传统 DNS 解析面临以下几大问题:
首先,解析延迟高,因为首次需要迭代一级一级去查询。
其次,缓存生效不及时,因为 LocalDNS 是一个松散的管理模式,并且不受掌控。
再次,缓存投毒风险,因为 DNS 协议校验并不严格导致常被攻击。
以及,调度不准确,因为各种客户端和 LocalDNS 的错误使用或非标准使用,导致权威 DNS 服务器无法真实判断真实客户端所在地区和运营商。
我们可以基于 HTTP 协议搭建一套自己的 DNS 服务集群,并且让这套服务集群分布在各个地区与各个运营商,当客户端需要做域名解析时,直接通过 HTTP 协议与这套集群进行通信,得到对应的域名地址就可以了,这就是 DoH(DNS over HTTPS,也叫 HTTPDNS)。
但不是所有业务都可以使用 DoH,因为默认的域名解析都要通过 DNS 协议,所以使用 DoH 的前提是客户端必须自己实现或集成已有的 DoH SDK,这样才可以绕过传统 DNS 进行域名解析,移动端应用使用较多。
DoH 如何解决上述 DNS 面临的问题呢?
这些问题大体可以分为三类:DNS 协议本身缺乏加密、认证、完整性保护的安全机制;解析速度与缓存更新速度的平衡;调度精准度问题。
第一类问题,DoH 基于 HTTP 协议实现,可以适用于几乎所有的网络环境,同时保留了鉴权、HTTPS 等更高安全性的扩展能力,避免恶意攻击劫持等行为。
第二类问题,DoH 将解析速度和更新速度全部掌控在自己手中。一方面,解析的过程,不需要本地 DNS 服务递归调用,一个 HTTP 请求可直接搞定且可以实时更新;另一方面,缓存在客户端 SDK 维护,过期时间、更新时间可自己控制。
第三类问题,通过 DoH 不需要经过 LocalDNS,也就不会出现调度问题。对于 HTTP 来说,透传客户端原地址是非常成熟的能力,可以确保将客户端真实原地址传递给 DoH 服务端,DoH 服务端可以根据真实的客户端地址进行运营商级别或地域级别的调度。 |
