DoH与DoT:DNS查询的隐形斗篷

DoH与DoT:DNS查询的隐形斗篷

2026年2月9日16时47分
Technical Analysis
域名解析, DoH, DoT, 网站安全, 网络协议

前言:互联网的“电话簿”与它的“公开秘密” #

我们每打开一个网站,看似简单的操作背后,都离不开一个核心服务的支撑——域名系统(DNS)。你可以将DNS比作互联网的“电话簿”,它负责将我们易于记忆的域名(如feige301.com)翻译成机器可识别的IP地址(如192.0.2.1),从而引导我们的设备找到正确的服务器。没有DNS,互联网将寸步难行。

然而,这个至关重要的“电话簿”服务,长期以来却存在一个“公开的秘密”:传统的DNS查询是未经加密的。这就好比你每次查电话号码,都要通过一张明信片发送请求,所有人都能看到你查询了什么号码,以及谁回复了你。这种明文传输的特性,使得DNS查询极易受到各种形式的监听、篡改和劫持。

在复杂的网络环境中,这种脆弱性导致了一系列困扰网站管理员和用户的难题:

  • 域名污染(Domain Pollution):恶意或非恶意的中间设备,通过篡改DNS响应,将用户导向错误的IP地址,导致网站无法访问或被劫持到钓鱼页面。
  • ISP劫持(ISP Hijacking):某些运营商或网络服务提供商,出于各种目的(如插入广告、限制访问),在DNS层面篡改用户的查询结果,影响用户体验和网站的正常运营。
  • 区域性网络封锁(Regional Network Blocking):在特定网络区域内,通过对传统DNS查询的识别和干预,阻止用户访问某些域名,造成连通性障碍。

这些问题不仅损害了用户的上网体验,也给网站运营者带来了巨大的挑战:流量无故流失、用户信任度下降、安全风险增加,甚至直接影响商业利益。在这样的背景下,寻找一种能够保护DNS查询隐私和完整性的技术方案,成为了网络安全领域的重要议题。这正是我们今天要深入探讨的DoT(DNS over TLS)和DoH(DNS over HTTPS)技术诞生的核心驱动力。它们旨在为DNS查询披上一层“隐形斗篷”,使其在复杂的网络环境中能够安全、私密地穿梭。

传统DNS:明文传输的“软肋” #

在深入了解DoT和DoH之前,我们有必要回顾一下传统的DNS工作方式。当你在浏览器中输入一个域名时,你的操作系统会首先向本地配置的DNS服务器(通常是你的路由器或网络服务提供商提供的服务器)发送一个DNS查询请求。这个请求通常使用UDP协议,通过53端口进行传输。

整个查询过程是明文的,这意味着在你的设备和DNS服务器之间的任何“中间设备”——例如你家里的路由器、你所在局域网的流量网关,甚至是某地区运营商的DPI(深度包检测)设备——都能够轻松地读取你的DNS查询内容(你访问了哪个域名)和DNS服务器的响应(这个域名对应的IP地址)。

这种明文传输的特性,虽然在互联网早期提供了高效便捷的服务,但在当今对隐私和安全日益重视的时代,却成为了一个明显的“软肋”:

  1. 隐私泄露风险:你的上网行为轨迹,通过DNS查询记录一览无余。第三方可以根据这些记录分析你的兴趣、习惯,甚至用于精准广告投放或更敏感的数据收集。
  2. 篡改与劫持威胁:由于缺乏加密和身份验证机制,恶意的“中间设备”可以轻易地拦截你的DNS查询,并返回一个伪造的IP地址。这会导致用户访问错误的网站(例如钓鱼网站),或者被重定向到非预期的页面。这就是“域名污染”和“ISP劫持”的常见技术实现方式之一。
  3. 内容过滤与审查:在某些“局部局域网环境”中,流量网关或DPI设备可以识别并过滤特定的DNS查询,从而阻止用户访问某些域名。这种基于DNS的过滤机制,是实现“区域性网络封锁”的一种有效且成本较低的手段。

对于网站管理员和运维人员而言,这意味着即使他们的网站服务器本身配置安全,也可能因为DNS层面的问题导致用户无法访问。解决这一“软肋”,成为了网络安全演进的必然趋势。

隐私与完整性的追求:DoT与DoH的崛起 #

为了应对传统DNS的这些安全与隐私挑战,互联网工程任务组(IETF)相继推出了两种加密DNS查询的新协议:DoT(DNS over TLS)和DoH(DNS over HTTPS)。它们的核心目标都是为DNS查询提供加密保护,确保查询内容不被窃听,响应结果不被篡改。

