测试了一下 DoH/DoT 的可用性，讨论一下今后加密 DNS 的解决方案

下午测试了一下 DoH/DoT 的可用性，很惨烈

主流服务几乎没有幸存，只有类似 NextDNS 这种 IP 地理分布广的服务商，部分 ip 没有被屏蔽而已 P1

屏蔽的方式采用的是 sni 检测 和 路由黑洞 ，有些域名直接就被 RST 了，而其他的则是无限的等待。不过这些加密 DNS 的域名并没有被污染

P2 我自己的自建服务器也被屏蔽了 DoT 而 DoH 正常。随后我做了测试 P3 ，发现很多屏蔽 DoT 的服务器 DoH 正常。小众的 DNS 正常。这也印证了一个猜测，DoH 因为共用 HTTPS 协议的 443 端口，不能一刀切，所以需要 sni 黑名单 + ip 黑名单 。而 DoT 可以直接屏蔽来自境外的 853 端口

综合来看，加密 DNS 马上就会在国内死掉。可能的解决方案有：

1. 使用自建 DNS ，用 DoH 协议，人数少偷偷用
2. 使用 Use DoH/DoT with Proxy 的方案，但是需要各个代理工具的支持（Surge 支持，而 Clash 不支持）。我试验过 Surge 的 Use DoH with Proxy ，能用，但是国内网站的 cdn 体验就直接爆炸了

P1:

P2:

P3: