Hacker News 中文摘要

RSS订阅

《展示HN:运行第二个公共ODoH中继服务器》 -- Show HN: Running the second public ODoH relay

原文链接 | HN讨论 | 2026-05-15 03:04:46

文章摘要

文章介绍了通过Rust语言开发的ODoH技术,将客户端和中继功能集成在单一二进制文件中,实现无需账户的匿名DNS查询。该方案解决了传统DNS服务会暴露用户IP和查询内容的问题,相比iCloud等付费服务更具开放性和隐私性,且不依赖特定平台或账户。

文章总结

《通过单一Rust二进制实现ODoH客户端与中继——Numa的匿名DNS解决方案》

核心内容提炼:

  1. 技术背景
  • 现有DNS方案(Pi-hole/AdGuard/Unbound)均存在隐私泄露问题:运营商可获取用户IP和查询内容
  • 苹果iCloud Private Relay虽实现路径分离,但存在平台锁定和付费限制(0.99美元/月)
  • ODoH(RFC 9230)作为IETF标准协议,通过加密技术实现真正的匿名DNS查询
  1. 技术实现
  • 三层加密架构:
    • 客户端:使用目标服务器HPKE公钥加密查询,包含响应对称密钥
    • 中继服务器:仅可见IP地址和密文(双向)
    • 目标服务器(如Cloudflare):解密查询但无法获取用户IP
  • 采用HPKE加密标准(RFC 9180),复用Cloudflare开源的odoh-rs库
  • 单二进制设计:同时包含客户端/中继功能,默认配置即用(MIT许可证)
  1. 关键安全措施
  • SSRF加固的主机名验证器:严格RFC 1035 ASCII标签校验,防止云元数据泄露
  • eTLD+1运营商校验:强制中继与目标服务器分属不同组织
  • 公共中继部署:odoh-relay.numa.rs作为生态中第二个知名中继节点
  1. 现存局限
  • 目标服务器仍可见查询内容(仅解除用户关联)
  • 递归模式下目标服务器出口可能泄露信息
  • 小型中继易受流量分析攻击
  • HPKE公钥分发依赖中心化WebPKI体系
  1. 生态现状
  • DNSCrypt维护的公共中继列表仅存1个节点(截至2025年9月)
  • Numa新增第二个公共中继节点,与Fastly Compute节点形成互补
  • 提供开箱即用的Docker部署方案,鼓励更多运营商搭建中继

项目定位: Numa是面向开发者的多功能DNS解析器,集成ODoH客户端/中继、递归解析、DNSSEC验证、广告拦截等功能,支持本地.uma域名和自动TLS证书签发。

(注:删减了具体代码片段、docker-compose文件细节等过技术细节,保留核心架构和隐私保护逻辑)

评论总结

以下是评论内容的总结,平衡呈现不同观点并保留关键引用:

  1. 技术实现细节

    • 作者rdme介绍了技术方案:使用systemd单元+VPS,Caddy处理TLS,通过正则表达式严格限制主机名防止SSRF,默认拒绝同机构运营的relay+target组合,采用Cloudflare的odoh-rs实现HPKE。
      引用:"The relay is a systemd unit on a VPS... HPKE is odoh-rs from Cloudflare"
      引用:"Repo: https://github.com/razvandimescu/numa"

  2. 对ODoH实用性的质疑

    • 作者cedws质疑ODoH的实际价值,认为由于ECH(加密客户端Hello)采用率低,服务器名称仍会暴露。
      引用:"What’s the selling point of ODoH given the low uptake of ECH..."
    • 作者gigatexal提出对真正匿名DNS可能性的怀疑。
      引用:"What would it take to get truly anonymous dns? I guess it’s not really possible no?"

  3. 隐私与控制的讨论

    • 作者Bender认为关键问题在于对代理和证书的控制权,并主张自建DoH服务器以掌握DNS解析环节。
      引用:"Ultimately who owns and controls the layer-4 proxies... can easily get into turtle arguments"
      引用:"I will stick with running my own DoH servers... optimize my own cache"
    • 作者binyang_qiu肯定实际部署ODoH基础设施的意义,但询问运营公共中继的挑战。
      引用:"Pretty cool to see someone actually running public ODoH infra..."

  4. 其他疑问与功能建议

    • 作者skinfaxi对私有TLD的最终目标表示疑惑,担心其演变为加密货币相关项目。
      引用:"What is the end-game for the private TLD? Is this going to turn into some cryptocurrency thing?"
    • 作者dontfeedthemac期待该方案成为Technetium的零配置替代品,并建议集成Tailscale和服务发现功能。
      引用:"seems like a truly zero conf alternative to technetium... any future integration planned with tailscale?"

  5. 非技术性评论

    • 作者piuvas询问图表制作工具。
      引用:"anyone know how the diagram was made? pretty cool."

总结呈现了技术细节、隐私争议、控制权讨论和功能建议等多角度观点,未评分评论的认可度需结合上下文判断。