DoT(DNS over TLS):加密的直连通道 #

DoT,即DNS over TLS,顾名思义,它将DNS查询封装在TLS(传输层安全协议)之上。TLS是当前互联网上广泛用于加密通信的协议,例如我们访问HTTPS网站时,就是通过TLS来保障数据安全的。

工作原理: DoT协议将传统的DNS查询数据包(通常是UDP 53端口)放入一个TLS加密隧道中,并通过TCP 853端口进行传输。这意味着你的DNS查询不再是明文的,而是经过加密的,只有你的设备和DoT服务器能够解密并读取内容。

优点:

  • 加密保护:防止“中间设备”监听你的DNS查询内容,保护用户隐私。
  • 身份验证:TLS协议提供了服务器身份验证机制,可以确保你连接的是合法的DoT服务器,而非伪造的恶意服务器,从而有效抵御DNS劫持。
  • 数据完整性:加密同时保障了数据传输的完整性,防止DNS响应被篡改。

局限性: 尽管DoT提供了强大的安全保障,但它也有其特点:

  • 专用端口:DoT使用专用的853端口。这意味着“中间设备”仍然可以通过识别这个端口来判断正在进行的是DNS查询,即使内容被加密,它们也知道这是一次DNS请求。在某些严格的“局部局域网环境”中,如果853端口被直接阻断,DoT服务将无法使用。
  • 流量特征:虽然内容加密,但DoT的流量模式和握手过程仍可能与其他HTTPS流量有所区别,理论上仍有可能被高级的DPI设备识别并进行针对性干预。

你可以将DoT想象成一个专为电话簿查询设计的加密信封,你把查询请求装进去,通过一个私密的邮递员(TLS)送到电话局。虽然邮递员知道你在查电话簿,但不知道具体查了谁,也无法篡改回复。

DoH(DNS over HTTPS):隐形斗篷下的秘密通信 #

DoH,即DNS over HTTPS,是另一种更具“隐蔽性”的加密DNS查询方式。它将DNS查询封装在标准的HTTPS(超文本传输安全协议)请求中,并通过TCP 443端口进行传输。

工作原理: DoH巧妙地将DNS查询伪装成普通的网页浏览请求。当你的设备发起一个DoH查询时,它实际上是向一个支持DoH的HTTPS服务器发送一个HTTPS GET或POST请求,而这个请求的URL或请求体中包含了DNS查询的信息。服务器收到请求后,解析出DNS查询,执行解析,然后将结果封装在HTTPS响应中返回。

**核心优势:**混淆与隐蔽

  • 与普通HTTPS流量无异:这是DoH最核心的优势。由于它使用与网页浏览相同的HTTPS协议和443端口,其流量特征与普通的HTTPS网页流量几乎无法区分。对于“中间设备”而言,很难判断这到底是一个普通的网页请求,还是一个包含DNS查询的特殊请求。
  • 规避DPI检测:传统的DPI设备通常通过识别端口号和协议特征来对流量进行分类和过滤。DoH的这种“伪装”能力,使得它能够有效规避依赖这些特征的DPI检测和过滤,从而绕过基于DNS的“区域性网络封锁”和“域名污染”。
  • 增强隐私性:与DoT一样,DoH也提供了端到端的加密保护和身份验证,确保了DNS查询的隐私性和完整性。

局限性:

  • 性能开销:由于DoH需要建立完整的HTTPS连接,相对于传统的UDP DNS查询,其连接建立和数据传输的开销略大。
  • 集中化风险:DoH的普及可能导致DNS解析服务向少数大型提供商(如Cloudflare、Google)集中,这可能引发关于中心化、单点故障和这些提供商隐私政策的担忧。

DoH就像是把你的电话簿查询请求藏在一封普通的加密邮件里,通过日常的电子邮件系统发送。收件人(DoH服务器)知道这是邮件,但不知道里面藏着电话簿查询。而那些“中间设备”甚至都无法分辨这封加密邮件是普通邮件还是电话簿查询邮件,因为它看起来就是普通的加密流量。这正是DoH“隐形斗篷”的精髓所在。

