一、DNS域名解析过程
当用户在浏览器地址栏输入域名时,DNS解析有大致十个过程:
1、浏览器先检查自身缓存中有没有被解析过的这个域名对应的ip地址,如果有,解析结束。同时域名被缓存的时间也可通过TTL属性来设置。
2、如果浏览器缓存中没有,浏览器会检查操作系统缓存中有没有对应的已解析过的结果。而操作系统也有一个域名解析的过程,即通过hosts文件来设置,如果在这里指定了一个域名对应的ip地址,那浏览器会首先使用这个ip地址。
3、如果至此还没有命中域名,才会真正地请求本地域名服务器(LDNS)来解析这个域名。
4、如果LDNS仍然没有命中,就直接跳到Root Server 域名服务器请求解析。
5、根域名服务器返回给LDNS一个所查询域的主域名服务器(gTLD Server,国际顶尖域名服务器,如.com .cn .org等)地址。
6、此时LDNS再发送请求给上一步返回的gTLD。
7、接受请求的gTLD查找并返回这个域名对应的Name Server的地址,这个Name Server就是网站注册的域名服务器。
8、Name Server根据映射关系表找到目标ip,返回给LDNS。
9、LDNS缓存这个域名和对应的ip。
10、 LDNS把解析的结果返回给用户,用户根据TTL值缓存到本地系统缓存中,域名解析过程至此结束。
缓存是DNS被劫持的根本原因,在DNS解析过程的各个缓存中均有可能被劫持。主要包括本机的hosts篡改劫持,和运营商的Local DNS劫持等。
二、DNS域名解析的问题
遇到过用户忽然无法登陆使用的问题,后来查明是因为在用户发布的内容里有一张被判定为黄图的图片,导致我们的域名被运营商封锁。还有一种情况,部分地区的用户使用我们的产品时页面上被莫名插入了广告,后来发现也是运营商搞的鬼,劫持了我们的网站数据,并私自插入了广告。这里暴露出了依赖网络运营商进行域名解析的一些问题,总结如下:
- 域名封锁。运营商可以因为各种理由封锁你的域名,导致所有请求你的网站的请求都因为无法解析域名而失败。
- 域名劫持。运营商可以根据你访问的域名进行有针对性的广告注入,有损产品的用户体验。
为了避免自己的命运被其他人操纵的局面,我们采用了HttpDns技术来绕开运营商的控制,解决这类问题。
HttpDns是一种通过Http服务器提供域名解析功能的技术,通过向Http服务器的80端口进行请求,代替传统的DNS服务器的53端口进行请求。利用这种技术,我们直接向我们信赖的Http服务器(我们自己搭建的,或是第三方提供的)询问我们要访问的域名对应的IP,而不再依赖网络运营商进行域名解析,从而解决了上面两个问题。
三、HTTPNS防止域名劫持
参考:https://www.jianshu.com/p/ab52b400b36d
Android 使用OkHttp支持HttpDNS_sbsujjbcy的博客-CSDN博客
HttpDNS是使用HTTP协议向DNS服务器的80端口进行请求,代替传统的DNS协议向DNS服务器的53端口进行请求。也就是使用Http协议去进行DNS解析请求,将服务器返回的解析结果,直接向该IP发起对应的API服务请求,代替使用域名。
域名解析请求直接发送到HTTPDNS服务器,绕过运营商Local DNS,避免域名劫持问题。
我们发送网络请求使用的是OkHttp库,可以通过OkHttpClient的setDns方法实现默认Dns的替换,代码如下:
首先继承默认的Dns,重写lookup方法:
public class HttpDns implements Dns {
// 需要进行httpdns处理转换的host列表,这里我们只对部分跟我们公司服务相关的域名
// 利用HttpDns进行解析,其他的还是用默认的域名解析方式
private CopyOnWriteArrayList<String> mHostList;
public HttpDns(List<String> hostList) {
mHostList = new CopyOnWriteArrayList<>();
mHostList.addAll(hostList);
}
@Override
public List<InetAddress> lookup(String hostname) throws UnknownHostException {
if (hostname == null) {
throw new UnknownHostException("host == null");
} else {
if (mHostList != null && mHostList.contains(hostname)) {
try {
String ipAddr = HttpDnsHelper.getInstance().getIpStrForHost(hostname);
if (!TextUtils.isEmpty(ipAddr)) {
List<InetAddress> addresses = new ArrayList<>();
addresses.add(InetAddress.getByName(ipAddr));
Log.d("httpdns", "HttpDns hint, host:" + hostname + " ip:" + ipAddr);
return addresses;
}
} catch (Exception ignored) {}
}
//未能从httpdns获取ip地址,使用系统dns获取
return SYSTEM.lookup(hostname);
}
}
}在lookup代码中,我们先判断要查找的hostname是不是在指定列表中,如果在里面,我们就通过HttpDns请求其ip地址,否则用默认的dns进行解析。HttpDns请求的过程通过函数getIpStrForHost实现,该函数如下:
private Map<String, DnsInfo> mDnsMap;
public String getIpStrForHost(String host) {
if (!TextUtils.isEmpty(host)) {
DnsInfo dnsInfo = mDnsMap.get(host);
if (dnsInfo != null && dnsInfo.isIpValid() && !dnsInfo.isExpired()) {
//如果可以获得合法的dns info,返回ip str
return dnsInfo.getIpStr();
} else {
//无法获得合法的dns info, 异步更新host对应的cache
updateCacheForHost(host);
}
}
return null;
}这里对HttpDns的结果使用了缓存机制,首先判断是否已经缓存了该host的ip地址,如果是,并且没过期,直接从缓存获取;否则重新获取并更新缓存。进行HttpDns请求并更新缓存的代码在updateCacheForHost中:
public void updateCacheForHost(final String host) {
String url = String.format("http://119.29.29.29/d?dn=%s&ttl=1", host);
Request request = new Request.Builder().url(url).build();
mOkHttpClient.newCall(request).enqueue(new Callback() {
@Override
public void onFailure(Request request, IOException e) {
Log.d("httpdns", "get ip for host(" + host + ") failed");
}
@Override
public void onResponse(Response response) throws IOException {
InputStream inputStream = response.body().byteStream();
String data = readInputStream(inputStream);
Log.d("httpdns", "get ip for host(" + host + ") success :" + data);
DnsInfo dnsInfo = parseResponseString(host, data);
if (dnsInfo != null) {
mDnsMap.put(host, dnsInfo);
}
}
});
}通过一个异步请求,发送Http请求到HttpDns服务器,返回ip地址,得到域名对应的ip地址,完成Dns过程,并更新本地缓存。
最后将这个改进后的HttpDns替换掉OkHttpClient默认的dns,完成OkHttp新dns的设置:
okHttpClient.setDns(new HttpDns(getHttpDnsHost(context)));使用OkHttp作为网络层,要支持HttpDNS是件很简单的事,完全不用修改现有的网络访问代码,直接加一个拦截器,便可透明的支持HttpDNS。使用HttpDNS有利有弊,需要权衡后使用,没必要给自己添加毫无必要的麻烦。