什么是 DoH(DNS over HTTPS)?一文读懂 iOS 开发者眼中的安全 DNS 解析

已于 2025-04-25 01:34:36 修改
阅读量984 收藏 23
点赞数 18
分类专栏: iOS Network 文章标签: ios dns DoH SQI
于 2025-04-25 01:27:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qfeung/article/details/147495796
版权

什么是 DoH(DNS over HTTPS)?一文读懂 iOS 开发者眼中的安全 DNS 解析

前言

在 iOS 网络开发中,我们常常依赖 URLSessionAFNetworking 等库来发起网络请求,而这些请求背后第一步就是域名解析(DNS Resolution)。传统的 DNS 查询是明文的,这意味着它很容易被监听、篡改甚至劫持。

而随着网络安全需求的提升,DNS over HTTPS(DoH) 正式登上舞台,逐步成为更安全、更可靠的域名解析方式。

本文将从 iOS 开发的视角,深入解析 DoH 的原理、优点、使用方式,以及在 App 中应用 DoH 的实践思路。

什么是 DoH?

DoH(DNS over HTTPS) 是一种通过 HTTPS 协议传输 DNS 查询和响应的机制,核心目标是保护 DNS 查询的隐私性与完整性。

✅ 特点:

  • 加密传输:避免被中间人嗅探 DNS 请求内容。
  • 防篡改:HTTPS 保证了内容不会被劫持或修改。
  • 更适合移动网络:在不可信网络下(如公共 Wi-Fi)尤其重要。

为什么 iOS 开发者需要关心 DoH?

在传统 DNS 模式下,系统会自动使用 Wi-Fi 或蜂窝网络配置的 DNS 服务器(通过 DHCP 获取或手动设置),而这些服务器:

  • 可能被运营商拦截或注入广告。
  • 可能遭遇 DNS 劫持(中间人返回错误 IP 地址)。
  • 查询数据是明文,用户隐私无法保障。

作为开发者,你需要保证 App 的网络请求没有被劫持准确访问目标服务器不泄露隐私信息。使用 DoH,是提升 App 网络安全性的重要手段。

DoH 工作原理概览

以下是 DoH 的基础流程:

  1. 客户端构建一个 DNS 查询(如查询 example.com 的 A 记录)。
  2. 使用 HTTPS POST 或 GET 请求将这个查询发送到 DoH 服务器(如 https://cloudflare-dns.com/dns-query)。
  3. DoH 服务器返回加密的 DNS 响应。
  4. 客户端从响应中提取 IP,发起真正的网络请求。

这整个过程完全基于 HTTPS 加密链路,在应用层完成 DNS 查询。

主流 DoH 服务提供商

以下是一些稳定可靠的 DoH 解析服务器:

服务商DoH URL
Cloudflarehttps://cloudflare-dns.com/dns-query
Googlehttps://dns.google/dns-query
Quad9https://dns.quad9.net/dns-query
AdGuardhttps://dns.adguard.com/dns-query

如何在 iOS 中使用 DoH?

iOS 并没有原生直接支持 DoH 查询的 API,因此我们可以考虑:

1. 使用 URLSession 进行 DoH 查询

你可以自己构造一个 DNS 查询包,然后以 application/dns-message 作为 Content-Type 发送 POST 请求到 DoH 服务器。如下是伪代码示意:

var request = URLRequest(url: URL(string: "https://cloudflare-dns.com/dns-query")!)
request.httpMethod = "POST"
request.addValue("application/dns-message", forHTTPHeaderField: "Content-Type")
request.httpBody = constructDNSQuery(for: "example.com")

let task = URLSession.shared.dataTask(with: request) { data, response, error in
    if let data = data {
        let ips = parseDNSResponse(data)
        // 使用解析到的 IP 发起后续请求
    }
}
task.resume()

⚠️ 注意:你需要构造和解析 DNS 数据包,这通常依赖第三方库或自行实现 DNS message 格式的编解码。

2. 使用现有开源库(推荐)

如:

实战应用场景

  1. 检测 DNS 劫持
    获取真实可信的 DoH IP 集合,与 URLSessionTaskMetrics 返回的 IP 比对,检测是否遭遇劫持。

  2. 防止中间人攻击(MitM)
    使用 DoH 查询 IP,再结合 TLS pinning 实现双重验证机制。

  3. 构建自定义 DNS 解析策略
    比如你的 App 需要绕开系统 DNS,使用 CDN 自定义调度。

DoH 与 iOS System DNS 的区别

特性iOS 系统 DNSDoH
加密性❌ 明文传输✅ HTTPS 加密
可扩展性❌ 不可控,取决于网络环境✅ 可接入任意 DoH 服务
中间人攻击防御❌ 易被监听或劫持✅ HTTPS 防止劫持
使用方便程度✅ 系统自动解析⚠️ 需开发者接入
精准性与控制力❌ 容易受 ISP 干预✅ 完全自控解析流程

