蘋果與微軟加碼DNS加密，小廣告的好日子到頭了

編者按：本文來(lái)自微信公眾號(hào)“三易生活”（ID:IT-3eLife），作者 三易菌，36氪經(jīng)授權(quán)發(fā)布。

大家平時(shí)在上網(wǎng)的時(shí)候，可能都有過(guò)類似這樣的經(jīng)歷。剛剛才在A網(wǎng)站里看過(guò)的東西，沒(méi)過(guò)多久就出現(xiàn)在了B網(wǎng)站與C網(wǎng)站的廣告推送內(nèi)容里；明明自己在瀏覽器的網(wǎng)址欄里輸入的是G搜索引擎，結(jié)果打開(kāi)的卻是B搜索引擎；又或者是在遠(yuǎn)程辦公及觀看網(wǎng)課內(nèi)容時(shí)，網(wǎng)頁(yè)卻突然出現(xiàn)了運(yùn)營(yíng)商優(yōu)惠促銷信息的彈窗。

現(xiàn)在的人可能都沒(méi)見(jiàn)識(shí)過(guò)這一神奇的景象了

造成以上這些現(xiàn)象的原因其實(shí)不止一條，它可能源自某些帶有不端行為的“安全軟件”（比如我們?nèi)咨顖?bào)道過(guò)的Avast），也可能是你的電腦已經(jīng)被黑客綁架成為“肉雞”的征兆。但對(duì)于大多數(shù)情況而言，造成以上現(xiàn)象的原因是一種名為“DNS劫持”的網(wǎng)絡(luò)破壞行為。

互聯(lián)網(wǎng)的基本原理，讓DNS劫持猖獗不已

在解釋何謂DNS污染之前，大家有必要首先理解一下互聯(lián)網(wǎng)的一個(gè)基本原理，即“網(wǎng)址（也叫域名）”與“IP地址”之間的關(guān)系。

打個(gè)比方，互聯(lián)網(wǎng)就好比一個(gè)巨大的城市，一個(gè)個(gè)網(wǎng)站就好比城市里的一棟棟大樓。當(dāng)我們上網(wǎng)的時(shí)候，向?yàn)g覽器里輸入的“網(wǎng)址”其實(shí)只不過(guò)是大樓的名稱，而每一個(gè)網(wǎng)址對(duì)應(yīng)的IP地址（比如1.1.1.1這種）才是網(wǎng)站真正的“物理坐標(biāo)”。



很顯然對(duì)于用戶來(lái)說(shuō)，由文字構(gòu)成的網(wǎng)址是清楚好記的，而“坐標(biāo)（IP地址）”則是沒(méi)幾個(gè)人能記得住的。而此時(shí)就需要一個(gè)特別的“中間商”出場(chǎng)了，這就是DNS（Domain Name Server，域名服務(wù)器）。

當(dāng)我們?cè)跒g覽器里輸入網(wǎng)址時(shí)，瀏覽器并不是直接連接到目標(biāo)網(wǎng)站，而是需要先連接到DNS，由DNS將網(wǎng)址“翻譯”成IP地址，然后瀏覽器才能根據(jù)這個(gè)IP地址找到正確的網(wǎng)站服務(wù)器，從而完成整個(gè)網(wǎng)頁(yè)的下載、渲染和顯示過(guò)程。



如此一來(lái)問(wèn)題就出現(xiàn)了，對(duì)于大部分瀏覽器和操作系統(tǒng)來(lái)說(shuō)，從瀏覽器發(fā)出網(wǎng)址請(qǐng)求到DNS，中間的這段通信是完全沒(méi)有加密的明文傳輸。因此也就意味著對(duì)于運(yùn)營(yíng)商，甚至有時(shí)候是對(duì)于某些局域網(wǎng)上級(jí)服務(wù)器來(lái)說(shuō)，他們很容易就能“窺探”到用戶想要訪問(wèn)的是什么網(wǎng)站。

程度輕一點(diǎn)的就偷偷做個(gè)記錄，從而形成你個(gè)人網(wǎng)站訪問(wèn)歷史的“大數(shù)據(jù)”，賣給那些廣告服務(wù)商；程度重的，就是直接“攔截”掉原本發(fā)給DNS的網(wǎng)址信息，然后故意返回錯(cuò)誤的、或者是摻雜了“私貨”的IP地址信息。這樣一來(lái)，文章開(kāi)頭的輸入A網(wǎng)址卻訪問(wèn)到B網(wǎng)頁(yè)，或是在網(wǎng)頁(yè)上無(wú)端出現(xiàn)和網(wǎng)址內(nèi)容不相干的彈窗廣告的現(xiàn)象，就這樣實(shí)現(xiàn)了。

火狐打頭，蘋果大舉跟進(jìn)，加密DNS成為共識(shí)

知道了DNS劫持現(xiàn)象的基本原理，對(duì)于它的防范手段其實(shí)也就呼之欲出了。沒(méi)錯(cuò)，只要把從本機(jī)到DNS之間的信息傳輸改成高度加密的格式，讓中途經(jīng)過(guò)的服務(wù)器無(wú)法嗅探，劫持自然也就不可能進(jìn)行。

正因?yàn)槿绱?，早在?shù)年前，硅谷的一眾技術(shù)巨頭就開(kāi)始進(jìn)行加密DNS通信的技術(shù)探索。簡(jiǎn)單來(lái)說(shuō)，只要消費(fèi)者使用的瀏覽器以及遠(yuǎn)端的DNS服務(wù)器兩邊都能支持加密傳輸，就可以很簡(jiǎn)單地做到網(wǎng)址和IP地址信息的密文發(fā)送。而隨著像Cloudflare DNS與Google DNS這樣的知名DNS服務(wù)商，在近年來(lái)相繼宣布了對(duì)DNS加密的支持，普通用戶也終于迎來(lái)了DNS安全傳輸?shù)臅r(shí)代。



