@patterniha 正好我都有点忘了当初我对 DoH 都改了啥，还有 fromMitm 什么的，帮我回忆下

@RPRX

if serverName set to fromMitM, serverName should be replaced with the decrypted-tls-sni(in dokomo-MitM), but after adding ech, it was replaced after calling ApplyECH, so ech use wrong name.

I fix it, there is no need to do anything else.

///

for DOH:

1. you add body-padding because of DNS: Retry with EDNS0 when response is truncated  #4516 (comment)
   

   Xray-core/app/dns/nameserver_doh.go

   Line 135 in c569f47

   reqs := buildReqMsgs(domain, option, s.newReqID, genEDNS0Options(s.clientIP, int(crypto.RandBetween(100, 300))))

2. you add header-padding:
   

   Xray-core/app/dns/nameserver_doh.go

   Line 200 in c569f47

   req.Header.Set("X-Padding", strings.Repeat("X", int(crypto.RandBetween(100, 1000))))

3. you add chrome-fingerprint:
   

   Xray-core/app/dns/nameserver_doh.go

   Lines 102 to 104 in c569f47

   	if !h2c {
   	conn = utls.UClient(conn, &utls.Config{ServerName: url.Hostname()}, utls.HelloChrome_Auto)
   	if err := conn.(*utls.UConn).HandshakeContext(ctx); err != nil {

///

i add header-padding and chrome-fingerprint to ech-DOH, but it still doesn't have body-padding.

各种乱七八糟的padding喜欢加可以加 不过这个doh并没有那么高的query流量 大多数情况下查一个非常接近一个普通查询 没普通dns问题严重

@patterniha DoH 时 body-padding 要加的，不然一看返回 body 长度就知道这是在查 ECH

@Fangliding 盲猜 ECH 查询比普通 A/AAAA 查询的响应长 50+ 字节，你用 WireShark 看下

@RPRX

I haven't read the code related to body-padding yet, I will try to read it to see what happened in ip-DOH and add it to ech-DOH

padding的是请求 和返回的响应是什么没关系 还有HTTPS响应反而短一点点

@Fangliding DoH 的 body-padding 开了时，“it MUST pad the corresponding response”，我们讨论过 #4516 (comment)

还有HTTPS响应反而短一点点

是这样的吗，我想着它随便发个公钥不比发几个 IPv4/v6 长吗，还是没上抗量子的锅，不过上了抗量子的话得到一千。。。

下面不是还有吗 padding到定长字节 响应长了的话padding的部分会自动缩减 所以跟响应长度没啥关系 哪怕响应是真长了点也还是返回那么多body

@Fangliding 我的意思就是响应没 body-padding 的话，学 GFW 在外面用 WireShark 看应该能看出区别

都是468 这肯定不会出问题 人家的dns又不是ray里土制的A/AAAA特化 所有记录都是这个行为

#4949 (comment)

我的意思是 DoH 请求的 body-padding 会影响响应，所以 #4949 (comment)

@patterniha rebase 然后加上 body-padding，我晚点看一下

new changes:

6. add body-padding
7. fix number 1 in TLS ECH client: Add echForceQuery config #4947 (comment)
8. fix TLS ECH client: Add echForceQuery config #4947 (comment)
9. fix number 2 in TLS ECH client: Add echForceQuery config #4947 (comment)
10. add accept-header for ech-DOH (Section 5.1 of RFC 8484 states that DoH clients MUST include the Accept: application/dns-message)

ready

我再改个标题重新合一下

好了，好壮观

本来说的是怕填进去的dns服务器不可用才加个force query 这给当bug修了。。

@patterniha 我忘了说，由于可能有访问不到 DNS 服务器的情况，任何查询失败都应视为失败，没 force-query 的话十分钟后再查

no need for "none", the cache can be use for 6 hours, so if a DOH fails for a moment, the connection will be made for up to 6 hours and try to update the key.

also, ech-DNS is like ip-DNS, so if query fails, connection should not be made.(after 6 hours)
I just neglected this and fix it in new PR.

@patterniha 我忘了说，由于可能有访问不到 DNS 服务器的情况，如果没有 force-query 的话任何查询失败都应视为失败

没force-query也要失败 这不是和这里冲突么
#4947 (comment)
这里又要DNS不可用的情况下可以用

@Fangliding 我又看了一下，因为他说应只缓存 emptyResponse，我的意思是没 force-query 时任何失败都应该十分钟后再查

总之 force-query 时必须查到再建立连接，没 force-query 时就是允许明文 SNI、十分钟后再查