附录:模拟 DoH 查询工具推荐

你可以用以下方式在线调试 DoH 请求:

curl -X POST -H 'Content-Type: application/dns-message' --data-binary @query.bin 'https://cloudflare-dns.com/dns-query'

总结

DoH 作为新一代的 DNS 解析方式,为 iOS 开发者提供了更安全、更可靠的网络基础设施。虽然接入略微复杂,但其在抵御劫持、保障隐私方面的价值不容忽视。

如果你的 App 依赖高安全级别的网络访问,或者希望在不可信网络环境下保障用户体验,DoH 将是你的不二之选。

sqi_blog_coverimage

深入解析 DNSDoHDNS over HTTPS)协议
weixin_43967758的博客
02-12 1455
DNS(Domain Name System,域名系统)是互联网的一项核心服务,用于将人类可读的域名(如)转换为计算机可识别的 IP 地址(如DNS 的主要功能是帮助用户通过易于记忆的域名访问网站,而不需要记住复杂的 IP 地址。DoHDNS over HTTPS,基于 HTTPSDNS)是一种通过 HTTPS 协议进行 DNS 查询的技术。它旨在解决传统 DNS 查询中存在的安全性和隐私问题。
doh::doughnut:DNS over HTTPs命令行客户端
02-04
:doughnut: DNS over HTTPs命令行客户端 使用 , 和 , doh命令行实用程序可以同时查找一个或多个给定域的所有三个源。 您甚至可以指定自己的自定义来源来使用。 注意:由于doh所有内容都输出为JSON,因此它可以与...
DNS over HTTPSDoH):为网络隐私与安全保驾护航
weixin_70208651的博客
04-16 753
本文将深入探讨了DNS over HTTPSDoH)技术,阐述了其定义、工作原理、相较于传统DNS的优势、与DoT等其他DNS安全技术的协同关系、实际应用场景、面临的挑战以及未来发展趋势,旨在全面展现DoH在提升网络隐私与安全方面的重要作用。DoH是一种通过HTTPS协议来执行域名解析的技术。作为一种新兴的DNS解析技术,通过HTTPS协议加密DNS查询,有效提升了网络隐私与安全。随着技术的不断发展和应用的不断推广,DoH有望在未来成为网络安全的标配,为用户带来更加安全、可靠的互联网环境。
iOS开发中, https 请求的 dns 解析阶段, 域名解析的请求地址是怎样获取的 ?
侯仕奇的博客
08-11 960
iOS 中,HTTPS 请求的 DNS 解析过程由系统自动处理,具体使用哪个 DNS 服务器地址,取决于设备的网络配置,通常是通过 DHCP 自动获取的 DNS 服务器地址。如果开发者或用户在网络设置中指定了自定义的 DNS 服务器,系统会使用该地址进行 DNS 解析
什么是DNS over HTTPS
关月的博客
08-24 8467
我们都知道域名解析系统(DNS)是因特网的核心之一,我们访问一个网站时必须通过DNS服务器才能将域名转换成IP地址。但是老旧的DNS技术一直没有重大的改进,它的数据传输没有经过加密,这导致DNS查询的数据很容易被收集、阻止和更改,我们熟悉的域名劫持就是利用了其未加密的特征。 那这个问题有没有办法解决呢?当然有,2016年, 谷歌公司启用了DNS Over HTTPS 域名安全查询服务,它提供了DNS请求的端到端验证,可以对DNS请求和响应进行加密,也就是说它可以防止用户的数据遭到泄露,那么域名劫持的问题也在
一文了解 DoHDNS-over-HTTPS)和DoT(DNS-over-TLS)
闵行小鱼塘
07-05 9516
为了防止针对DNS系统的攻击,强化域名系统的安全性,互联网诞生了4种提升DNS安全性的协议,分别是DNSSEC,DNSCrypt,DNS over TLS(DoT),DNS over HTTPSDoH)。其中DNSSEC和DNSCrypt较早出现,DoT和DoH很新,本文试图学习了解此二种DNS安全协议
启用Win11原生支持的DoH(DNS over HTTPS)和配置自定义的DoH服务
热门推荐
随便记记笔记
01-05 3万+
启用Win11原生支持的DoH,查看Win11支持的DoH服务,配置自定义的DoH服务模板
加密传输隐私增,TLS流量暗中行 - 深入解析DNS over HTTPS:提升隐私与安全的新技术...
weixin_36735953的博客
08-04 726
1. 什么是DNS over HTTPS (DoH)?DNS over HTTPS (DoH) 是一种通过HTTPS协议来执行域名解析的技术。传统的DNS请求是通过纯文本的UDP协议发送的,而DoH则将DNS查询封装在HTTPS流量中,以增强隐私和安全性。2. 为什么需要DNS over HTTPS?传统的DNS查询是明文...
启用DoH(DNS-over HTTPS)在Windows、Android、IOS平台
ittuann的博客
06-23 9545
启用DoH(DNS-over HTTPS)在Windows、Android、IOS平台。记录下主力设备 Win11、安卓、IOS、路由器、浏览器 配置 DoH(DNS-over HTTPS) 的过程设置。
