不久前，此前一直高舉免費大旗的360，旗下瀏覽器傳出了即將推出收費會員的消息，盡管隨后官方表聲明稱，收費其實是瀏覽器團(tuán)隊在小規(guī)模測試個性化增值服務(wù)。不過此次傳出360瀏覽器的六大VIP權(quán)益也引發(fā)了外界的諸多關(guān)注，其中特別是DoH安全防劫持這項功能，讓不少人頭回知道了原來除了向工信部投訴外，DoH(DNS Over Https)其實也可以解決DNS被劫持的問題。

就在DoH開始進(jìn)入用戶的視線后，一貫注重用戶隱私安全的蘋果也在日前宣布，其與全球知名網(wǎng)絡(luò)安全服務(wù)提供商Cloudflare，及美國第二大內(nèi)容交付網(wǎng)絡(luò)(CDN)提供商Fastly，合作開發(fā)了一個新的互聯(lián)網(wǎng)協(xié)議。而這個被稱為“Oblivious DNS-over-HTTPS”或“ODoH”的協(xié)議，不難發(fā)現(xiàn)正是DoH的升級版本，而其作用則是使得網(wǎng)絡(luò)服務(wù)提供商更難知曉用戶在網(wǎng)絡(luò)中留下的“腳印”。

要想知道蘋果的ODoH到底對大家日常上網(wǎng)沖浪會有哪些幫助，還得從我們?nèi)绾斡靡慌_電腦或者手機(jī)接入互聯(lián)網(wǎng)開始說起。相信有不少朋友還記得，其實在千禧年前后，上網(wǎng)可以沒有如今這么方便，撥號上網(wǎng)是當(dāng)初最為主流的上網(wǎng)方式，而通過撥打ISP的接入號進(jìn)行上網(wǎng)也是許多80后的共同回憶。

至于說為什么當(dāng)初上網(wǎng)需要通過電話，其實是因為一個典型的互聯(lián)網(wǎng)接入流程是這樣的。假設(shè)我們想要訪問三易生活的官網(wǎng)，瀏覽器就需要先對www.3elife.net這個網(wǎng)址通過DNS協(xié)議進(jìn)行解析，查詢到網(wǎng)站的IP地址，此后再通過TCP協(xié)議將信息打包到數(shù)據(jù)包(packet)中交給網(wǎng)卡，然后使用http協(xié)議訪問web服務(wù)器，再根據(jù)對應(yīng)的IP地址，網(wǎng)卡將數(shù)據(jù)包轉(zhuǎn)換為電信號，并通過電話線發(fā)送出去。而在這一過程中如果轉(zhuǎn)化成光信號，那么就是我們?nèi)缃窀鼮槌Ｒ姷墓饫w。

在完成了本地的信息處理后，數(shù)據(jù)包就進(jìn)入了網(wǎng)絡(luò)傳遞的階段，在這一階段，數(shù)據(jù)包會首先通過接入網(wǎng)，連接到用戶的網(wǎng)絡(luò)運營商(例如電信或聯(lián)通)，再通過互聯(lián)網(wǎng)服務(wù)提供商(ISP)的路由器進(jìn)入到主干網(wǎng)，根據(jù)對應(yīng)的IP地址，最終到達(dá)IP地址所指定web服務(wù)器所在的局域網(wǎng)，并在通過服務(wù)器的防火墻后，進(jìn)入服務(wù)器中獲取對應(yīng)的網(wǎng)頁。而將上述過程反向操作一遍，就能夠?qū)⒕W(wǎng)站服務(wù)器拷貝出來html網(wǎng)頁文件存儲到你的電腦中，最終電腦屏幕上就可以顯示出獲取到的網(wǎng)頁數(shù)據(jù)。

在這個看似復(fù)雜的過程描述中，其實我們省略了一個關(guān)鍵的步驟，則需要單獨拿出來，也就是如何獲得目標(biāo)網(wǎng)站的IP地址。事實上，想要獲得輸入URL的真實IP地址，是需要DNS協(xié)議背后的DNS服務(wù)提供商來完成，簡單來說，DNS服務(wù)器提供商是負(fù)責(zé)告訴你，A網(wǎng)站的IP地址是AAA，B網(wǎng)站的IP地址是BBB。這就意味著如果有人希望獲得用戶在網(wǎng)絡(luò)上經(jīng)常訪問哪些網(wǎng)站，DNS查詢記錄將會是最好，也是最為準(zhǔn)確的途徑之一。

