Как сделать DNS-запрос принудительно plaintext'ом (без шифрований/DoT/DoH/etc)?

dig/host/nslookup не знает про шифрование.

DoT/DoH/etc реализуют конкретные резолверы.

dig/host/nslookup не знает про шифрование

То есть когда мы запускаем эти приложения из командной строки, мы априори получаем результат отправленный (и полученный) плейнтекстом на 53-й порт?

Если так, то следующий вопрос: как получить данные от dns-сервера с шифрованием из консоли?

интересно а что если заблокировать при помощи ufw порт 53 и 5353…

Все так же, обращаясь к резолверу на localhost, который выполняет запросы с использованием DoH/DoT/etc

Никто не будет переделывать все приложения для использования DoH/DoT/DNSCrypt/ Проще сделать локальный dns-резолвер/прокси.

Возможно в отдельных приложениях есть встроенные такие резолверы, но пока это редкость.

Благодарен за ликбез, очень доходчиво.

обращаясь к резолверу на localhost

Системный вызов gethostbyname (как например тут: https://stackoverflow.com/a/2152593/5779993) именно это и делает, получая все плюшки DoH/DoT/DNSCrypt операционной системы?

он это написал тем сообщением на которое вы отвечаете.

А по теме, это будет выглядеть как-то так https://unix.stackexchange.com/questions/600194/create-dns-query-with-netcat-or-dev-udp, там не получится плейнтекста в том понимании что вы хотите, в общем-то, даже если вы в какой-то из моментов сможете представить все в виде текста. Почитайте про формат сообщения, когда днс работает поверх удп, в остальных случаях все становится еще забористей.

в оффтопике например в районе 2008 сервер была дописана netapi.dll для того же DoH судя по документации https://docs.microsoft.com/en-us/windows/win32/api/netioapi/ns-netioapi-dns_interface_settings3 и видимо dnsrslvr.dll тоже подстраивается под новые виды транспорта. Думаю в линуксе это все работает схожим образом.