不久前，此前一直高舉免費(fèi)大旗的360，旗下瀏覽器傳出了即將推出收費(fèi)會(huì)員的消息，盡管隨后官方表聲明稱，收費(fèi)其實(shí)是瀏覽器團(tuán)隊(duì)在小規(guī)模測(cè)試個(gè)性化增值服務(wù)。不過此次傳出360瀏覽器的六大VIP權(quán)益也引發(fā)了外界的諸多關(guān)注，其中特別是DoH安全防劫持這項(xiàng)功能，讓不少人頭回知道了原來(lái)除了向工信部投訴外，DoH(DNS Over Https)其實(shí)也可以解決DNS被劫持的問題。

就在DoH開始進(jìn)入用戶的視線后，一貫注重用戶隱私安全的蘋果也在日前宣布，其與全球知名網(wǎng)絡(luò)安全服務(wù)提供商Cloudflare，及美國(guó)第二大內(nèi)容交付網(wǎng)絡(luò)(CDN)提供商Fastly，合作開發(fā)了一個(gè)新的互聯(lián)網(wǎng)協(xié)議。而這個(gè)被稱為“Oblivious DNS-over-HTTPS”或“ODoH”的協(xié)議，不難發(fā)現(xiàn)正是DoH的升級(jí)版本，而其作用則是使得網(wǎng)絡(luò)服務(wù)提供商更難知曉用戶在網(wǎng)絡(luò)中留下的“腳印”。

要想知道蘋果的ODoH到底對(duì)大家日常上網(wǎng)沖浪會(huì)有哪些幫助，還得從我們?nèi)绾斡靡慌_(tái)電腦或者手機(jī)接入互聯(lián)網(wǎng)開始說(shuō)起。相信有不少朋友還記得，其實(shí)在千禧年前后，上網(wǎng)可以沒有如今這么方便，撥號(hào)上網(wǎng)是當(dāng)初最為主流的上網(wǎng)方式，而通過撥打ISP的接入號(hào)進(jìn)行上網(wǎng)也是許多80后的共同回憶。

至于說(shuō)為什么當(dāng)初上網(wǎng)需要通過電話，其實(shí)是因?yàn)橐粋€(gè)典型的互聯(lián)網(wǎng)接入流程是這樣的。假設(shè)我們想要訪問三易生活的官網(wǎng)，瀏覽器就需要先對(duì)www.3elife.net這個(gè)網(wǎng)址通過DNS協(xié)議進(jìn)行解析，查詢到網(wǎng)站的IP地址，此后再通過TCP協(xié)議將信息打包到數(shù)據(jù)包(packet)中交給網(wǎng)卡，然后使用http協(xié)議訪問web服務(wù)器，再根據(jù)對(duì)應(yīng)的IP地址，網(wǎng)卡將數(shù)據(jù)包轉(zhuǎn)換為電信號(hào)，并通過電話線發(fā)送出去。而在這一過程中如果轉(zhuǎn)化成光信號(hào)，那么就是我們?nèi)缃窀鼮槌Ｒ姷墓饫w。

在完成了本地的信息處理后，數(shù)據(jù)包就進(jìn)入了網(wǎng)絡(luò)傳遞的階段，在這一階段，數(shù)據(jù)包會(huì)首先通過接入網(wǎng)，連接到用戶的網(wǎng)絡(luò)運(yùn)營(yíng)商(例如電信或聯(lián)通)，再通過互聯(lián)網(wǎng)服務(wù)提供商(ISP)的路由器進(jìn)入到主干網(wǎng)，根據(jù)對(duì)應(yīng)的IP地址，最終到達(dá)IP地址所指定web服務(wù)器所在的局域網(wǎng)，并在通過服務(wù)器的防火墻后，進(jìn)入服務(wù)器中獲取對(duì)應(yīng)的網(wǎng)頁(yè)。而將上述過程反向操作一遍，就能夠?qū)⒕W(wǎng)站服務(wù)器拷貝出來(lái)html網(wǎng)頁(yè)文件存儲(chǔ)到你的電腦中，最終電腦屏幕上就可以顯示出獲取到的網(wǎng)頁(yè)數(shù)據(jù)。

在這個(gè)看似復(fù)雜的過程描述中，其實(shí)我們省略了一個(gè)關(guān)鍵的步驟，則需要單獨(dú)拿出來(lái)，也就是如何獲得目標(biāo)網(wǎng)站的IP地址。事實(shí)上，想要獲得輸入U(xiǎn)RL的真實(shí)IP地址，是需要DNS協(xié)議背后的DNS服務(wù)提供商來(lái)完成，簡(jiǎn)單來(lái)說(shuō)，DNS服務(wù)器提供商是負(fù)責(zé)告訴你，A網(wǎng)站的IP地址是AAA，B網(wǎng)站的IP地址是BBB。這就意味著如果有人希望獲得用戶在網(wǎng)絡(luò)上經(jīng)常訪問哪些網(wǎng)站，DNS查詢記錄將會(huì)是最好，也是最為準(zhǔn)確的途徑之一。

