前不久,之前一直高举免费大旗的360听到消息,即将推出收费会员,虽然官方后来声明,收费其实是浏览器团队对个性化增值服务的小规模测试。不过,360浏览器的六大VIP权限也引起了外界的大量关注,尤其是DoH的安全和反劫持功能,让很多人知道,除了向工信部投诉,DoH其实也能解决DNS劫持的问题。
就在DoH开始进入用户视野后,一向注重用户隐私和安全的苹果公司近日宣布,与全球知名的网络安全服务提供商Cloudflare和美国第二大内容交付网络提供商Fastly合作开发了新的互联网协议。该协议被称为“HTTPS上的不经意DNS”或“ODoH”,是DoH的升级版本,其功能是让网络服务提供商更难知道用户在网络中留下的“足迹”。
如果你想知道苹果的ODoH将如何帮助人们每天上网,你必须从我们如何使用电脑或手机上网开始。相信很多朋友还记得,其实在千禧年前后,上网并没有现在这么方便。拨号上网在一开始是最主流的上网方式,拨打ISP的接入号码上网也是很多80后的共同记忆。
完成本地信息处理后,数据包进入网络传输阶段。在这个阶段,数据包将首先通过接入网连接到用户的网络运营商,然后通过互联网服务提供商的路由器进入骨干网,最后根据对应的IP地址到达IP地址指定的web服务器所在的局域网。数据包通过服务器的防火墙后,会进入服务器获取相应的网页。通过颠倒上述过程,可以将从网站服务器复制的html网页文件存储在电脑中,最后将获得的网页数据显示在电脑屏幕上。
在这个看似复杂的流程描述中,其实我们省略了一个关键的步骤,需要单独拿出来,那就是如何获取目标网站的IP地址。事实上,要获得输入URL的真实IP地址,需要DNS协议背后的DNS服务提供商。简单来说,就是DNS服务器提供商负责告诉你,A网站的IP地址是AAA,B网站的IP地址是BBB。这意味着,如果有人想知道用户在网络上经常访问哪些网站,DNS查询记录将是最好也是最准确的方式之一。
一般来说,大部分人的DNS服务商负责对应的网络运营商,但实际情况是,出于一些未知的目的,运营商显然可能会访问A网站。因此,操作人员通过在返回页面中写入JavaScript,向浏览器页面添加广告。如果没有DoH,在这种情况下,用户只能向工信部电信用户投诉受理中心投诉。
其中,DoH可以理解为通过Https连接对域名解析服务请求的加密传输。因为传统意义上的DNS请求是不加密的,所以除了DNS服务提供商之外的黑客也可以通过搜索易受攻击的DNS服务器缓存来获取。而Https是Http+SSL/,可以通过SSL证书验证服务器的身份,并对浏览器和服务器之间的通信进行加密,从而实现客户端和解析服务器之间的端到端加密。目前除了使用Https协议的DoH之外,还有使用TLS协议的TLS之上的DNS,但DoT的缺点是可能会被服务器的防火墙阻挡。
o以ODoH的名义,也就是opposite,主要是为了进一步加强隐私保护的水平。它通过添加代理服务器对DNS查询进行加密,从而将DNS查询与用户行为分离。虽然DoH更多的是为了避免DNS劫持/污染,但ODoH是为了确保网络运营商和DNS提供商再也看不到用户访问的网站。但是需要注意的是,ODoH只有在代理和DNS服务器不在同一个实体控制的情况下才能保证隐私。
但是对于用户来说,使用DoH或者ODoH是有一定代价的,因为使用这两个功能就意味着不能使用本地主机文件来实现广告拦截功能。同时,谷歌和苹果合作伙伴Cloudflare提供的可信DNS解析服务器都是开放的。谷歌的8.8.8.8和Cloudflare的1.1.1.1,这意味着ISP可以屏蔽这些DNS服务器地址,这样用户就可以去其他镜像服务器,并将网络访问直接返回到传统的Http协议。
事实上,除了一些自私的ISP或者黑客,并不是每个人都喜欢DoH/ODoH。早在两年前互联网工程任务组正式采用DoH标准时,就有业内人士指出,DoH是企业与其他专网之间的分支,DNS是控制平面的一部分。当DoH将控制平面消息移动到数据平面时,意味着网络运营商无法再控制相关信息,这可能会大大增加恶意软件进行域名攻击的可能性。同时也引发了网络本身更重要还是用户更重要的争论。
当然,谷歌和苹果如此热衷于推广后者的原因,除了隐私保护外,可能还有自己的私心。众所周知。所有的域名查询都是从根服务器开始的,但是DNS根服务器只有13组,标注从A到M,分别由12家运营商运营,谷歌和苹果不在其中。但通过DoH/ODoH,谷歌自己的公共DNS和苹果的合作伙伴Cloudflare DNS服务器的地位将迅速上升,这无疑可以看作是他们向更基础的互联网底层拓展,为自己寻求更大话语权的一步。
