|
不久前,此前一直高舉免費(fèi)大旗的360�����,旗下瀏覽器傳出了即將推出收費(fèi)會(huì)員的消息�����,盡管隨后官方表聲明稱(chēng)�����,收費(fèi)其實(shí)是瀏覽器團(tuán)隊(duì)在小規(guī)模測(cè)試個(gè)性化增值服務(wù)�����。不過(guò)此次傳出360瀏覽器的六大VIP權(quán)益也引發(fā)了外界的諸多關(guān)注�����,其中特別是DoH安全防劫持這項(xiàng)功能�����,讓不少人頭回知道了原來(lái)除了向工信部投訴外�����,DoH(DNS Over Https)其實(shí)也可以解決DNS被劫持的問(wèn)題�����。就在DoH開(kāi)始進(jìn)入用戶的視線后�����,一貫注重用戶隱私安全的蘋(píng)果也在日前宣布�����,其與全球知名網(wǎng)絡(luò)安全服務(wù)提供商Cloudflare�����,及美國(guó)第二大內(nèi)容交付網(wǎng)絡(luò)(CDN)提供商Fastly�����,合作開(kāi)發(fā)了一個(gè)新的互聯(lián)網(wǎng)協(xié)議�����。而這個(gè)被稱(chēng)為“Oblivious DNS-over-HTTPS”或“ODoH”的協(xié)議,不難發(fā)現(xiàn)正是DoH的升級(jí)版本�����,而其作用則是使得網(wǎng)絡(luò)服務(wù)提供商更難知曉用戶在網(wǎng)絡(luò)中留下的“腳印”�����。要想知道蘋(píng)果的ODoH到底對(duì)大家日常上網(wǎng)沖浪會(huì)有哪些幫助�����,還得從我們?nèi)绾斡靡慌_(tái)電腦或者手機(jī)接入互聯(lián)網(wǎng)開(kāi)始說(shuō)起�����。相信有不少朋友還記得�����,其實(shí)在千禧年前后�����,上網(wǎng)可以沒(méi)有如今這么方便�����,撥號(hào)上網(wǎng)是當(dāng)初最為主流的上網(wǎng)方式�����,而通過(guò)撥打ISP的接入號(hào)進(jìn)行上網(wǎng)也是許多80后的共同回憶�����。至于說(shuō)為什么當(dāng)初上網(wǎng)需要通過(guò)電話�����,其實(shí)是因?yàn)橐粋€(gè)典型的互聯(lián)網(wǎng)接入流程是這樣的�����。假設(shè)我們想要訪問(wèn)三易生活的官網(wǎng)�����,瀏覽器就需要先對(duì)www.3elife.net這個(gè)網(wǎng)址通過(guò)DNS協(xié)議進(jìn)行解析�����,查詢到網(wǎng)站的IP地址,此后再通過(guò)TCP協(xié)議將信息打包到數(shù)據(jù)包(packet)中交給網(wǎng)卡�����,然后使用http協(xié)議訪問(wèn)web服務(wù)器�����,再根據(jù)對(duì)應(yīng)的IP地址�����,網(wǎng)卡將數(shù)據(jù)包轉(zhuǎn)換為電信號(hào)�����,并通過(guò)電話線發(fā)送出去�����。而在這一過(guò)程中如果轉(zhuǎn)化成光信號(hào)�����,那么就是我們?nèi)缃窀鼮槌R?jiàn)的光纖。在完成了本地的信息處理后�����,數(shù)據(jù)包就進(jìn)入了網(wǎng)絡(luò)傳遞的階段�����,在這一階段�����,數(shù)據(jù)包會(huì)首先通過(guò)接入網(wǎng)�����,連接到用戶的網(wǎng)絡(luò)運(yùn)營(yíng)商(例如電信或聯(lián)通)�����,再通過(guò)互聯(lián)網(wǎng)服務(wù)提供商(ISP)的路由器進(jìn)入到主干網(wǎng)�����,根據(jù)對(duì)應(yīng)的IP地址�����,最終到達(dá)IP地址所指定web服務(wù)器所在的局域網(wǎng)�����,并在通過(guò)服務(wù)器的防火墻后�����,進(jìn)入服務(wù)器中獲取對(duì)應(yīng)的網(wǎng)頁(yè)�����。而將上述過(guò)程反向操作一遍�����,就能夠?qū)⒕W(wǎng)站服務(wù)器拷貝出來(lái)html網(wǎng)頁(yè)文件存儲(chǔ)到你的電腦中�����,最終電腦屏幕上就可以顯示出獲取到的網(wǎng)頁(yè)數(shù)據(jù)�����。在這個(gè)看似復(fù)雜的過(guò)程描述中,其實(shí)我們省略了一個(gè)關(guān)鍵的步驟�����,則需要單獨(dú)拿出來(lái)�����,也就是如何獲得目標(biāo)網(wǎng)站的IP地址�����。事實(shí)上�����,想要獲得輸入U(xiǎn)RL的真實(shí)IP地址�����,是需要DNS協(xié)議背后的DNS服務(wù)提供商來(lái)完成�����,簡(jiǎn)單來(lái)說(shuō)�����,DNS服務(wù)器提供商是負(fù)責(zé)告訴你�����,A網(wǎng)站的IP地址是AAA�����,B網(wǎng)站的IP地址是BBB�����。這就意味著如果有人希望獲得用戶在網(wǎng)絡(luò)上經(jīng)常訪問(wèn)哪些網(wǎng)站�����,DNS查詢記錄將會(huì)是最好�����,也是最為準(zhǔn)確的途徑之一�����。