蘋果與微軟加碼DNS加密，小廣告的好日子到頭了

編者按：本文來自微信公眾號“三易生活”（ID:IT-3eLife），作者 三易菌，36氪經(jīng)授權(quán)發(fā)布。

大家平時(shí)在上網(wǎng)的時(shí)候，可能都有過類似這樣的經(jīng)歷。剛剛才在A網(wǎng)站里看過的東西，沒過多久就出現(xiàn)在了B網(wǎng)站與C網(wǎng)站的廣告推送內(nèi)容里；明明自己在瀏覽器的網(wǎng)址欄里輸入的是G搜索引擎，結(jié)果打開的卻是B搜索引擎；又或者是在遠(yuǎn)程辦公及觀看網(wǎng)課內(nèi)容時(shí)，網(wǎng)頁卻突然出現(xiàn)了運(yùn)營商優(yōu)惠促銷信息的彈窗。

現(xiàn)在的人可能都沒見識過這一神奇的景象了

造成以上這些現(xiàn)象的原因其實(shí)不止一條，它可能源自某些帶有不端行為的“安全軟件”（比如我們?nèi)咨顖?bào)道過的Avast），也可能是你的電腦已經(jīng)被黑客綁架成為“肉雞”的征兆。但對于大多數(shù)情況而言，造成以上現(xiàn)象的原因是一種名為“DNS劫持”的網(wǎng)絡(luò)破壞行為。

互聯(lián)網(wǎng)的基本原理，讓DNS劫持猖獗不已

在解釋何謂DNS污染之前，大家有必要首先理解一下互聯(lián)網(wǎng)的一個(gè)基本原理，即“網(wǎng)址（也叫域名）”與“IP地址”之間的關(guān)系。

打個(gè)比方，互聯(lián)網(wǎng)就好比一個(gè)巨大的城市，一個(gè)個(gè)網(wǎng)站就好比城市里的一棟棟大樓。當(dāng)我們上網(wǎng)的時(shí)候，向?yàn)g覽器里輸入的“網(wǎng)址”其實(shí)只不過是大樓的名稱，而每一個(gè)網(wǎng)址對應(yīng)的IP地址（比如1.1.1.1這種）才是網(wǎng)站真正的“物理坐標(biāo)”。



很顯然對于用戶來說，由文字構(gòu)成的網(wǎng)址是清楚好記的，而“坐標(biāo)（IP地址）”則是沒幾個(gè)人能記得住的。而此時(shí)就需要一個(gè)特別的“中間商”出場了，這就是DNS（Domain Name Server，域名服務(wù)器）。

當(dāng)我們在瀏覽器里輸入網(wǎng)址時(shí)，瀏覽器并不是直接連接到目標(biāo)網(wǎng)站，而是需要先連接到DNS，由DNS將網(wǎng)址“翻譯”成IP地址，然后瀏覽器才能根據(jù)這個(gè)IP地址找到正確的網(wǎng)站服務(wù)器，從而完成整個(gè)網(wǎng)頁的下載、渲染和顯示過程。



如此一來問題就出現(xiàn)了，對于大部分瀏覽器和操作系統(tǒng)來說，從瀏覽器發(fā)出網(wǎng)址請求到DNS，中間的這段通信是完全沒有加密的明文傳輸。因此也就意味著對于運(yùn)營商，甚至有時(shí)候是對于某些局域網(wǎng)上級服務(wù)器來說，他們很容易就能“窺探”到用戶想要訪問的是什么網(wǎng)站。

程度輕一點(diǎn)的就偷偷做個(gè)記錄，從而形成你個(gè)人網(wǎng)站訪問歷史的“大數(shù)據(jù)”，賣給那些廣告服務(wù)商；程度重的，就是直接“攔截”掉原本發(fā)給DNS的網(wǎng)址信息，然后故意返回錯(cuò)誤的、或者是摻雜了“私貨”的IP地址信息。這樣一來，文章開頭的輸入A網(wǎng)址卻訪問到B網(wǎng)頁，或是在網(wǎng)頁上無端出現(xiàn)和網(wǎng)址內(nèi)容不相干的彈窗廣告的現(xiàn)象，就這樣實(shí)現(xiàn)了。

火狐打頭，蘋果大舉跟進(jìn)，加密DNS成為共識

知道了DNS劫持現(xiàn)象的基本原理，對于它的防范手段其實(shí)也就呼之欲出了。沒錯(cuò)，只要把從本機(jī)到DNS之間的信息傳輸改成高度加密的格式，讓中途經(jīng)過的服務(wù)器無法嗅探，劫持自然也就不可能進(jìn)行。

正因?yàn)槿绱?，早在?shù)年前，硅谷的一眾技術(shù)巨頭就開始進(jìn)行加密DNS通信的技術(shù)探索。簡單來說，只要消費(fèi)者使用的瀏覽器以及遠(yuǎn)端的DNS服務(wù)器兩邊都能支持加密傳輸，就可以很簡單地做到網(wǎng)址和IP地址信息的密文發(fā)送。而隨著像Cloudflare DNS與Google DNS這樣的知名DNS服務(wù)商，在近年來相繼宣布了對DNS加密的支持，普通用戶也終于迎來了DNS安全傳輸?shù)臅r(shí)代。