深入剖析DoH:如何穿透“中间设备”的视线 #

DoH之所以能够成为“隐形斗篷”,关键在于它对现有网络协议的巧妙利用和对流量模式的深度融合。让我们更具体地分析DoH如何穿透“中间设备”的视线。

传统的DNS查询流量,无论是基于UDP还是TCP,都具有非常明显的特征:

  1. 端口特征:主要使用53端口。DPI设备可以通过简单地识别端口号来判断流量类型。
  2. 协议特征:DNS协议本身的报文结构相对固定和简单,DPI设备可以通过解析报文头来确认其DNS性质。

当“中间设备”或“流量网关”想要对DNS流量进行干预时,它们通常会采取以下策略:

  • 端口阻断:直接屏蔽53端口的UDP/TCP流量。
  • 报文篡改:拦截53端口的DNS请求,修改响应IP地址。
  • DPI识别与过滤:通过深度包检测技术,识别DNS报文,并根据预设规则进行过滤或阻断。

然而,DoH的出现打破了这些传统的干预手段。

DoH如何规避传统DPI检测?

  1. 端口混淆:DoH将DNS查询封装在HTTPS流量中,并使用标准的443端口。443端口是互联网上最常用的加密网页浏览端口。DPI设备几乎不可能直接阻断443端口,因为这将导致绝大多数网站无法访问,造成大范围的网络故障。
  2. 协议伪装:DoH查询在网络层面上看起来就是一次普通的HTTPS请求。它遵循TLS握手过程,交换加密证书,然后传输加密的应用层数据。DPI设备在没有TLS解密密钥的情况下,无法查看HTTPS隧道内部传输的具体内容。这意味着DPI设备无法直接识别出“DNS查询”这个应用层协议。
  3. 流量模式融合:由于DoH的流量特征与普通HTTPS流量高度相似,它能够“隐藏”在海量的加密网页浏览流量之中。对于DPI设备而言,要区分一个DoH请求和一个访问google.com的HTTPS请求,变得极其困难。除非DPI设备能够执行非常复杂的流量模式分析,或者进行中间人攻击(这需要安装信任证书,且技术难度和法律风险极高),否则很难对其进行有效识别和干预。

对“中间设备”的影响

DoH的广泛应用,对依赖传统DNS进行流量管理和内容过滤的“中间设备”带来了深远影响:

  • 失去DNS层面的控制力:传统的DNS劫持、污染和过滤手段将失效。网络管理员或“某地区运营商”将无法通过控制DNS解析来强制用户访问特定内容或阻止访问某些域名。
  • DPI设备的挑战:为了应对DoH,DPI设备需要投入更复杂的算法和算力,进行更深层次的流量分析,例如TLS指纹识别、行为模式分析等。但这增加了成本,且效果仍有限。
  • 管理复杂性增加:对于需要进行网络内容过滤(例如企业内部的安全策略、学校的上网管理)的环境,DoH的普及使得基于DNS的策略变得无效,必须寻求其他更复杂、更昂贵的解决方案,如部署SSL/TLS检测代理。

简而言之,DoH通过将DNS查询“融入”到主流的HTTPS流量中,有效地为DNS查询穿上了“隐形斗篷”,使其能够在大流量的加密数据中不被轻易察觉和干预,从而大大提升了用户隐私和对抗DNS劫持与污染的能力。

案例分析:Firefox默认开启DoH争议背后的技术博弈 #

DoH技术并非一帆风顺地被接纳,其推广过程中曾引发了广泛的技术讨论和争议,其中最具代表性的莫过于Mozilla Firefox浏览器默认启用DoH的事件。这个案例生动地展示了DoH在提升用户隐私和网络自由度的同时,也对传统网络管理模式带来的冲击。

事件背景:Mozilla的隐私雄心 #

Mozilla基金会作为Firefox浏览器的开发者,一直以捍卫用户隐私和开放网络为己任。在看到传统DNS的诸多安全和隐私漏洞后,Mozilla决定采取激进措施,在浏览器层面直接启用DoH,以保护用户的DNS查询不被监听和篡改。

2019年,Mozilla宣布在美国地区率先在其Firefox浏览器中默认开启DoH功能,并将Cloudflare作为默认的DoH解析服务提供商。这一举动旨在让用户的DNS查询不再通过本地ISP的DNS服务器,而是直接通过加密隧道发送到Cloudflare等第三方DoH服务商。

技术实现与影响 #

Firefox默认开启DoH,意味着用户设备上的DNS查询流程发生了根本性改变:

