打通匿名网络的最后一哩，Cloudflare推出Tor专用DNS解析器

让完全匿名浏览网页成为可能，Cloudflare为高度重视隐私的使用者推出匿名网络Tor（The Onion Router，洋葱路由器）专用的DNS解析器，这个基于洋葱网络的解析器服务，不会透漏使用者访问目标给ISP，也不容易受DNS中继站攻击，确保浏览行为从头到尾都无法被追踪。不过这个服务仍在测试阶段，Cloudflare提到，目前还不应使用在产品阶段上。

Mozilla日前公开与Cloudflare合作，未来Firefox使用者将可以选用支援DNS over HTTPS技术的可信递回解析器（Trusted Recursive Resolver，TRR），此举大幅提升了网络使用者浏览网页的安全性以及隐匿性，但是对于想要完全匿踪的使用者来说还不够，因为Mozilla提到，在查询完网域对应的IP后，客户端要连接该IP时，会发送一明码服务器名称指示，这向请求是未加密的，因此ISP仍然会知道使用者的浏览目标。

Cloudflare的Tor专用DNS解析器构建在洋葱网络之上，其扮演的角色关系到Tor匿名网络的运作概念，假设使用者想要连接Cloudflare的网站，Tor网络会先计算出到达Cloudflare服务器的路径，使用者->ISP->X->Y->Z->www.cloudflare.com，并分别以Z、Y和X节点的公钥依序加密封包，当使用者封包传送到X时，便会以X的私钥解密，X提交封包到Y时，Y会以自己的私钥解密封包，传递到最后一个节点Z时，封包会被解密为原始封包传递给Cloudflare网站服务器。

而这个过程还并不够隐匿，因为ISP会知道使用者的IP，而Z中继站也会知道使用者访问的站点，因此Tor进一步提供了洋葱服务，该服务由一群Tor节点组成，并公布编码为.onion顶级网域（TLD）的公钥，在每个节点间建立连线形成网络。使用这个技术可以让资讯提供者或是个人用户，难以被中继网络追踪。

但是在这整个连线的过程，仍然有最后一哩路存在风险，那就是网域解析，毕竟Tor网络仍然仰赖IP运作，使用者仍然需要使用DNS解析服务才能透过Tor网络浏览网页。而使用Tor网络常用的两种网域解析方法，第一种也是最一般的方法，直接向DNS服务查询IP，第二种则是请求一个Tor的出口节点，公开解析域名。

但这两种方法各有其缺点，第一种方法，当没有使用DNS over HTTPS技术，便会向DNS服务器泄漏使用者的IP，根据Mozilla说法，即使有了DNS over HTTPS技术，最少还是会对ISP泄漏访问目标。而第二种方法，理论上虽然不会泄漏个人讯息，却容易受到SSL剥离（SSL Stripping）、DNS快取毒害或是欺骗转址攻击。

Cloudflare为了解决上述Tor的DNS系统匿名缺陷，推出了基于.onion的解析器服务，简单来说，Cloudflare就是提供了一个可靠的Tor的出口节点。至于这个Tor专用DNS解析器与1.1.1.1服务不同的地方，Cloudflare提到，.onion的地址是由dns4tor再加上49个看起来随机组合的字母数字串组成，而这59个字符包含了完整的Ed25519公钥，来保护与洋葱服务间的通讯。

要使用这个功能只要让浏览器路由请求到.onion位置就行了，使用HTTP选用标头Alt-Svc可以通知浏览器资源可以被替代网络位置存取，Cloudflare表示，可以把这个功能想像成机会性加密（Opportunistic Encryption），浏览器收到一个在tor.cloudflare-dns.com上可用的.onion地址，便会试着检查替代服务是否存在相同或是更高等级的安全性。而这包括可以使用相同认证以及服务器名称连接到洋葱网络，浏览器会尽量确保使用者的浏览不离开Tor网络，而现在Firefox Nightly已经可以使用.onion位置做为替代服务。

原本使用Tor网络解析DNS，其匿名性就高于直接发送请求，解析器不只不知道使用者的IP，ISP也不会知道使用者进行域名解析，但是除非访问的目标也是一个洋葱服务，否则离开Tor网络的封包还是可能会被截获，或是受到恶意出口节点的攻击，更甚骇客还可以比较进入Tor网络前后的流量元资料，对客户端进行去匿名化的处理。

Cloudflare强调，即使使用者的客户端不支援DNS加密查询也没关系，使用.onion的解析器可以让DNS over UDP和DNS over TCP具有与DNS over HTTPS和DNS over TLS一样的安全性。另外，使用Tor网络也并非只为去匿名化，而是越多人使用匿名网络，真正需要匿名的爆料者的网络流量越能受到有效掩护，一个只有爆料者的匿名网络也不这么匿名了，因此使用Tor网络看影片也可以为整体匿名网络做出贡献。