Windows Server 2022 开始,DNS 客户端支持 DNS over-HTTPS (DoH)
par@ish的博客
01-19 3814
从 Windows Server 2022 开始,DNS 客户端支持 DNS over-HTTPS (DoH) 。 启用 DoH 后,Windows服务器的 DNS 客户端和 DNS 服务器之间的 DNS 查询会通过安全HTTPS 连接而不是纯 ’ 文本传递。 通过跨加密连接传递 DNS 查询,防止不受信任的第三方拦截该DNS查询。 如果Windows主 DNS 服务器或辅助 DNS 服务器位于已知 DoH 服务器列表中,则只能将 Windows 服务器客户端配置为使用 DoH。 可以将 DNS 客户端
DoT-DoH-iOS:适用于iOS的TLS上的DNSHTTPS上的DNS配置
05-09
通过在iOS设备上使用TLS上的DNS和/或HTTPS上的DNS来使用公共dns解析器(例如dns.digitale-gesellschaft.ch或cloudflare-dns.com)的设备配置配置文件。 配置文件不受保护,可以随时卸载。 如果设备受密码保护,则...
DNS-over-HTTPS:RFC 8484的实现-HTTPS上的DNS查询(DoH
05-09
使用ASP.NET 5托管您自己的DoH Web服务,该服务可以将任何DNS服务器转换为可通过DoH标准协议访问的服务器。 系统要求 需要安装 。 安装以在Microsoft IIS Web服务器上运行。 支持Windows,Linux和macOS。 下载 跨...
DNSecure:DNSecure是iOS版DoT和DoH的配置工具
05-22
iOS 14 +,iPadOS 14+和macOS 11+支持加密的DNS(例如,基于TLS的DNS(DoT)和基于HTTPSDNSDoH)),但是它们没有用于启用它的本机UI。 为了解决这个问题,创建了DNSecure。 DNSecure是DoT和DoH的配置工具。 此...
前端跨端框架的开发以及IOS和安卓的开发流程和打包上架的详细流程
爱分享的程序员
04-24 628
以下是关于 前端跨端框架开发 以及 iOS/Android 原生开发流程与上架 的详细指南,涵盖技术选型、开发工具、打包发布全流程:
iOS18 MSSBrowse闪退
c1o2c3o4的博客
04-23 457
经过断点排查发现是第三方的MSSBrowseBaseViewController.m文件里面出现的问题。最近升级了电脑系统(15.4.1),并且也升级了xcode(16.3)开发工具。之后打包公司很早之前开发的项目。涉及到的是第三方MSSBrowse,在选择图片放大的时候会出现APP卡顿及闪退问题。打开第三方MSSBrowseBaseViewController.m文件。出现这个问题,可能是 iOS 18 引入的更严格的视图层级管理规则。上线之后发现在苹果手机系统18以上,出现了闪退问题。
iOS 类与对象底层原理
最新发布
qq_73106050的博客
04-27 821
对象的isa是指向类,类其实也是一个对象,可以叫做类对象.类对象的位域3指向平果定义的元类元类是系统给的,他的定义和创建都是由编译器玩测的,这个过程中,类的归属来自于元类元类是类对象的类,每一个类都有独一无二的元类来存储类方法的相国信息元类本身是没有名字的,只是因为类与之关联,所以直接采用了类的一个名字这里我们继续用调试来观察所有的对象都是由objc_object继承过来的所有的对象,类,元类都有isa属性.以objc_object为模板创建的对象,都有isa。
关于Safari浏览器在ios<16.3版本不支持正则表达式零宽断言的解决办法
安余生的博客
04-24 538
经过排查发现是Safari浏览器在ios手机低于16.3版本的时候不支持正则表达式的零宽断言。
【axios取消请求】如何在token过期后取消未响应的请求
weixin_61241731的博客
04-24 411
我们在实际项目中通常会遇到登录过期后会跳登录页的情况,回跳过程会根据接口请求的状态码判断是否登陆状态过期,并给出用户提示,如果此时存在多个请求接口同时调用,就会同时报出多个登录过期的提示,如何避免多个提示同时报出的情况呢?那我们就需要用到取消接口请求的功能。我们基于axios提供的AbortController对象(fetch提供的原生API)来实现这一功能。
电化学-论文分享-NanoStat: An open source, fully wireless potentiostat
qq_24392469的博客
04-23 1545
本文主要分享论文NanoStat: An open source, fully wireless potentiostat,并记录学习笔记。如果有条件,建议看原文最好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

依旧风轻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值