  1. 绕过本地DNS解析:传统的DNS查询会首先发送到操作系统配置的DNS服务器,这通常是本地路由器或ISP提供的DNS。启用DoH后,Firefox会直接向预设的DoH服务器(如Cloudflare的1.1.1.1)发起HTTPS请求。
  2. 加密传输:所有的DNS查询内容都被封装在HTTPS协议中,通过标准的443端口传输。这意味着“中间设备”无法再像以前那样轻易地识别和修改DNS查询。
  3. 提升隐私与抗劫持能力:用户访问的网站域名不再对本地网络运营商可见,有效防止了DNS层面的监听和劫持。

这一技术转变,直接触及了“某地区运营商”和ISP在网络控制方面的核心利益。

ISP(网络服务提供商)的反对与技术考量 #

Firefox默认开启DoH的举动,立即引发了全球范围内,特别是美国ISP的强烈反对。他们的反对并非完全基于恶意,而是出于对自身网络管理和商业模式的冲击,这其中蕴含着深刻的技术考量:

  1. 网络可见性丧失

    • 家长控制与企业过滤:许多ISP提供基于DNS的家长控制服务,或者企业会部署内部DNS进行内容过滤。DoH绕过了这些本地DNS,使得这些服务和策略失效。
    • 网络管理与故障排查:ISP通常利用DNS查询日志来诊断网络问题、识别恶意流量(如僵尸网络活动)或进行流量优化。DoH的加密特性使得这些网络管理工具的有效性大打折扣。
    • 流量分析与商业模式:部分ISP也会利用DNS数据进行用户行为分析,从而优化服务或用于商业目的。DoH的普及直接影响了这部分数据的获取。

  2. DNS服务集中化风险

    • ISP担忧,如果所有用户都将DNS查询导向少数几个大型DoH提供商(如Cloudflare、Google),可能会导致DNS解析服务的过度集中。这可能带来新的单点故障风险,一旦这些大型服务商出现问题,将影响大量用户的网络访问。
    • 此外,这种集中化也引发了对这些大型DoH服务商隐私政策的担忧,即将用户隐私从ISP转移到了另一个大型科技公司。

  3. 绕过“中间设备”的过滤机制

    • 在某些“局部局域网环境”或“特定网络区域”中,可能存在通过“中间设备”或“流量网关”实现的特定内容过滤或访问限制。这些机制往往依赖于对DNS查询的识别和干预。DoH的“隐形斗篷”使得这些基于DNS的过滤手段变得无效,给这些环境的网络管理带来了挑战。

技术后果与启示 #

Firefox DoH争议事件,从技术层面揭示了以下几个重要后果和启示:

  • DNS控制权的转移:DoH将DNS解析的控制权从本地网络运营商转移到了用户选择的DoH服务提供商。这增强了用户的隐私和反审查能力,但也削弱了本地网络管理者通过DNS进行干预的能力。
  • DPI的局限性:事件凸显了传统DPI设备在应对加密流量时的局限性。当流量被有效加密并混淆后,DPI要进行有效识别和干预变得异常困难。
  • 推动网络协议演进:这场争议加速了对DoH/DoT等加密DNS协议的认识和采纳,促使更多浏览器、操作系统和网络设备开始支持这些技术,推动了互联网的隐私和安全水平。
  • 多方利益的博弈:技术发展往往伴随着多方利益的博弈。用户、浏览器厂商、ISP、内容提供商等各方在隐私、安全、商业利益和网络管理之间寻求平衡。

总结而言,Firefox默认开启DoH事件是一次重要的技术实践,它以实际行动证明了DoH在对抗DNS污染、ISP劫持和区域性封锁方面的强大潜力,同时也引发了业界对网络中心化、管理权转移等深层次问题的思考。它清晰地表明,通过将DNS查询伪装成HTTPS流量,能够有效提升网络连通性的优化,为用户提供更安全、更私密的上网体验。

超越DNS解析:构建全面的网络连通性优化策略 #

通过DoT和DoH技术,我们为DNS查询穿上了“隐形斗篷”,有效解决了域名污染、ISP劫持等DNS层面的问题,提升了用户的隐私和访问的可靠性。然而,一个健壮的网络连通性优化策略,并不仅仅止步于DNS解析的安全。

想象一下,你通过DoH成功地解析到了目标网站的正确IP地址,但如果这个IP地址本身在“特定网络区域”被直接阻断,或者网站内容因为某些“中间设备”的DPI过滤而无法正常加载,甚至你的业务需要根据用户区域、网络状况动态地将用户引导到不同的服务器,DoH/DoT就无法直接解决这些问题。