通常來(lái)說(shuō),絕大多數(shù)人的DNS服務(wù)提供商都是對(duì)應(yīng)的網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)負(fù)責(zé)�����,但實(shí)際情況卻是運(yùn)營(yíng)商出于某些未知的目的�����,可能會(huì)出現(xiàn)明明訪問(wèn)的是A網(wǎng)站�����,結(jié)果運(yùn)營(yíng)商采用往返回頁(yè)面里寫(xiě)入JavaScript等方式�����,在瀏覽器的頁(yè)面中加入廣告�����。如果沒(méi)有DoH�����,遇到這樣的情況�����,用戶就只能向工信部的電信用戶申訴受理中心投訴了�����。在這其中�����,DoH則可以被理解為域名解析服務(wù)(DNS)的請(qǐng)求通過(guò)Https連接加密傳輸�����,由于傳統(tǒng)意義上的DNS請(qǐng)求是不會(huì)被加密的�����,所以除了DNS服務(wù)商之外�����,黑客也能通過(guò)尋找有漏洞的DNS服務(wù)器緩存來(lái)獲取�����。而Https則是Http+SSL/,可以通過(guò)SSL證書(shū)來(lái)驗(yàn)證服務(wù)器的身份�����,并為瀏覽器與服務(wù)器之間的通信進(jìn)行加密�����,做到了用戶端和解析服務(wù)器之間端到端的加密�����。目前�����,除了利用Https協(xié)議的DoH之外�����,還有使用TLS協(xié)議的DNS over TLS(DoT)�����,但DoT的劣勢(shì)就在于可能被服務(wù)器的防火墻阻止�����。而ODoH命名中的O�����,也就是Oblivious(未察覺(jué))主要是為了進(jìn)一步加強(qiáng)隱私保護(hù)的等級(jí)�����,是通過(guò)加入代理服務(wù)器對(duì)DNS查詢進(jìn)行加密�����,從而將DNS查詢與用戶的行為拆分開(kāi)來(lái)�����。如果說(shuō)DoH更多的是為了避免DNS被劫持/污染�����,ODoH則是為了確保網(wǎng)絡(luò)運(yùn)營(yíng)商及DNS提供商再也看不到用戶到底瀏覽了哪些網(wǎng)站�����。但需要注意的是,ODoH只有在代理與DNS服務(wù)器不受同一實(shí)體控制的情況下�����,才能確保隱私�����。但對(duì)于用戶來(lái)說(shuō)�����,其實(shí)無(wú)論使用DoH還是ODoH都是有一定代價(jià)的�����,因?yàn)槭褂眠@兩項(xiàng)功能就意味著無(wú)法使用本地host文件來(lái)實(shí)現(xiàn)廣告攔截功能�����。同時(shí)無(wú)論是谷歌還是蘋(píng)果合作伙伴Cloudflare所提供的可信DNS解析服務(wù)器�����,它們都是公開(kāi)的�����,谷歌的是8.8.8.8�����,而Cloudflare則是1.1.1.1�����,這就代表ISP可以屏蔽這些DNS服務(wù)器地址�����,從而讓用戶轉(zhuǎn)到其它的鏡像服務(wù)器�����,并讓網(wǎng)絡(luò)訪問(wèn)直接退回到傳統(tǒng)的Http協(xié)議�����。事實(shí)上�����,除了某些有私心的ISP或黑客外,也并不是所有人都對(duì)DoH/ODoH樂(lè)見(jiàn)其成的�����。早在兩年前互聯(lián)網(wǎng)工程任務(wù)組(IETF)正式采用DoH標(biāo)準(zhǔn)時(shí)�����,就曾有相關(guān)業(yè)內(nèi)人士指出�����,DoH是企業(yè)與其他專(zhuān)用網(wǎng)絡(luò)的支路�����,DNS則是控制平面(信令)的一部分�����,而DoH將控制平面消息移動(dòng)到了數(shù)據(jù)平面(消息轉(zhuǎn)發(fā))�����,就代表網(wǎng)絡(luò)運(yùn)營(yíng)商再也不能管控相關(guān)信息,可能會(huì)大幅增加惡意軟件進(jìn)行域名攻擊的可能性�����,同時(shí)也引發(fā)了關(guān)于網(wǎng)絡(luò)本身更重要�����,還是用戶更重要的爭(zhēng)論�����。當(dāng)然�����,之所以谷歌與蘋(píng)果會(huì)如此迫切地希望推廣后者�����,除了隱私保護(hù)的因素外�����,可能也有自己的私心�����。眾所周知�����。所有的域名查詢都是從根服務(wù)器開(kāi)始�����,而DNS根服務(wù)器目前僅有13組�����,標(biāo)號(hào)從A到M�����,分別由12個(gè)運(yùn)營(yíng)商運(yùn)營(yíng)�����,但其中并沒(méi)有谷歌與蘋(píng)果的身影�����。而如果通過(guò)DoH/ODoH,谷歌自家的公共DNS�����,以及蘋(píng)果合作伙伴Cloudflare DNS服務(wù)器的地位就會(huì)飛速上升�����,這無(wú)疑也可以視為是兩者開(kāi)始向更基礎(chǔ)的互聯(lián)網(wǎng)底層進(jìn)行擴(kuò)張�����,并為自己尋求更大話語(yǔ)權(quán)的一步棋�����。【本文圖片來(lái)自網(wǎng)絡(luò)】 有著更強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力的小米11�����,也展現(xiàn)了小米的從容和自信�����。 在市場(chǎng)環(huán)境與技術(shù)的推動(dòng)下�����,PC銷(xiāo)量今年迎來(lái)了久違的大幅提升�����。
|