通常來說，絕大多數(shù)人的DNS服務(wù)提供商都是對應(yīng)的網(wǎng)絡(luò)運營商來負(fù)責(zé)，但實際情況卻是運營商出于某些未知的目的，可能會出現(xiàn)明明訪問的是A網(wǎng)站，結(jié)果運營商采用往返回頁面里寫入JavaScript等方式，在瀏覽器的頁面中加入廣告。如果沒有DoH，遇到這樣的情況，用戶就只能向工信部的電信用戶申訴受理中心投訴了。

在這其中，DoH則可以被理解為域名解析服務(wù)(DNS)的請求通過Https連接加密傳輸，由于傳統(tǒng)意義上的DNS請求是不會被加密的，所以除了DNS服務(wù)商之外，黑客也能通過尋找有漏洞的DNS服務(wù)器緩存來獲取。而Https則是Http+SSL/，可以通過SSL證書來驗證服務(wù)器的身份，并為瀏覽器與服務(wù)器之間的通信進(jìn)行加密，做到了用戶端和解析服務(wù)器之間端到端的加密。目前，除了利用Https協(xié)議的DoH之外，還有使用TLS協(xié)議的DNS over TLS(DoT)，但DoT的劣勢就在于可能被服務(wù)器的防火墻阻止。

而ODoH命名中的O，也就是Oblivious(未察覺)主要是為了進(jìn)一步加強(qiáng)隱私保護(hù)的等級，是通過加入代理服務(wù)器對DNS查詢進(jìn)行加密，從而將DNS查詢與用戶的行為拆分開來。如果說DoH更多的是為了避免DNS被劫持/污染，ODoH則是為了確保網(wǎng)絡(luò)運營商及DNS提供商再也看不到用戶到底瀏覽了哪些網(wǎng)站。但需要注意的是，ODoH只有在代理與DNS服務(wù)器不受同一實體控制的情況下，才能確保隱私。

但對于用戶來說，其實無論使用DoH還是ODoH都是有一定代價的，因為使用這兩項功能就意味著無法使用本地host文件來實現(xiàn)廣告攔截功能。同時無論是谷歌還是蘋果合作伙伴Cloudflare所提供的可信DNS解析服務(wù)器，它們都是公開的，谷歌的是8.8.8.8，而Cloudflare則是1.1.1.1，這就代表ISP可以屏蔽這些DNS服務(wù)器地址，從而讓用戶轉(zhuǎn)到其它的鏡像服務(wù)器，并讓網(wǎng)絡(luò)訪問直接退回到傳統(tǒng)的Http協(xié)議。

事實上，除了某些有私心的ISP或黑客外，也并不是所有人都對DoH/ODoH樂見其成的。早在兩年前互聯(lián)網(wǎng)工程任務(wù)組(IETF)正式采用DoH標(biāo)準(zhǔn)時，就曾有相關(guān)業(yè)內(nèi)人士指出，DoH是企業(yè)與其他專用網(wǎng)絡(luò)的支路，DNS則是控制平面(信令)的一部分，而DoH將控制平面消息移動到了數(shù)據(jù)平面(消息轉(zhuǎn)發(fā))，就代表網(wǎng)絡(luò)運營商再也不能管控相關(guān)信息，可能會大幅增加惡意軟件進(jìn)行域名攻擊的可能性，同時也引發(fā)了關(guān)于網(wǎng)絡(luò)本身更重要，還是用戶更重要的爭論。

當(dāng)然，之所以谷歌與蘋果會如此迫切地希望推廣后者，除了隱私保護(hù)的因素外，可能也有自己的私心。眾所周知。所有的域名查詢都是從根服務(wù)器開始，而DNS根服務(wù)器目前僅有13組，標(biāo)號從A到M，分別由12個運營商運營，但其中并沒有谷歌與蘋果的身影。而如果通過DoH/ODoH，谷歌自家的公共DNS，以及蘋果合作伙伴Cloudflare DNS服務(wù)器的地位就會飛速上升，這無疑也可以視為是兩者開始向更基礎(chǔ)的互聯(lián)網(wǎng)底層進(jìn)行擴(kuò)張，并為自己尋求更大話語權(quán)的一步棋。