家里换了新路由器,或者用上了光猫桥接+软路由方案,很多人会看到DNS设置里多出两个选项:DoT(DNS over TLS)和DoH(DNS over HTTPS)。看着名字都带个“加密”,但到底有啥不一样?设置错了会不会变慢、掉线,甚至上不了网?咱不讲虚的,直接掰开揉碎说清楚。
先搞明白:它们干的是一件事
传统DNS查询是明文发出去的——你搜什么网站,运营商、WiFi管理员甚至隔壁蹭网的人都可能看到。DoT和DoH本质都是给DNS请求“套个加密壳”,防止被监听、篡改或劫持。比如你在公司连WiFi,有人偷偷把百度域名解析成钓鱼页,开了DoT/DoH就能拦住这种操作。
关键区别在“走哪条路”
DoT(DNS over TLS):走的是专用端口(通常是853),用TLS协议加密,就像给DNS单独开了条加密专线。它依赖TCP连接,启动快,复用性好,对中间设备(比如企业防火墙、老旧路由器)更友好。
DoH(DNS over HTTPS):把DNS请求塞进HTTPS流量里,走443端口,外表看跟访问网页一模一样。好处是容易穿透封锁、绕过某些网络限制;坏处是每次查询都要建立完整HTTPS连接,开销略大,且部分路由器或防火墙会把它当普通网页流量限速或拦截。
实测场景对比
• 在家宽带用华硕/梅林固件路由器:DoT设置简单稳定,延迟低,推荐首选;
• 公司内网禁用了非80/443端口:DoH能通,DoT大概率被掐断;
• 手机连公共WiFi(机场、咖啡馆):DoH更隐蔽,不容易被识别拦截;
• 软路由跑AdGuard Home或Pi-hole:两者都支持,但DoT配置项更直观,日志也更容易排查。
怎么填?举个真实例子
以Cloudflare的加密DNS为例:
DoT地址格式:
tls://1.1.1.1DoH地址格式:
https://cloudflare-dns.com/dns-query注意:不是所有路由器都支持填URL,有些只认IP+端口(如1.1.1.1:853),这时候DoH就填不了;而部分国产路由器压根没开放DoT开关,只能靠手机/电脑端单独设置。
别踩坑:这些情况先别急着开
• 家里用的是电信定制光猫(未改桥接),开启后可能无法获取IP或反复掉线;
• 路由器CPU性能弱(比如老款百兆级芯片),长期跑DoH可能导致响应变卡;
• 单位网络策略严格,开了DoH反而触发安全审计,被自动断网。
一句话选法
想省心、求稳定——优先试DoT;
要穿墙、防审查、或网络环境复杂——换DoH;
不确定?先关着,用常规DNS(如114.114.114.114)保底,再逐个测试切换。