这时,我们就需要更高级、更智能的流量调度和反劫持技术来构建全面的解决方案。这正是像“飞鸽跳转(Feige301.com)”这样的专业域名跳转服务商所发挥作用的领域。

DoH/DoT与高级域名跳转服务的互补性:

  1. DoH/DoT:保障“第一跳”的准确与安全 DoH和DoT确保了用户设备能够安全、私密地获取到网站的真实IP地址,防止在DNS解析阶段被劫持或污染。这是用户能够正确访问网站的“第一步”,也是至关重要的一步。如果连这一步都无法保证,后续的连接优化都无从谈起。

  2. 飞鸽跳转:优化“后续路由”与“最终抵达” 即便DoH/DoT确保了DNS解析的准确性,但在复杂的网络环境下,用户从解析到的IP地址到最终内容服务器的连接路径上,仍可能面临诸多挑战:

    • IP层面封锁:某些IP地址可能在“局部局域网环境”中被直接阻断。
    • 内容过滤:即使连接成功,DPI设备可能对传输内容进行深度检测,导致部分内容无法显示。
    • 动态路由需求:对于高并发商业站点、数字娱乐平台等业务,可能需要根据用户的地理位置、运营商线路、网络拥堵情况等因素,智能地将用户重定向到最优的服务器节点,以提供最佳访问体验。
    • 域名变更与迁移:业务发展过程中,域名可能需要变更,或需要从一个域名平滑过渡到另一个域名,同时要确保老用户的访问不受影响。

“飞鸽跳转”提供的专业域名跳转服务,正是为了解决这些“第一跳”之后的问题。它通过:

  • 智能路由跳转:根据预设规则或实时网络状况,将用户请求智能地重定向到可用的、最优的服务器IP或CDN节点,有效规避IP层面的封锁和路由问题。
  • 反劫持链路优化:通过多重跳转链路设计和隐藏真实目标地址等技术,增加劫持的难度和成本,提高流量的抗劫持能力。
  • 全球网络覆盖:利用分布式节点,确保无论用户身处何种“特定网络区域”,都能找到一条稳定可靠的跳转路径。
  • 高可用性与弹性:即使部分跳转节点出现问题,也能迅速切换到其他备用路径,确保服务持续在线。

因此,DoH/DoT与像“飞鸽跳转”这样的高级域名跳转服务并非相互替代,而是相互补充,共同构建了一个更加健壮、安全和高效的网络连通性优化体系。DoH/DoT为用户提供了安全可靠的“导航图”,而“飞鸽跳转”则为用户铺设了一条条“高速公路”,确保他们能够顺利、快速地抵达目的地,无论沿途遇到何种网络挑战。

结语:在技术博弈中求得网络韧性 #

DoH与DoT的出现,无疑是互联网安全与隐私领域的一次重要突破。它们将DNS查询这一长期以来的“明文传输”转变为“加密传输”,并特别是DoH,通过将DNS伪装成HTTPS流量,巧妙地绕过了许多依赖传统DNS进行干预的“中间设备”和“流量网关”。这不仅赋予了用户更强的隐私保护,也为网站运营者提供了对抗域名污染和ISP劫持的有力武器。

Firefox默认开启DoH的案例,清晰地展示了这项技术在实际应用中带来的颠覆性影响——它改变了传统网络管理者的角色和能力,并将更多的控制权交还给用户。这场技术博弈,促使我们重新思考网络架构、隐私边界以及各方在数字生态系统中的责任。

然而,网络世界是一个不断演进的战场。加密DNS解决了“导航图”的安全问题,但“道路”本身的复杂性依然存在。在“特定网络区域”的挑战、动态的业务需求和持续演进的DPI技术面前,单一的技术解决方案往往力有不逮。

因此,构建一个真正具备韧性的网络连通性优化策略,需要多层次、多维度的技术组合。这包括但不限于:采用DoH/DoT来保障DNS查询的私密性和完整性;利用CDN服务来加速内容分发和抵抗DDoS攻击;以及部署像“飞鸽跳转”这样专业的域名跳转服务,以提供智能、弹性且抗干扰的流量调度能力,确保用户无论身处何地,都能稳定、高效地访问到所需内容。

