HTTP相关:DNS防止劫持

当用户在浏览器地址栏输入域名时,DNS解析有大致十个过程:

1、浏览器先检查自身缓存中有没有被解析过的这个域名对应的ip地址,如果有,解析结束。同时域名被缓存的时间也可通过TTL属性来设置。

2、如果浏览器缓存中没有,浏览器会检查操作系统缓存中有没有对应的已解析过的结果。而操作系统也有一个域名解析的过程,即通过hosts文件来设置,如果在这里指定了一个域名对应的ip地址,那浏览器会首先使用这个ip地址。

3、如果至此还没有命中域名,才会真正地请求本地域名服务器(LDNS)来解析这个域名。

4、如果LDNS仍然没有命中,就直接跳到Root Server 域名服务器请求解析。

5、根域名服务器返回给LDNS一个所查询域的主域名服务器(gTLD Server,国际顶尖域名服务器,如.com .cn .org等)地址。

6、此时LDNS再发送请求给上一步返回的gTLD。

7、接受请求的gTLD查找并返回这个域名对应的Name Server的地址,这个Name Server就是网站注册的域名服务器。

8、Name Server根据映射关系表找到目标ip,返回给LDNS。

9、LDNS缓存这个域名和对应的ip。

10、 LDNS把解析的结果返回给用户,用户根据TTL值缓存到本地系统缓存中,域名解析过程至此结束。

缓存是DNS被劫持的根本原因,在DNS解析过程的各个缓存中均有可能被劫持。主要包括本机的hosts篡改劫持,和运营商的Local DNS劫持等。

遇到过用户忽然无法登陆使用的问题,后来查明是因为在用户发布的内容里有一张被判定为黄图的图片,导致我们的域名被运营商封锁。还有一种情况,部分地区的用户使用我们的产品时页面上被莫名插入了广告,后来发现也是运营商搞的鬼,劫持了我们的网站数据,并私自插入了广告。这里暴露出了依赖网络运营商进行域名解析的一些问题,总结如下:

为了避免自己的命运被其他人操纵的局面,我们采用了HttpDns技术来绕开运营商的控制,解决这类问题。

HttpDns是一种通过Http服务器提供域名解析功能的技术,通过向Http服务器的80端口进行请求,代替传统的DNS服务器的53端口进行请求。利用这种技术,我们直接向我们信赖的Http服务器(我们自己搭建的,或是第三方提供的)询问我们要访问的域名对应的IP,而不再依赖网络运营商进行域名解析,从而解决了上面两个问题。

HttpDNS是使用HTTP协议向DNS服务器的80端口进行请求,代替传统的DNS协议向DNS服务器的53端口进行请求。也就是使用Http协议去进行DNS解析请求,将服务器返回的解析结果,直接向该IP发起对应的API服务请求,代替使用域名。

域名解析请求直接发送到HTTPDNS服务器,绕过运营商Local DNS,避免域名劫持问题。

我们发送网络请求使用的是OkHttp库,可以通过OkHttpClient的setDns方法实现默认Dns的替换,代码如下:
首先继承默认的Dns,重写lookup方法:

public class HttpDns implements Dns { // 需要进行httpdns处理转换的host列表,这里我们只对部分跟我们公司服务相关的域名 // 利用HttpDns进行解析,其他的还是用默认的域名解析方式 private CopyOnWriteArrayList<String> mHostList; public HttpDns(List<String> hostList) { mHostList = new CopyOnWriteArrayList<>(); mHostList.addAll(hostList); } @Override public List<InetAddress> lookup(String hostname) throws UnknownHostException { if (hostname == null) { throw new UnknownHostException("host == null"); } else { if (mHostList != null && mHostList.contains(hostname)) { try { String ipAddr = HttpDnsHelper.getInstance().getIpStrForHost(hostname); if (!TextUtils.isEmpty(ipAddr)) { List<InetAddress> addresses = new ArrayList<>(); addresses.add(InetAddress.getByName(ipAddr)); Log.d("httpdns", "HttpDns hint, host:" + hostname + " ip:" + ipAddr); return addresses; } } catch (Exception ignored) {} } //未能从httpdns获取ip地址,使用系统dns获取 return SYSTEM.lookup(hostname); } } }

在lookup代码中,我们先判断要查找的hostname是不是在指定列表中,如果在里面,我们就通过HttpDns请求其ip地址,否则用默认的dns进行解析。HttpDns请求的过程通过函数getIpStrForHost实现,该函数如下:

private Map<String, DnsInfo> mDnsMap; public String getIpStrForHost(String host) { if (!TextUtils.isEmpty(host)) { DnsInfo dnsInfo = mDnsMap.get(host); if (dnsInfo != null && dnsInfo.isIpValid() && !dnsInfo.isExpired()) { //如果可以获得合法的dns info,返回ip str return dnsInfo.getIpStr(); } else { //无法获得合法的dns info, 异步更新host对应的cache updateCacheForHost(host); } } return null; }

这里对HttpDns的结果使用了缓存机制,首先判断是否已经缓存了该host的ip地址,如果是,并且没过期,直接从缓存获取;否则重新获取并更新缓存。进行HttpDns请求并更新缓存的代码在updateCacheForHost中:

public void updateCacheForHost(final String host) { String url = String.format("http://119.29.29.29/d?dn=%s&ttl=1", host); Request request = new Request.Builder().url(url).build(); mOkHttpClient.newCall(request).enqueue(new Callback() { @Override public void onFailure(Request request, IOException e) { Log.d("httpdns", "get ip for host(" + host + ") failed"); } @Override public void onResponse(Response response) throws IOException { InputStream inputStream = response.body().byteStream(); String data = readInputStream(inputStream); Log.d("httpdns", "get ip for host(" + host + ") success :" + data); DnsInfo dnsInfo = parseResponseString(host, data); if (dnsInfo != null) { mDnsMap.put(host, dnsInfo); } } }); }

通过一个异步请求,发送Http请求到HttpDns服务器,返回ip地址,得到域名对应的ip地址,完成Dns过程,并更新本地缓存。

最后将这个改进后的HttpDns替换掉OkHttpClient默认的dns,完成OkHttp新dns的设置:

okHttpClient.setDns(new HttpDns(getHttpDnsHost(context)));

使用OkHttp作为网络层,要支持HttpDNS是件很简单的事,完全不用修改现有的网络访问代码,直接加一个拦截器,便可透明的支持HttpDNS。使用HttpDNS有利有弊,需要权衡后使用,没必要给自己添加毫无必要的麻烦。

原文链接:https://blog.csdn.net/cpcpcp123/article/details/126120907?ops_request_misc=&request_id=d89bd289ac8a44d9922c587a8a843643&biz_id=&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~koosearch~default-9-126120907-null-null.268%5Ev1%5Econtrol&utm_term=dns%E9%98%B2%E6%8A%A4

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20776

(0)
上一篇 2023年8月31日
下一篇 2023年8月31日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml