @1.1.1.1 +tls example.com — прямая проверка DoT.

Что DoH/DoT/DoQ не делают

Главное заблуждение: «защищённый DNS делает интернет анонимным». Это не так. Все три протокола закрывают сам DNS-запрос, но:

• IP-адрес сервера, к которому вы подключаетесь после DNS, всё равно виден сети — ему нужно куда-то отправлять пакеты.
• SNI в TLS handshake открывает домен заново, если на сервере не включён ECH.
• Размеры и тайминги соединения не маскируются.
• Резолвер, к которому вы ходите (Cloudflare, Google), сам видит ваши запросы — это вопрос доверия конкретному провайдеру DNS.

Защищённый DNS — обязательная гигиена, но не серебряная пуля. Полная картина приватности требует ECH, шифрованного транспорта и аккуратного выбора резолвера. Связанные темы — SNI и ECH и метаданные HTTPS.

Итого

DoT удобен системам и сетям, DoH — приложениям и браузерам, DoQ постепенно становится третьим стандартом для мобильных. Выбор зависит не от моды, а от того, на каком уровне вы хотите управлять DNS. Главный принцип: что-то одно из трёх должно быть включено всегда, классический UDP/53 в открытой сети — это просто плохая гигиена.