2025年通信工程师DNSoverTLS(DoT)加密解析技术专题试卷及解析.pdfVIP

2025年通信工程师DNSOVERTLS(DOT)加密解析技术专题试卷及解析1

2025年通信工程师DNSoverTLS(DoT)加密解析技术专

题试卷及解析

2025年通信工程师DNSoverTLS(DoT)加密解析技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、DNSoverTLS（DoT）协议主要用于解决DNS查询过程中的什么问题？

A、DNS解析速度慢

B、DNS查询结果不准确

C、DNS查询内容被窃听或篡改

D、DNS服务器负载过高

【答案】C

【解析】正确答案是C。DoT通过TLS加密DNS查询和响应数据，防止中间人攻

击和数据篡改。A选项涉及性能问题，DoT可能因加密增加延迟；B选项涉及DNS缓

存或权威服务器问题；D选项与服务器架构相关，非DoT解决范畴。知识点：DoT的

核心价值是隐私保护。易错点：混淆DoT与DNSSEC功能（后者解决数据完整性而非

加密）。

2、DoT协议默认使用的TCP端口是多少？

A、53

B、853

C、443

D、80

【答案】B

【解析】正确答案是B。RFC7858规定DoT专用端口为853。A是传统DNS端口；

C是HTTPS端口；D是HTTP端口。知识点：协议端口号标准化。易错点：误记为

HTTPS的443端口。

3、以下哪种技术常与DoT结合使用以增强安全性？

A、HTTP/2

B、DNSSEC

C、FTP

D、SNMP

【答案】B

【解析】正确答案是B。DNSSEC提供数据来源验证和完整性，与DoT的传输层加

密形成互补。A是HTTP协议升级；C/D为无关协议。知识点：分层安全架构。易错

点：误选HTTP/2（DoH使用）。

4、DoT与DoH的主要区别在于？

2025年通信工程师DNSOVERTLS(DOT)加密解析技术专题试卷及解析2

A、加密算法不同

B、传输协议不同

C、支持的记录类型不同

D、部署成本不同

【答案】B

【解析】正确答案是B。DoT基于TCP+TLS，DoH基于HTTPS。A选项两者均

使用TLS；C选项功能相同；D选项取决于具体实现。知识点：协议栈差异。易错点：

混淆应用层与传输层特性。

5、DoT部署中，客户端必须具备的能力是？

A、支持TCP连接

B、支持UDP连接

C、支持EDNS0

D、支持ANY查询

【答案】A

【解析】正确答案是A。DoT强制使用TCP传输。B是传统DNS特性；C/D为

可选功能。知识点：DoT协议基础要求。易错点：忽略TCP的强制性。

6、以下哪种攻击方式DoT无法防御？

A、DNS劫持

B、中间人攻击

C、拒绝服务攻击

D、缓存污染

【答案】C

【解析】正确答案是C。DoT加密通信但无法阻止流量型攻击。A/B/D可通过加密

或DNSSEC缓解。知识点：安全边界。易错点：高估加密协议的防护范围。

7、DoT握手阶段使用的TLS版本最低要求是？

A、TLS1.0

B、TLS1.2

C、TLS1.3

D、SSL3.0

【答案】B

【解析】正确答案是B。RFC8310要求至少TLS1.2。A/C版本过低或过高；D已

废弃。知识点：协议版本兼容性。易错点：误选TLS1.3（推荐但非强制）。

8、DoT服务器证书验证通常采用？

A、自签名证书

B、CA签发证书

2025年通信工程师DNSOVERTLS(DOT)加密解析技术专题试卷及解析3

C、用户定制证书

D、无证书

【答案】