V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
karonl
V2EX  ›  DNS

腾讯的 GSLB 新思路 HttpDNS 已经实现可用

  •  
  •   karonl · 2015-04-17 19:54:19 +08:00 · 20233 次点击
    这是一个创建于 3500 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚刚看到dnspod有个D+新功能,其实也是之前@Livid 分享的一篇文章的思路的具体实现。有兴趣的可以看看。

    思路说明
    http://mp.weixin.qq.com/s?__biz=MzA3ODgyNzcwMw==&mid=201837080&idx=1&sn=b2a152b84df1c7dbd294ea66037cf262&scene=2&from=timeline&isappinstalled=0#rd

    接入文档
    https://www.dnspod.cn/httpdns/guide

    DEMO
    https://www.dnspod.cn/httpdns/demo

    33 条回复    2016-08-19 11:43:37 +08:00
    liujiantao
        1
    liujiantao  
       2015-04-17 20:07:44 +08:00 via Android
    只期待cloudxns也有,真心觉得dnspod越来越垃圾了。
    wy315700
        2
    wy315700  
       2015-04-17 20:12:52 +08:00
    @liujiantao 我想知道你有多少解析量,怎么看出是不是垃圾的。。
    ledzep2
        3
    ledzep2  
       2015-04-17 20:25:01 +08:00
    结果还是自己定了个协议
    clino
        4
    clino  
       2015-04-17 20:33:19 +08:00
    可以弄成本地的dns的上游?
    chinadns是不是可以支持这个捏

    不过这个不能防劫持哈,除非弄成https?不过开销又会更大一些哈
    wy315700
        5
    wy315700  
       2015-04-17 20:37:06 +08:00
    @clino IP访问不能做HTTPS,https证书无法签名给IP
    sneezry
        6
    sneezry  
       2015-04-17 20:38:23 +08:00
    GPU
        7
    GPU  
       2015-04-17 20:48:36 +08:00
    @sneezry 土耳其IP。 。 哈。
    liujiantao
        8
    liujiantao  
       2015-04-17 20:57:30 +08:00 via Android
    @wy315700 我指的什么线路解析这些,都没xns多,都得付费使用
    wy315700
        9
    wy315700  
       2015-04-17 21:26:40 +08:00
    @liujiantao

    要的是稳定和解析速度,

    如果是企业,付费是必须的,免费服务用的都不放心。

    如果线路多,付费服务还靠谱一点。。。
    sumhat
        10
    sumhat  
       2015-04-17 21:27:40 +08:00
    说白了就是腾讯嫌弃运营商的 DNS 解析,自己搭了一个 DNS 服务器,但这和文中的方案2 “绕过自动分配DNS,使用114dns或Google public DNS”,没有本质的差别。
    9hills
        11
    9hills  
       2015-04-17 21:30:52 +08:00 via iPad
    记得这个思路刚发出来的时候,很多人说TCP无法做anycast,被打脸了
    mawenjian
        12
    mawenjian  
       2015-04-17 22:37:28 +08:00 via iPhone
    不一定是anycast,感觉更像做了个dns代理,把请求再发回所属isp
    tobyxdd
        13
    tobyxdd  
       2015-04-17 22:39:39 +08:00
    没什么意义 ISP能劫持DNS就不能劫持HTTP?
    lhbc
        14
    lhbc  
       2015-04-17 22:40:50 +08:00
    @wy315700 可以的
    curl -H "host:httpdns.dnspod.cn" https://1.1.1.1
    以上的IP和host是随便编的,主要是为了说明做https技术上是毫无问题的
    zhicheng
        15
    zhicheng  
       2015-04-17 22:55:54 +08:00 via Android
    又见这个无聊东西,折腾了半天哥用一个301就能完美解决的问题。
    wy315700
        16
    wy315700  
       2015-04-17 22:56:32 +08:00
    @lhbc
    只能自签名了,,,强行签名给IP。。。。。

