HttpDNS功能说明及实现

HTTPDNS使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议，域名解析请求直接发送到阿里云的HTTPDNS服务器，从而绕过运营商的Local DNS，能够避免Local DNS造成的域名劫持问题和调度不精准问题。

HTTPDNS代替了传统的LocalDNS完成递归解析的功能，基于HTTP协议的设计可以适用于几乎所有的网络环境，同时保留了鉴权、HTTPS等更高安全性的扩展能力，避免恶意攻击劫持行为。

传统域名解析的调度精准性问题，本质根源在于Local DNS的部署和分配机制上。由于碎片化的管理方式，这些环节的服务质量同样很难得到保障。HTTPDNS在递归解析实现上优化了与权威DNS的交互，通过<a name="https://datatracker.ietf.org/doc/rfc7871">edns-client-subnet</a>协议将终端用户的IP信息直接交付给权威DNS，这样权威DNS就可以忽略Local DNS IP信息，根据终端用户的IP信息进行精准调度，避免Local DNS的坐标干扰

服务端提供API接口,app端直接通过ip地址访问,ip地址可以有多个

请求方式：HTTP GET

URL参数说明：

请求示例：

考虑到服务IP防攻击之类的安全风险，为保障服务可用性，HTTPDNS同时提供多个服务IP，当某个服务IP在异常情况下不可用时，可以使用其它服务IP进行重试。

错误码列表如下：

异常下的出错兼容逻辑,主要包括异步请求,重试,降级

异步请求

重试

降级

OkHttp默认使用系统DNS服务InetAddress进行域名解析，但同时也暴露了自定义DNS服务的接口，通过该接口我们可以优雅地使用HttpDns。

OkHttp暴露了一个Dns接口，通过实现该接口，我们可以自定义Dns服务：

创建OkHttpClient对象，传入OkHttpDns对象代替默认Dns服务：

相比于通用方案，OkHttp+HttpDns有以下两个主要优势：

基于NSURLProtocol可拦截iOS系统上基于上层网络库NSURLConnection/NSURLSession发出的网络请求；

通过以下接口注册自定义NSURLProtocol，用于拦截上层网络请求，并创建新的网络请求接管数据发送、接收、重定向等处理逻辑，将结果反馈给原始请求。

自定义NSURLProtocol处理过程概述：

IP直连可以避免localDNS解析导致的DNS劫持，但是在iOS中不仅仅是将host直接换成IP地址就可以了，还有以下需要注意的问题。

发送HTTPS请求首先要进行SSL/TLS握手，握手过程大致如下：

上述过程中，和HTTPDNS有关的是第3步，客户端需要验证服务端下发的证书，验证过程有以下两个要点：

如果上述两点都校验通过，就证明当前的服务端是可信任的，否则就是不可信任，应当中断当前连接。 当客户端使用HTTPDNS解析域名时，请求URL中的host会被替换成HTTPDNS解析出来的IP，所以在证书验证的第2步，会出现domain不匹配的情况，导致SSL/TLS握手不成功 。

针对 domain不匹配 问题，可以采用如下方案解决：hook证书校验过程中第2步，将IP直接替换成原来的域名，再执行证书验证。

方法为在客户端收到服务器的质询请求代理方法 -URLSession:task:didReceiveChallenge:completionHandler: 中，首先从header中获取host(第一点注意事项：HTTP请求头HOST字段设置)，从header中如果没有取到host，就去URL中获取host(降级为LocalDNS解析时不进行替换)，然后拿着host在自己的方法-evaluateServerTrust:forDomain:中创建SSL Policy证书校验策略，然后对证书进行校验。

SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它的工作原理如下：

在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname)，服务器根据这个域名返回一个合适的证书。

目前，大多数 *** 作系统和浏览器都已经很好地支持SNI扩展，OpenSSL 0.9.8也已经内置这一功能。

上述过程中，当客户端使用HTTPDNS解析域名时，请求URL中的host会被替换成HttpDNS解析出来的IP，导致SSL/TLS握手中服务器接收到的客户端发出的clientHello中的SNI为host解析后的IP，从而无法找到匹配的证书，只能返回默认的证书或者不返回，所以会出现SSL/TLS握手不成功的错误。

比如当你需要通过HTTPS访问CDN资源时，CDN的站点往往服务了很多的域名，所以需要通过SNI指定具体的域名证书进行通信。

SNI（单IP多HTTPS证书）场景下，iOS上层网络库 NSURLConnection/NSURLSession 没有提供接口进行 SNI 字段 配置，因此需要 Socket 层级的底层网络库例如 CFNetwork，来实现 IP 直连网络请求适配方案。苹果提供的一些指导，在 Networking Programming Topics 中，可以通过如下方式指定一个TLS hostname：

我们使用CFNetwork进行HTTP网络请求的方法，详见 [2] 。

Apple - Communicating with HTTP Servers

Apple - HTTPS Server Trust Evaluation - Server Name Failures

Apple - HTTPS Server Trust Evaluation - Trusting One Specific Certificate

[1]:HTTPS场景IP直连方案说明

[2]:使用CFNetwork进行HTTP请求

---