写个原创内容,跟大伙讨论下在中国大陆使用境外 Doh(DNS over HTTPS) 服务器可能存在的问题。
从字面意思上理解, Doh 就是将原本以Udp方式传输的dns请求转为通过Https传输,那他是怎么做到的呢?
DNS over HTTPS 有一个标准,各大服务商基本都是按照这个标准搭建的服务。
首先,服务端会通过path分流到不同的处理路由。因此你可以看到,1.1.1.1 这个域名下同时存在网页服务和 Doh 服务,就是通过 /dns-query 这个path进行分流的
那怎么在这个基础之下完成参数传递呢?
按标准分为两种
1、Get方式:通过将请求参数填入querystring。
2、Post方式:在http报文的body部分填入二进制序列化后的 Dns 请求报文,这个报文格式就和传统的 Dns 报文一样。
那有没有可能通过主动嗅探的方式来知道这个服务器是不是提供 Doh 服务呢?
答案是有的,因为上文提到的标准原因,大家用的解析格式就那两三种,因此只需要一个 http 客户端嗅探指定路径就可以。
当然目前没有证据证明中国大陆方向会对进行这类嗅探,不过在之前,已经听说过很多自行搭建的 Doh 服务器被墙的说法。最好的防范方法,还是要使用类似 DDNS 工具给服务器上白名单。