火狐瀏覽器的DNS加密功能內(nèi)置了與之配套的DNS服務(wù)

最早做出響應(yīng)的是一向在技術(shù)上表現(xiàn)激進(jìn)的Firefox（火狐）瀏覽器，早在2019年9月，其就已經(jīng)宣布將全線支持DNS加密傳輸技術(shù)。通過瀏覽器內(nèi)默認(rèn)打開的DNS加密選項(xiàng)，以及內(nèi)置支持加密傳輸?shù)腃loudflare DNS，火狐為用戶提供了一個(gè)便利的、防止DNS被劫持的手段。

不過火狐雖然“先進(jìn)”，但它客觀上的確沒有很高的市場份額，因此這就意味著無論是對于推動加密DNS產(chǎn)業(yè)普及，還是對于震懾DNS劫持者來說，光靠他們一家的努力是肯定不夠的。好在，作為和Mozilla共同推進(jìn)DNS加密的“戰(zhàn)友”之一，蘋果總算在近日出手了，而且陣仗還真不小。



根據(jù)此次WWDC上公布的信息顯示，iOS 14與macOS Big Sur（也就是macOS 11.0）將會同時(shí)加入對DNS加密功能的支持。這種支持并不是簡單地增加一個(gè)用戶可選的功能開關(guān)，而是在整個(gè)系統(tǒng)層面上引入了各種與DNS加密相關(guān)的特性。



首先，新系統(tǒng)將會實(shí)現(xiàn)對DNS加密通信的全局支持，這意味著原則上所有的流量默認(rèn)都會經(jīng)過加密DNS服務(wù)器進(jìn)行通信，所有通過這一新版系統(tǒng)傳出的DNS請求，都可以避免遭到DNS劫持或污染。體現(xiàn)在用戶的實(shí)際感受上來說，首要的變化就是彈窗廣告會有所減少，其次就是部分網(wǎng)站的訪問延遲也有望大幅下降。

其次，針對某些不便于啟用全局DNS加密通信的用戶，蘋果也在最新的開發(fā)工具中為開發(fā)者提供了DNS加密相關(guān)的擴(kuò)展程序和配置文件。如此一來，在將來適配iOS14或者新macOS的軟件中，用戶也能選擇讓單個(gè)軟件（比如瀏覽器、即時(shí)通訊工具、網(wǎng)盤）啟用加密DNS功能，從而防止特定的個(gè)人信息遭到泄露。



不僅如此，從蘋果方面公布的一份系統(tǒng)截圖來看，新的iOS系統(tǒng)甚至?xí)詣訖z測加密DNS服務(wù)器的可用性。如果用戶當(dāng)前所連接到的網(wǎng)絡(luò)惡意屏蔽了對加密DNS服務(wù)器的連接，則系統(tǒng)會自動彈出警告，并告知使用者存在信息泄露的風(fēng)險(xiǎn)。

微軟投身加密陣營，DNS劫持或?qū)⒊蔀闅v史

很顯然，相比于“人微言輕”的Mozilla，蘋果對于DNS加密的高調(diào)表態(tài)和強(qiáng)硬支持，不僅起到了對一般大眾強(qiáng)力科普這一業(yè)界新共識的目的，同時(shí)它也刺激了更多廠商和操作系統(tǒng)加入到支持DNS加密，保護(hù)用戶隱私的這場“戰(zhàn)役”中來。



要想在最新的Windows 10測試版中開啟DNS加密，需要手動修改注冊表

比如說就在2020年5月13日，微軟也正式確認(rèn)，已經(jīng)在最新的Windows 10 Insider測試版中集成了DNS加密功能的開關(guān)。與蘋果的做法一樣，微軟對于DNS加密的支持同樣是在系統(tǒng)全局層面上來實(shí)現(xiàn)的。也就是說，只要你通過修改注冊表鍵值的方式打開了Windows 10的DNS加密功能，那么所有此系統(tǒng)上的聯(lián)網(wǎng)數(shù)據(jù)都會得到DNS加密機(jī)制的保護(hù)。



很顯然，考慮到微軟如今在民用操作系統(tǒng)市場中的體量，Windows 10（雖然目前還只是測試版）對于DNS加密技術(shù)的支持從某種程度上真正意味著保護(hù)瀏覽記錄不被運(yùn)營商竊取、保護(hù)網(wǎng)頁內(nèi)容不被廣告主篡改，已然成為了整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)如今共同行動起來的重要目標(biāo)。

對于消費(fèi)者來說，這顯然意味著我們未來的互聯(lián)網(wǎng)瀏覽體驗(yàn)將有望變得更安全、更清爽。而對于依賴于傳統(tǒng)明文DNS進(jìn)行商業(yè)牟利或是其他特殊目的的一些人來說，他們的好日子或許也就真的走到頭了。