一、HTTP/3 支持
在反向代理模式中,HTTP/3 现在已经可以直接使用,你的 mitmproxy 实例将监听 TCP 和 UDP 两种协议,自动处理所有版本的 HTTP:
$ mitmproxy --mode reverse:https://http3.is
本地代理模式和 WireGuard 模式也已支持 HTTP/3:
$ mitmproxy --mode wireguard
$ mitmproxy --mode local
我们已经在 Firefox、Chrome、各种 cURL 构建和其他客户端上成功测试 HTTP/3 支持,解决了兼容性问题。
唯一的已知限制是:Chrome 默认 不信任用户添加的证书颁发机构(CA)用于 QUIC 协议。因此,你可以通过以下方式绕过限制:
- 使用 Let’s Encrypt 等公有信任证书
- 启动 Chrome 时添加命令行参数
- 接受 Chrome 自动回退到 HTTP/2
而 Firefox 则没有这个问题。
HTTP/3 的支持始于 2022 年,由 Manuel Meitinger 和 Maximilian Hils 推动开发。如今 QUIC 和 HTTP/3 已成为网络主流协议,我们很高兴 mitmproxy 终于正式支持它了!
二、DNS 支持升级
随着 HTTPS DNS 记录和 ECH(Encrypted Client Hello)等新隐私技术的出现,mitmproxy 的 DNS 功能也迎来了升级:
2.1.支持更多 DNS 查询类型
旧版本中 mitmproxy 使用 getaddrinfo 进行 DNS 查询,该 API 仅支持 A(IPv4)和 AAAA(IPv6)记录,无法处理 HTTPS 类型等新兴记录。
现在我们基于 Rust 的 Hickory DNS 库重写了 DNS 模块,支持任意查询类型,并可自定义 DNS 服务器:
$ mitmdump --mode dns --set dns_name_servers=8.8.8.8
2.2. 可选择是否跳过 /etc/hosts
通过 dns_use_hosts_file=false,你可以让 mitmproxy 忽略系统 hosts 文件(如 Linux 的 /etc/hosts),这对透明代理重定向特别有用。
示例对比:
# 设置 hosts 映射
$ echo "192.0.2.1 mitmproxy.org" >> /etc/hosts
# 默认启用 hosts 文件
$ mitmdump --mode dns
$ dig @127.0.0.1 +short mitmproxy.org
192.0.2.1
# 忽略 hosts 文件
$ mitmdump --mode dns --set dns_use_hosts_file=false
$ dig @127.0.0.1 +short mitmproxy.org
3.161.82.13
2.3.支持 DNS-over-TCP
DNS 默认使用 UDP,但在响应太大时会自动回退到 TCP。在支持 HTTPS 和复杂记录类型的背景下,DNS-over-TCP 的支持显得尤为关键。mitmproxy 11 现已完整支持!
2.4. 移除 ECH 密钥以保证中间人代理正常
ECH(加密的 Client Hello)是一种前沿隐私技术,目的是隐藏客户端访问的目标域名。但这也影响了 mitmproxy 的证书生成流程 —— 如果握手信息被加密,mitmproxy 无法得知目标域名。
为此,mitmproxy 现在会主动从 HTTPS 记录中剥离 ECH 密钥,防止客户端加密首次握手。这样,mitmproxy 仍能获取域名并生成有效证书。
虽然这让 mitmproxy 使用起来稍复杂,但我们依然支持这些对整个互联网隐私保护非常有益的技术。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