通常來(lái)說(shuō)，絕大多數(shù)人的DNS服務(wù)提供商都是對(duì)應(yīng)的網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)負(fù)責(zé)，但實(shí)際情況卻是運(yùn)營(yíng)商出于某些未知的目的，可能會(huì)出現(xiàn)明明訪問的是A網(wǎng)站，結(jié)果運(yùn)營(yíng)商采用往返回頁(yè)面里寫入JavaScript等方式，在瀏覽器的頁(yè)面中加入廣告。如果沒有DoH，遇到這樣的情況，用戶就只能向工信部的電信用戶申訴受理中心投訴了。

在這其中，DoH則可以被理解為域名解析服務(wù)(DNS)的請(qǐng)求通過Https連接加密傳輸，由于傳統(tǒng)意義上的DNS請(qǐng)求是不會(huì)被加密的，所以除了DNS服務(wù)商之外，黑客也能通過尋找有漏洞的DNS服務(wù)器緩存來(lái)獲取。而Https則是Http+SSL/，可以通過SSL證書來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器與服務(wù)器之間的通信進(jìn)行加密，做到了用戶端和解析服務(wù)器之間端到端的加密。目前，除了利用Https協(xié)議的DoH之外，還有使用TLS協(xié)議的DNS over TLS(DoT)，但DoT的劣勢(shì)就在于可能被服務(wù)器的防火墻阻止。

而ODoH命名中的O，也就是Oblivious(未察覺)主要是為了進(jìn)一步加強(qiáng)隱私保護(hù)的等級(jí)，是通過加入代理服務(wù)器對(duì)DNS查詢進(jìn)行加密，從而將DNS查詢與用戶的行為拆分開來(lái)。如果說(shuō)DoH更多的是為了避免DNS被劫持/污染，ODoH則是為了確保網(wǎng)絡(luò)運(yùn)營(yíng)商及DNS提供商再也看不到用戶到底瀏覽了哪些網(wǎng)站。但需要注意的是，ODoH只有在代理與DNS服務(wù)器不受同一實(shí)體控制的情況下，才能確保隱私。

但對(duì)于用戶來(lái)說(shuō)，其實(shí)無(wú)論使用DoH還是ODoH都是有一定代價(jià)的，因?yàn)槭褂眠@兩項(xiàng)功能就意味著無(wú)法使用本地host文件來(lái)實(shí)現(xiàn)廣告攔截功能。同時(shí)無(wú)論是谷歌還是蘋果合作伙伴Cloudflare所提供的可信DNS解析服務(wù)器，它們都是公開的，谷歌的是8.8.8.8，而Cloudflare則是1.1.1.1，這就代表ISP可以屏蔽這些DNS服務(wù)器地址，從而讓用戶轉(zhuǎn)到其它的鏡像服務(wù)器，并讓網(wǎng)絡(luò)訪問直接退回到傳統(tǒng)的Http協(xié)議。

事實(shí)上，除了某些有私心的ISP或黑客外，也并不是所有人都對(duì)DoH/ODoH樂見其成的。早在兩年前互聯(lián)網(wǎng)工程任務(wù)組(IETF)正式采用DoH標(biāo)準(zhǔn)時(shí)，就曾有相關(guān)業(yè)內(nèi)人士指出，DoH是企業(yè)與其他專用網(wǎng)絡(luò)的支路，DNS則是控制平面(信令)的一部分，而DoH將控制平面消息移動(dòng)到了數(shù)據(jù)平面(消息轉(zhuǎn)發(fā))，就代表網(wǎng)絡(luò)運(yùn)營(yíng)商再也不能管控相關(guān)信息，可能會(huì)大幅增加惡意軟件進(jìn)行域名攻擊的可能性，同時(shí)也引發(fā)了關(guān)于網(wǎng)絡(luò)本身更重要，還是用戶更重要的爭(zhēng)論。

當(dāng)然，之所以谷歌與蘋果會(huì)如此迫切地希望推廣后者，除了隱私保護(hù)的因素外，可能也有自己的私心。眾所周知。所有的域名查詢都是從根服務(wù)器開始，而DNS根服務(wù)器目前僅有13組，標(biāo)號(hào)從A到M，分別由12個(gè)運(yùn)營(yíng)商運(yùn)營(yíng)，但其中并沒有谷歌與蘋果的身影。而如果通過DoH/ODoH，谷歌自家的公共DNS，以及蘋果合作伙伴Cloudflare DNS服務(wù)器的地位就會(huì)飛速上升，這無(wú)疑也可以視為是兩者開始向更基礎(chǔ)的互聯(lián)網(wǎng)底層進(jìn)行擴(kuò)張，并為自己尋求更大話語(yǔ)權(quán)的一步棋。