6

多年来,我习惯于/etc/hosts调整 IP 地址。有时它是用于原型设计,或为开发目的添加尚未准备好进入公共 DNS 的地址。有时我会阻止某些我不想访问的域,方法是将它们重定向到不正确的 IP 地址。有些是侵入性跟踪网站,例如connect.facebook.net. 作为反拖延措施,我一直屏蔽其他一些网站,例如新闻网站,politico.com否则我可能会在我打算工作的时候花一整天时间阅读这些网站。

但是现在在 macOS 11 Big Sur 上,我注意到一些/etc/hosts条目被 Safari 忽略了。正确显示阻止/覆盖地址的DNS 查找gethostbyname(),但 Safari 仍然显示公共站点。

到底是怎么回事?/etc/hosts在进行开发工作时,发生了什么变化,我可以继续使用它来覆盖 DNS 条目吗?

4

1 回答 1

15

macOS 11 增加了对官方称为“通过 DNS(DNS SVCB 和 HTTPSSV)的服务绑定和参数规范”的支持</a>。

现在,当您访问一个网站时,不仅会查阅典型的 DNSA主机到 IP 地址记录,还会检查全新的HTTPSDNS 记录。这不仅仅是一个名称条目;这是一种全新的记录类型(#65),与更熟悉的Aand CNAMEand一起使用MX

这些新的HTTPSDNS 记录可以表明该站点支持 HTTPS,包括协议版本和 IP 地址。这样,输入一个裸域名https://就可以立即给出网站的版本,甚至可能是在 HTTP/2 或 HTTP/3 上,跳过老式的 HTTP 重定向。域运营商甚至还有一个草案选项,可以告诉您的计算机绕过任何本地 DNS 设置,并使用特定服务器来处理涉及其域的所有未来 DNS 查询。

这里有许多支持性能的意图,也有一些支持隐私的意图。

但是在规范和实现中都存在一个致命的隐私和安全缺陷:它消除了用户覆盖域名查找的能力/etc/hosts,即使面对积极的恶意域名运营商也是如此

要查看它是如何工作的:

  • macOS 自带的那个版本dig并没有直接支持这些新记录,但是你可以看看它们是否存在

    $ dig -t type65 www.politico.com
…
;; QUESTION SECTION:
;www.politico.com.      IN  TYPE65

;; ANSWER SECTION:
www.politico.com.   53806   IN  CNAME   www.politico.com.cdn.cloudflare.net.
www.politico.com.cdn.cloudflare.net. 300 IN TYPE65 \# 58 0001000001000302683200040008681210CA681211CA000600202606 47000000000000000000681210CA2606470000000000000000006812 11CA
…

  • 我不知道如何解析它,但是如果我对它进行数据包捕获,wireshark 会

    Domain Name System (response)
    Queries
        www.politico.com.cdn.cloudflare.net: type HTTPS, class IN
    Answers
        www.politico.com.cdn.cloudflare.net: type HTTPS, class IN
            Name: www.politico.com.cdn.cloudflare.net
            Type: HTTPS (HTTPS Specific Service Endpoints) (65)
            Class: IN (0x0001)
            Time to live: 300 (5 minutes)
            Data length: 58
            SvcPriority: 1
            TargetName: <Root>
            SvcParams
                SvcParam: ALPN
                    SvcParamKey: ALPN (1)
                    SvcParamValue length: 3
                    ALPN length: 2
                    ALPN: h2
                SvcParam: IPv4 Hint
                    SvcParamKey: IPv4 Hint (4)
                    SvcParamValue length: 8
                    IP: 104.18.16.202
                    IP: 104.18.17.202
                SvcParam: IPv6 Hint
                    SvcParamKey: IPv6 Hint (6)
                    SvcParamValue length: 32
                    IP: 2606:4700::6812:10ca
                    IP: 2606:4700::6812:11ca

这就是正在发生的事情:

  1. Big Sur 上的 Safari 可以加载您已阻止的一些网站/etc/hosts,因为它会从这些新HTTPS记录中获取它们的 IP 地址
  2. 它只能对某些站点执行此操作,因为大多数域名运营商尚未设置此设置。看起来 Cloudflare 已经为他们平台上的每个人做到了这一点;幸运的是,大多数域名运营商,包括广告/跟踪/恶意软件巨头,还没有意识到这一点。

目前,您可以继续使用/etc/hosts您完全控制的域名。

同时,对于其他域,您有一些选择:

  • 您可以在家庭网络上运行本地 DNS 服务器或防火墙来阻止这些请求
  • 你可以在你的 Mac 上配置一个本地 DNS 解析器守护进程,并用它来阻止这些请求
  • 您可以切换到 Linux 发行版,其中可配置的本地解析程序守护程序是默认设置
  • 您可以停止使用 Safari,尽管使用默认 macOS 网络堆栈的其他应用程序可能会继续默默地绕过/etc/hosts

Chrome 已经为此进行了一些试验,但似乎还没有实现它。Firefox 已经开始实施它,但似乎并没有走得太远。

于 2021-01-30T19:42:18.267 回答