doh 从DoH到ODoH 运营商再也不能搞DNS劫持了服务器

前不久，之前一直高举免费大旗的360听到消息，即将推出收费会员，虽然官方后来声明，收费其实是浏览器团队对个性化增值服务的小规模测试。不过，360浏览器的六大VIP权限也引起了外界的大量关注，尤其是DoH的安全和反劫持功能，让很多人知道，除了向工信部投诉，DoH其实也能解决DNS劫持的问题。

就在DoH开始进入用户视野后，一向注重用户隐私和安全的苹果公司近日宣布，与全球知名的网络安全服务提供商Cloudflare和美国第二大内容交付网络提供商Fastly合作开发了新的互联网协议。该协议被称为“HTTPS上的不经意DNS”或“ODoH”，是DoH的升级版本，其功能是让网络服务提供商更难知道用户在网络中留下的“足迹”。
【doh 从DoH到ODoH 运营商再也不能搞DNS劫持了】如果你想知道苹果的ODoH将如何帮助人们每天上网，你必须从我们如何使用电脑或手机上网开始。相信很多朋友还记得，其实在千禧年前后，上网并没有现在这么方便。拨号上网在一开始是最主流的上网方式，拨打ISP的接入号码上网也是很多80后的共同记忆。

文章图片

完成本地信息处理后，数据包进入网络传输阶段。在这个阶段，数据包将首先通过接入网连接到用户的网络运营商，然后通过互联网服务提供商的路由器进入骨干网，最后根据对应的IP地址到达IP地址指定的web服务器所在的局域网。数据包通过服务器的防火墙后，会进入服务器获取相应的网页。通过颠倒上述过程，可以将从网站服务器复制的html网页文件存储在电脑中，最后将获得的网页数据显示在电脑屏幕上。

文章图片

在这个看似复杂的流程描述中，其实我们省略了一个关键的步骤，需要单独拿出来，那就是如何获取目标网站的IP地址。事实上，要获得输入URL的真实IP地址，需要DNS协议背后的DNS服务提供商。简单来说，就是DNS服务器提供商负责告诉你，A网站的IP地址是AAA，B网站的IP地址是BBB。这意味着，如果有人想知道用户在网络上经常访问哪些网站，DNS查询记录将是最好也是最准确的方式之一。
一般来说，大部分人的DNS服务商负责对应的网络运营商，但实际情况是，出于一些未知的目的，运营商显然可能会访问A网站。因此，操作人员通过在返回页面中写入JavaScript，向浏览器页面添加广告。如果没有DoH，在这种情况下，用户只能向工信部电信用户投诉受理中心投诉。

文章图片

其中，DoH可以理解为通过Https连接对域名解析服务请求的加密传输。因为传统意义上的DNS请求是不加密的，所以除了DNS服务提供商之外的黑客也可以通过搜索易受攻击的DNS服务器缓存来获取。而Https是Http+SSL/，可以通过SSL证书验证服务器的身份，并对浏览器和服务器之间的通信进行加密，从而实现客户端和解析服务器之间的端到端加密。目前除了使用Https协议的DoH之外，还有使用TLS协议的TLS之上的DNS，但DoT的缺点是可能会被服务器的防火墙阻挡。
o以ODoH的名义，也就是opposite，主要是为了进一步加强隐私保护的水平。它通过添加代理服务器对DNS查询进行加密，从而将DNS查询与用户行为分离。虽然DoH更多的是为了避免DNS劫持/污染，但ODoH是为了确保网络运营商和DNS提供商再也看不到用户访问的网站。但是需要注意的是，ODoH只有在代理和DNS服务器不在同一个实体控制的情况下才能保证隐私。