DoT
DoT协议使用的是TLS1.2 TCP 853端口,所以封禁该协议就通过防火墙禁止出站目标端口为853 TCP/UDP
MikroTik RouterOS防火墙命令(RouterOS全系列通用)
/ip firewall filter add action=drop chin=output dst-port=53 protocol=udp
/ip firewall filter add action=drop chin=output dst-port=53 protocol=tcpDoH
DoH的全称是DNS over HTTPS,看到HTTPS的意思就是,该协议使用443端口,也就是说这里不能使用上面的方法封禁;
需要封禁就要开启DNS缓存和配置DNS挟持,这里有现成的文章
在静态DNS里面添加DoH的域名,让DNS over HTTPS的HTTPS无法实现(不需要封禁CDN)
DoQ
目前QUIC协议未定为标准,大多数QUIC协议的部署端口是UDP 443,所以这里暂定封禁方法为封禁UDP的443端口,目前大多数Web服务器都不支持QUIC协议,仅Caddy支持QUIC协议。但是在DoQ协议手册得知,DoQ协议端口可以是自定义端口,没有标明默认端口号;暂定无法彻底封禁
在MikroTik上封禁DNS over QUIC
/ip firewall filter add action=drop chin=output dst-port=443 protocol=udp这里请勿封禁443 TCP,如果封禁了所有网站将无法打开
评论