    $ curl -H "host:www.dnspod.cn" https://183.60.57.155
    curl: (60) SSL certificate problem: Invalid certificate chain
    More details here: http://curl.haxx.se/docs/sslcerts.html

    curl performs SSL certificate verification by default, using a "bundle"
    of Certificate Authority (CA) public keys (CA certs). If the default
    bundle file isn't adequate, you can specify an alternate file
    using the --cacert option.
    If this HTTPS server uses a certificate signed by a CA represented in
    the bundle, the certificate verification probably failed due to a
    problem with the certificate (it might be expired, or the name might
    not match the domain name in the URL).
    If you'd like to turn off curl's verification of the certificate, use
    the -k (or --insecure) option.
    acfunny
        17
    acfunny  
       2015-04-17 23:11:19 +08:00 via Android
    现在就缺个Python的HttpDNS库了 :D
    lhbc
        18
    lhbc  
       2015-04-17 23:15:22 +08:00
    @wy315700 不用自签的
    honeycomb
        19
    honeycomb  
       2015-04-18 01:23:03 +08:00   ❤️ 1
    httpDNS会导致通过修改hosts去广告的方法失效
    freewizard
        20
    freewizard  
       2015-04-18 05:54:13 +08:00
    dnspod的图例用的是qq.com的域名?另外那个企业版本的加密协议看起来好像除了避免明文传输之外好像并不能完全避免域名劫持。
    clino
        21
    clino  
       2015-04-18 08:12:09 +08:00
    @honeycomb 这个方法只能修改客户端吧,像浏览器这种不是腾讯自己维护客户端的情况应该就不适用了哈
    invite
        22
    invite  
       2015-04-18 10:12:00 +08:00
    @honeycomb 只要不通过调用操作系统接口方式获取的域名和IP对应信息的,都会让hosts无效。谁都能自己定义一套协议。
    so898
        23
    so898  
       2015-04-18 14:09:20 +08:00
    通过HTTP的方法来维护本地HOST文件,应该就是这么回事吧
    so898
        24
    so898  
       2015-04-18 14:45:02 +08:00
    仔细看了一下文章,发现HttpDNS这种方法,如果要配上SSL加密防止数据劫持的话,就只有两个选择:
    1. IP SSL
    2. 维护本地Host
    3. 自建加密通讯协议

    我现在还没看到iOS上维护本地Host的方法,那么如果要做移动端软件的话,IP SSL不可避免,但这货的价格……

    IP SSL:https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates
    tSQghkfhTtQt9mtd
        25
    tSQghkfhTtQt9mtd  
       2015-04-18 16:25:13 +08:00
    @liujiantao
    @CloudXNS httpdns在内测中,北京那边开发的,他们在内测,之后才会和武汉的一起联调二次测试
    这个很快会推出了,还需要小等一阵
    CloudXNS
        26
    CloudXNS  
       2015-04-18 16:36:58 +08:00 via Android
    @liujiantao 感谢您的支持,这个会有哒~

    @liwanglin12 你了解得真清楚。。。。😂
    CloudXNS
        27
    CloudXNS  
       2015-04-18 16:38:41 +08:00 via Android
    @wy315700 可以付费使用,根据您的定制要求和北京快网销售联系即可。
    liujiantao
        28
    liujiantao  
       2015-04-18 17:45:25 +08:00
    @liwanglin12 怎么感觉这ID好熟
    honeycomb
        29
    honeycomb  
       2015-04-19 01:21:59 +08:00
    @invite HTTPsDNS会让这个事情变得很方便
    holinhot
        30
    holinhot  
       2015-04-19 10:03:59 +08:00
    @wy315700 证书可以签名给ip吧
    wkl17
        32
    wkl17  
       2016-08-19 09:56:33 +08:00
    @zhicheng 你如何能保证用户能准确无干扰地访问到你 301 定向前的网址? 难道你的网站只用 IP 访问 不用域名访问? 否则此话何解?
    zhicheng
        33
    zhicheng  
       2016-08-19 11:43:37 +08:00   ❤️ 1
    @wkl17 如果 ISP 都敢冒着被劫持站无法打开的风险去劫持,那你是基于什么理由认为 ISP 不会劫持 HttpDNS ?在你眼里 ISP 是无法劫持 TCP 还是无法劫持 HTTP ?

    当然,你可以用 HttpsDNS ,但你猜一下你的首屏时间会增加多少?更别说你这里还是递归解析。

    之所以你们现在觉得 HttpDNS 管用无非以下两点

    1, 量太少 ISP 根本不知道,或者选择无视。
    2, 使用的大多是 App 的接口,对 ISP 来说没有什么经济价值。

    典型的幸存者偏差。我丝毫不怀疑过几年还会有人 “发明” 出 “无法劫持的” FtpDNS 等先进技术。另外说真的,你们把 IP 地址写死在 App 里是在闷声捉大死。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2740 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 14:50 · PVG 22:50 · LAX 06:50 · JFK 09:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.