ios如何解除dns被劫持_iOS强制ATS后,DNS劫持问题如何解决?
之前苹果强制app上传AppStore必须支持ATS,截至日期是2017年01月01日,但是由于各种原因,导致deadline延期.具体什么时候苹果会强制ATS,官方暂时还没有给出明确答复.
支持Https后,一般情况下只会给域名添加证书.导致app所有的http请求都会走域名,这样就会有DNS劫持的风险.无论wifi网络下,还是移动网络根据域名都会去DNS服务解析成ip,然后进行访问.由于国内网络环境的原因,都会有DNS劫持的情况,一般会在访问网页的时候,在页面上嵌入一段js代码,甚至有些情况会出现DNS解析失败.尤其是用户达到一定规模,各种网络状况都会出现.
这里用移动设备举例,如果是wifi网络,一般用户是不会修改网络设置的DNS. 很有可能用户网络环境由于种种原因,会造成无法访问http服务.ATS之前的解决方案是可以直接使用ip地址,一般app都会有这样一个逻辑,从服务器获取DNS Config,这里面一般配置了domain,ip,protocol,port等属性,App的请求可以根据DNS Config进行动态调整.但是支持ATS后天,苹果设置必须支持https.这样一旦使用域名的http服务,都会有可能遇到DNS劫持的情况.
由于IP不一定能够长期保持,所以一般不会给ip地址配证书.一旦苹果强制支持ATS,那么就存在DNS劫持的风险.
dig命令查询DNS解析,下面是解析百度的域名
dig www.baidu.com
; <<>> DiG 9.8.3-P1 <<>> www.baidu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 5
;; QUESTION SECTION:
;www.baidu.com.INA
;; ANSWER SECTION:
www.baidu.com.380INCNAMEwww.a.shifen.com.
www.a.shifen.com.134INA119.75.218.70
www.a.shifen.com.134INA119.75.217.109
;; AUTHORITY SECTION:
a.shifen.com.194INNSns3.a.shifen.com.
a.shifen.com.194INNSns5.a.shifen.com.
a.shifen.com.194INNSns4.a.shifen.com.
a.shifen.com.194INNSns2.a.shifen.com.
a.shifen.com.194INNSns1.a.shifen.com.
;; ADDITIONAL SECTION:
ns4.a.shifen.com.49INA115.239.210.176
ns2.a.shifen.com.580INA180.149.133.241
ns5.a.shifen.com.580INA119.75.222.17
ns1.a.shifen.com.580INA61.135.165.224
ns3.a.shifen.com.238INA61.135.162.215
;; Query time: 6 msec
;; SERVER: 172.17.16.3#53(172.17.16.3)
;; WHEN: Tue Feb 21 12:25:06 2017
;; MSG SIZE rcvd: 260
浏览器直接输入这两个ip:119.75.218.70,119.75.217.109,可以直接访问百度.如果前面加上https://119.75.218.70,进行访问,由于没有证书会显示不安全的链接.但是跳过之后还是能够正常访问.我用ios设备测试,底层调用https://ip可以正常访问.各种请求都没有问题.
如果正常网络环境下可以用所有的http服务尽量域名访问,每次启动app时可以向服务器获取dig出来的ip作为备用ip,一旦遇到DNS劫持的情况,虽然没有给ip配证书,但是底层可以使用ip正常访问.