火狐瀏覽器的DNS加密功能內(nèi)置了與之配套的DNS服務(wù)

最早做出響應(yīng)的是一向在技術(shù)上表現(xiàn)激進(jìn)的Firefox（火狐）瀏覽器，早在2019年9月，其就已經(jīng)宣布將全線支持DNS加密傳輸技術(shù)。通過(guò)瀏覽器內(nèi)默認(rèn)打開(kāi)的DNS加密選項(xiàng)，以及內(nèi)置支持加密傳輸?shù)腃loudflare DNS，火狐為用戶提供了一個(gè)便利的、防止DNS被劫持的手段。

不過(guò)火狐雖然“先進(jìn)”，但它客觀上的確沒(méi)有很高的市場(chǎng)份額，因此這就意味著無(wú)論是對(duì)于推動(dòng)加密DNS產(chǎn)業(yè)普及，還是對(duì)于震懾DNS劫持者來(lái)說(shuō)，光靠他們一家的努力是肯定不夠的。好在，作為和Mozilla共同推進(jìn)DNS加密的“戰(zhàn)友”之一，蘋果總算在近日出手了，而且陣仗還真不小。



根據(jù)此次WWDC上公布的信息顯示，iOS 14與macOS Big Sur（也就是macOS 11.0）將會(huì)同時(shí)加入對(duì)DNS加密功能的支持。這種支持并不是簡(jiǎn)單地增加一個(gè)用戶可選的功能開(kāi)關(guān)，而是在整個(gè)系統(tǒng)層面上引入了各種與DNS加密相關(guān)的特性。



首先，新系統(tǒng)將會(huì)實(shí)現(xiàn)對(duì)DNS加密通信的全局支持，這意味著原則上所有的流量默認(rèn)都會(huì)經(jīng)過(guò)加密DNS服務(wù)器進(jìn)行通信，所有通過(guò)這一新版系統(tǒng)傳出的DNS請(qǐng)求，都可以避免遭到DNS劫持或污染。體現(xiàn)在用戶的實(shí)際感受上來(lái)說(shuō)，首要的變化就是彈窗廣告會(huì)有所減少，其次就是部分網(wǎng)站的訪問(wèn)延遲也有望大幅下降。

其次，針對(duì)某些不便于啟用全局DNS加密通信的用戶，蘋果也在最新的開(kāi)發(fā)工具中為開(kāi)發(fā)者提供了DNS加密相關(guān)的擴(kuò)展程序和配置文件。如此一來(lái)，在將來(lái)適配iOS14或者新macOS的軟件中，用戶也能選擇讓單個(gè)軟件（比如瀏覽器、即時(shí)通訊工具、網(wǎng)盤）啟用加密DNS功能，從而防止特定的個(gè)人信息遭到泄露。



不僅如此，從蘋果方面公布的一份系統(tǒng)截圖來(lái)看，新的iOS系統(tǒng)甚至?xí)詣?dòng)檢測(cè)加密DNS服務(wù)器的可用性。如果用戶當(dāng)前所連接到的網(wǎng)絡(luò)惡意屏蔽了對(duì)加密DNS服務(wù)器的連接，則系統(tǒng)會(huì)自動(dòng)彈出警告，并告知使用者存在信息泄露的風(fēng)險(xiǎn)。

微軟投身加密陣營(yíng)，DNS劫持或?qū)⒊蔀闅v史

很顯然，相比于“人微言輕”的Mozilla，蘋果對(duì)于DNS加密的高調(diào)表態(tài)和強(qiáng)硬支持，不僅起到了對(duì)一般大眾強(qiáng)力科普這一業(yè)界新共識(shí)的目的，同時(shí)它也刺激了更多廠商和操作系統(tǒng)加入到支持DNS加密，保護(hù)用戶隱私的這場(chǎng)“戰(zhàn)役”中來(lái)。



要想在最新的Windows 10測(cè)試版中開(kāi)啟DNS加密，需要手動(dòng)修改注冊(cè)表

比如說(shuō)就在2020年5月13日，微軟也正式確認(rèn)，已經(jīng)在最新的Windows 10 Insider測(cè)試版中集成了DNS加密功能的開(kāi)關(guān)。與蘋果的做法一樣，微軟對(duì)于DNS加密的支持同樣是在系統(tǒng)全局層面上來(lái)實(shí)現(xiàn)的。也就是說(shuō)，只要你通過(guò)修改注冊(cè)表鍵值的方式打開(kāi)了Windows 10的DNS加密功能，那么所有此系統(tǒng)上的聯(lián)網(wǎng)數(shù)據(jù)都會(huì)得到DNS加密機(jī)制的保護(hù)。



很顯然，考慮到微軟如今在民用操作系統(tǒng)市場(chǎng)中的體量，Windows 10（雖然目前還只是測(cè)試版）對(duì)于DNS加密技術(shù)的支持從某種程度上真正意味著保護(hù)瀏覽記錄不被運(yùn)營(yíng)商竊取、保護(hù)網(wǎng)頁(yè)內(nèi)容不被廣告主篡改，已然成為了整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)如今共同行動(dòng)起來(lái)的重要目標(biāo)。

對(duì)于消費(fèi)者來(lái)說(shuō)，這顯然意味著我們未來(lái)的互聯(lián)網(wǎng)瀏覽體驗(yàn)將有望變得更安全、更清爽。而對(duì)于依賴于傳統(tǒng)明文DNS進(jìn)行商業(yè)牟利或是其他特殊目的的一些人來(lái)說(shuō)，他們的好日子或許也就真的走到頭了。