作为网络安全工程师,我们的使命是不断探索和应用最前沿的技术,为用户和企业构建一个更加安全、开放和可靠的数字环境。DoH与DoT,正是这场持续技术演进中的一道亮丽风景线,它们为我们提供了更强大的“隐形斗篷”,助力我们在复杂多变的网络世界中,守护每一份数字连接的自由与安全。

附录 #

案例引用 #

Firefox默认开启DoH争议(遭ISP反对)

  • 事件概述:2019年,Mozilla基金会宣布其Firefox浏览器在美国地区默认启用DoH(DNS over HTTPS)功能,并选择Cloudflare作为默认的DoH解析服务提供商。这意味着Firefox用户在进行DNS查询时,不再通过本地ISP的DNS服务器,而是直接通过加密的HTTPS隧道将查询发送到Cloudflare的DoH服务器。
  • 反对声音:此举立即遭到了美国多家ISP(网络服务提供商)的强烈反对。他们认为此举剥夺了ISP对网络流量的可见性,影响了其提供的家长控制、企业内容过滤等增值服务,也给网络故障排查和管理带来了困难。此外,一些批评者还表达了对DNS解析服务过度集中于少数大型科技公司的担忧。
  • 技术影响:从技术层面看,Firefox默认启用DoH,有效规避了传统基于DNS的劫持、污染和过滤手段。由于DoH流量与普通HTTPS网页流量特征一致,使得“中间设备”难以识别和干预DNS查询,从而提升了用户隐私和对抗审查的能力。但同时也削弱了本地网络运营商通过DNS层面进行网络管理和内容过滤的有效性。
  • 结果:尽管遭到反对,Mozilla仍坚持推行DoH,并在后续逐步向其他地区推广。此事件深刻影响了互联网行业对加密DNS的认知和采纳,推动了DoH/DoT技术在全球范围内的普及,并引发了关于网络控制权、用户隐私和网络中立性等议题的广泛讨论。

名词解释 #

  • DoH (DNS over HTTPS):一种将DNS(域名系统)查询封装在HTTPS(超文本传输安全协议)流量中的协议。它使用标准的443端口,与普通网页浏览流量混合在一起,从而使得DNS查询难以被“中间设备”识别、监听或篡改,增强了用户隐私和抗劫持能力。
  • DoT (DNS over TLS):一种将DNS(域名系统)查询封装在TLS(传输层安全协议)加密隧道中的协议。它使用专用的853端口,提供加密和身份验证,保护DNS查询的隐私和完整性。相较于DoH,其流量特征更容易被识别为DNS查询。
  • DNS (Domain Name System):域名系统,互联网的基础服务之一。它负责将人类可读的域名(如example.com)解析成机器可识别的IP地址(如192.0.2.1)。
  • HTTPS (Hypertext Transfer Protocol Secure):超文本传输安全协议,是HTTP的安全版本。它通过TLS/SSL协议对通信进行加密,用于在客户端和服务器之间建立安全的通信通道,确保数据传输的隐私性和完整性。
  • TLS (Transport Layer Security):传输层安全协议,是SSL(安全套接层)的后继者。它是一种加密协议,用于在计算机网络上提供通信安全,广泛应用于HTTPS、电子邮件和VoIP等应用中。
  • ISP (Internet Service Provider):互联网服务提供商,指提供互联网接入服务的公司或组织,例如电信运营商。
  • DPI (Deep Packet Inspection):深度包检测,一种高级的网络数据包过滤技术。它不仅检查数据包的头部信息,还会分析数据包的有效负载(内容),以识别特定的协议、应用程序或内容,从而进行更精细的流量管理、内容过滤或安全检测。
  • 域名污染 (Domain Pollution):指DNS解析结果被篡改,导致用户访问特定域名时被导向错误的IP地址,从而无法访问目标网站或被重定向到恶意网站。
  • ISP劫持 (ISP Hijacking):指网络服务提供商或其他“中间设备”未经用户许可,通过篡改DNS解析结果、重定向HTTP请求等方式,干预用户的网络访问行为,例如插入广告、阻止访问特定网站或将用户导向非预期页面。
  • 中间设备 (Middlebox):泛指位于客户端和服务器之间,对网络流量进行处理、转发或修改的设备,例如路由器、防火墙、负载均衡器、DPI设备等。
  • 流量网关 (Traffic Gateway):特指在网络中充当流量入口或出口的设备,负责对进出网络的流量进行管理、路由、过滤和监控。