请教自建 DNS 的协议选择 DoH vs DoT vs DoQ vs Raw UDP/TCP

就 UDP/TCP 53

doh 省心，自动升降级 quic ，加密仅在建连时多一点时间
https://github.com/jqknono/cloudflare-doh 这个不花钱最省心
想折腾可以试试 https://www.nullprivate.com/ ，里边可以配 ECS ，用于将携带的 ip 地理位置最近的服务器 ip 返回，这个配得好延迟低，配不好就延迟高

自己有服务器能建，那就 DoH 直连，nginx 反代一下，把/dns-query 换掉，配好 ECS 速度快； DoT 和 DoQ 端口特征明显，容易被干。如果你 DNS 经过代理了，那用什么协议都无所谓了，UDP 仅代理 53 ，直接用 8888 都行。

我选择 doh fakeip dns 和请求走同一个出口（

我全都要.jpg

没事找事瞎折腾
“最开始为了最低延迟” 你的服务器又不是 anycast 到你家附近。公网延迟随便哪个都比 DNS 协议这点延迟高多了。
“普通 Infra 对纯 TCP 的 DNS 支持不是那么全面” 有什么必要自建 recursive DNS 服务吗？你都已经过了墙了，直接用当地的 DNS 就好了啊。你的上游 DNS 能支持 TCP 就好了啊。

“相当于多了一次加密。而且都是走 TCP”
DNS 就那点流量，多一次加密怎么了？我们夸张一点算它 1ms 好了，你到你的代理服务器要几 ms ？

“而且都是走 TCP ，也就是走 quic 的代理要 TLS + TCP over UDP”
如果用加密协议，那就根本没必要经过代理。多。
TCP over UDP 和 UDP over TCP 不一样，前者不是问题。因为 UDP 没有队首阻塞问题。TCP 自己有拥塞控制和重传，UDP 不提供就正好。



别瞎 jb 折腾了行不行？经过代理的就纯 TCP 。不经过代理的就 DOH 。

不用 DOT 的原因是协议特征明显。记住，过墙需要的不是加密而是混淆。

你做 dns 的目的是什么？如果是为了安全，那你只能选择混淆，别无二选。混淆意味着你只能选 Do H 。
如果你是为了速度，那也没得选，只能用默认 udp 53 。
剩下的 QUIC 这种只是锦上添花，甚至时时候属于屎上雕花，可有可无。

反代就够了，没必要折腾，caddyfile 几行的是事情

回归 fakeip 就好了，没这么多屁事儿。

直接代理里代理一下 8888 就行了啊