DoH против DoT — какой зашифрованный DNS реально защищает приватность в 2026?

[mllinux2059]

Пытаюсь разобраться с зашифрованным DNS. Везде пишут что надо использовать DoH или DoT, но в чём реально разница с точки зрения приватности? DoH прячется в HTTPS-трафике, DoT использует отдельный порт 853. Провайдер может заблокировать DoT просто закрыв порт, а DoH через 443 сложнее. Но при этом DoH смешивает DNS с обычным трафиком — это хорошо или плохо? Какой использовать если основная цель — не светить запросы перед провайдером?

[vera1098]

С точки зрения блокировок DoH однозначно выигрывает — порт 443, трафик неотличим от HTTPS. DoT на порту 853 блокируется элементарно, что и делают корпоративные фаерволы и некоторые операторы. Но есть нюанс: DoH через браузер (например Firefox с включённым DoH) отправляет DNS-запросы в обход системного резолвера. Это значит ваш VPN может не перехватывать DNS — и будут утечки.

[pavel9232]

Оба протокола решают только одну проблему: шифруют запрос между вами и резолвером. Они не решают проблему доверия к резолверу — Cloudflare (1.1.1.1) или Google (8.8.8.8) всё равно видят все ваши запросы. Для настоящей приватности смотрите на ODoH (Oblivious DoH) — запрос проходит через прокси-сервер, и резолвер не знает кто спрашивает. Apple iCloud Private Relay именно это и использует под капотом.

[sasha1354]

@kotik2000, Я настроил Pi-hole дома + Unbound как рекурсивный резолвер — запросы идут напрямую к корневым серверам, минуя Cloudflare и Google. Latency чуть выше (~20-50ms первый запрос, потом кэш), зато единственный кто видит мои запросы — корневые и TLD-серверы, и только по конкретному домену. Плюс весь трафик в локалке режется через Pi-hole, блокируя рекламу и трекеры на DNS-уровне.

[denis9127]

Проблема рекурсивного резолвера типа Unbound — каждый запрос к корневому серверу приходит с вашего реального IP. Теоретически TLD-серверы видят ваш IP + запрашиваемый домен. Для большинства это acceptable, но если хотите полную анонимность — Tor DNS или DNSCrypt с anonymized routing (запрос идёт через relay-сервер, резолвер не видит ваш IP).

[daemonflux8328]

Важный практический момент: если используете WireGuard или VLESS — убедитесь что DNS-запросы тоже идут через туннель. В WireGuard в секции [Interface] пропишите DNS = 1.1.1.1 (или свой резолвер). В противном случае система будет использовать DNS провайдера параллельно с туннелем — классическая утечка. Проверяйте на dnsleaktest.com после подключения VPN.