从DoH到ODoH,运营商再也不能搞DNS劫持了

要想知道苹果的ODoH到底对大家日常上网冲浪会有哪些帮助,还得从我们如何用一台电脑或者手机接入互联网开始说起。

 |  三易生活

文|三易生活

不久前,此前一直高举免费大旗的360,旗下浏览器传出了即将推出收费会员的消息,尽管随后官方表声明称,收费其实是浏览器团队在小规模测试个性化增值服务。不过此次传出360浏览器的六大VIP权益也引发了外界的诸多关注,其中特别是DoH安全防劫持这项功能,让不少人头回知道了原来除了向工信部投诉外,DoH(DNS Over Https)其实也可以解决DNS被劫持的问题。

就在DoH开始进入用户的视线后,一贯注重用户隐私安全的苹果也在日前宣布,其与全球知名网络安全服务提供商Cloudflare,及美国第二大内容交付网络(CDN)提供商Fastly,合作开发了一个新的互联网协议。而这个被称为“Oblivious DNS-over-HTTPS”或“ODoH”的协议,不难发现正是DoH的升级版本,而其作用则是使得网络服务提供商更难知晓用户在网络中留下的“脚印”。

要想知道苹果的ODoH到底对大家日常上网冲浪会有哪些帮助,还得从我们如何用一台电脑或者手机接入互联网开始说起。相信有不少朋友还记得,其实在千禧年前后,上网可以没有如今这么方便,拨号上网是当初最为主流的上网方式,而通过拨打ISP的接入号进行上网也是许多80后的共同回忆。

至于说为什么当初上网需要通过电话,其实是因为一个典型的互联网接入流程是这样的。假设我们想要访问三易生活的官网,浏览器就需要先对www.3elife.net这个网址通过DNS协议进行解析,查询到网站的IP地址,此后再通过TCP协议将信息打包到数据包(packet)中交给网卡,然后使用http协议访问web服务器,再根据对应的IP地址,网卡将数据包转换为电信号,并通过电话线发送出去。而在这一过程中如果转化成光信号,那么就是我们如今更为常见的光纤。

在完成了本地的信息处理后,数据包就进入了网络传递的阶段,在这一阶段,数据包会首先通过接入网,连接到用户的网络运营商(例如电信或联通),再通过互联网服务提供商(ISP)的路由器进入到主干网,根据对应的IP地址,最终到达IP地址所指定web服务器所在的局域网,并在通过服务器的防火墙后,进入服务器中获取对应的网页。而将上述过程反向操作一遍,就能够将网站服务器拷贝出来html网页文件存储到你的电脑中,最终电脑屏幕上就可以显示出获取到的网页数据。

在这个看似复杂的过程描述中,其实我们省略了一个关键的步骤,则需要单独拿出来,也就是如何获得目标网站的IP地址。事实上,想要获得输入URL的真实IP地址,是需要DNS协议背后的DNS服务提供商来完成,简单来说,DNS服务器提供商是负责告诉你,A网站的IP地址是AAA,B网站的IP地址是BBB。这就意味着如果有人希望获得用户在网络上经常访问哪些网站,DNS查询记录将会是最好,也是最为准确的途径之一。

通常来说,绝大多数人的DNS服务提供商都是对应的网络运营商来负责,但实际情况却是运营商出于某些未知的目的,可能会出现明明访问的是A网站,结果运营商采用往返回页面里写入JavaScript等方式,在浏览器的页面中加入广告。如果没有DoH,遇到这样的情况,用户就只能向工信部的电信用户申诉受理中心投诉了。

在这其中,DoH则可以被理解为域名解析服务(DNS)的请求通过Https连接加密传输,由于传统意义上的DNS请求是不会被加密的,所以除了DNS服务商之外,黑客也能通过寻找有漏洞的DNS服务器缓存来获取。而Https则是Http+SSL/,可以通过SSL证书来验证服务器的身份,并为浏览器与服务器之间的通信进行加密,做到了用户端和解析服务器之间端到端的加密。目前,除了利用Https协议的DoH之外,还有使用TLS协议的DNS over TLS(DoT),但DoT的劣势就在于可能被服务器的防火墙阻止。

而ODoH命名中的O,也就是Oblivious(未察觉)主要是为了进一步加强隐私保护的等级,是通过加入代理服务器对DNS查询进行加密,从而将DNS查询与用户的行为拆分开来。如果说DoH更多的是为了避免DNS被劫持/污染,ODoH则是为了确保网络运营商及DNS提供商再也看不到用户到底浏览了哪些网站。但需要注意的是,ODoH只有在代理与DNS服务器不受同一实体控制的情况下,才能确保隐私。

但对于用户来说,其实无论使用DoH还是ODoH都是有一定代价的,因为使用这两项功能就意味着无法使用本地host文件来实现广告拦截功能。同时无论是谷歌还是苹果合作伙伴Cloudflare所提供的可信DNS解析服务器,它们都是公开的,谷歌的是8.8.8.8,而Cloudflare则是1.1.1.1,这就代表ISP可以屏蔽这些DNS服务器地址,从而让用户转到其它的镜像服务器,并让网络访问直接退回到传统的Http协议。

事实上,除了某些有私心的ISP或黑客外,也并不是所有人都对DoH/ODoH乐见其成的。早在两年前互联网工程任务组(IETF)正式采用DoH标准时,就曾有相关业内人士指出,DoH是企业与其他专用网络的支路,DNS则是控制平面(信令)的一部分,而DoH将控制平面消息移动到了数据平面(消息转发),就代表网络运营商再也不能管控相关信息,可能会大幅增加恶意软件进行域名攻击的可能性,同时也引发了关于网络本身更重要,还是用户更重要的争论。

当然,之所以谷歌与苹果会如此迫切地希望推广后者,除了隐私保护的因素外,可能也有自己的私心。众所周知。所有的域名查询都是从根服务器开始,而DNS根服务器目前仅有13组,标号从A到M,分别由12个运营商运营,但其中并没有谷歌与苹果的身影。而如果通过DoH/ODoH,谷歌自家的公共DNS,以及苹果合作伙伴Cloudflare DNS服务器的地位就会飞速上升,这无疑也可以视为是两者开始向更基础的互联网底层进行扩张,并为自己寻求更大话语权的一步棋。