从零构建DoH客户端：C/C++实战解析与核心代码剖析

1. DoH协议基础与开发环境搭建

DNS-over-HTTPS（DoH）本质上是通过HTTPS隧道传输DNS查询的技术方案。想象一下传统DNS就像用明信片寄送通信地址——所有路过的人都能看到内容。而DoH则是把地址信息装进防拆信封（HTTPS）再寄出，既保证了隐私又维持了通信效率。

开发环境建议使用Linux系统（Ubuntu 20.04+）或WSL2环境，需要准备以下工具链：

• GCC 9.0+或Clang 12.0+编译器
• OpenSSL 1.1.1+开发库
• cURL 7.64+开发库
• CMake 3.12+构建工具

安装依赖的命令示例：

# Ubuntu环境 sudo apt install build-essential libssl-dev libcurl4-openssl-dev cmake

关键数据结构dnsentry的设计体现了DNS响应的典型特征：

struct dnsentry { unsigned int ttl; // 缓存有效期 int numv4; // IPv4地址数量 unsigned int v4addr[MAX_ADDR]; // IPv4地址数组 struct addr6 v6addr[MAX_ADDR]; // IPv6地址结构体 struct cnamestore cname[MAX_ADDR]; // CNAME记录存储 };

2. HTTP/HTTPS通信层实现

DoH客户端核心是建立安全的HTTPS通道。这里我们使用libcurl处理底层网络通信，重点在于正确设置HTTP头和处理DNS消息格式：

CURL *curl = curl_easy_init(); curl_easy_setopt(curl, CURLOPT_URL, "https://cloudflare-dns.com/dns-query"); curl_easy_setopt(curl, CURLOPT_POSTFIELDS, dns_request); curl_easy_setopt(curl, CURLOPT_POSTFIELDSIZE, dns_len); // 关键头设置 struct curl_slist *headers = NULL; headers = curl_slist_append(headers, "Content-Type: application/dns-message"); headers = curl_slist_append(headers, "Accept: application/dns-message"); curl_easy_setopt(curl, CURLOPT_HTTPHEADER, headers);

实测中遇到的坑：

1. 必须启用SSL证书验证（CURLOPT_SSL_VERIFYPEER）
2. 超时设置建议不超过3秒（CURLOPT_TIMEOUT）
3. 启用HTTP/2能提升20%以上的查询速度

3. DNS消息编码解码实战

doh_encode函数实现了DNS查询报文的构造过程。以查询example.com的A记录为例：

unsigned char buffer[512]; size_t len = doh_encode("example.com", DNS_TYPE_A, buffer, sizeof(buffer));

编码过程关键步骤：

1. 头部设置（16bit ID + 标志位）
2. 问题部分构建（QNAME压缩处理）
3. 查询类型（A/AAAA/CNAME等）

解码时特别要注意store_cname函数对CNAME链的处理：

DOHcode store_cname(unsigned char *doh, size_t dohlen, unsigned int index, struct dnsentry *d) { struct cnamestore *c = &d->cname[d->numcname++]; unsigned int loop = 128; // 防循环引用 while(loop--) { if(index >= dohlen) return DOH_DNS_OUT_OF_RANGE; unsigned char length = doh[index]; // 处理指针压缩 if((length & 0xc0) == 0xc0) { index = (length & 0x3f) << 8 | doh[index+1]; continue; } // 处理标签数据... } }

4. 错误处理与性能优化

DOHcode枚举定义了11种错误状态，实际开发中需要特别关注：

switch(rc) { case DOH_DNS_CNAME_LOOP: fprintf(stderr, "CNAME循环引用超过128次\n"); break; case DOH_DNS_BAD_RCODE: fprintf(stderr, "域名不存在(SERVFAIL/NXDOMAIN)\n"); break; case DOH_OUT_OF_MEM: fprintf(stderr, "内存分配失败\n"); break; }

性能优化技巧：

1. 连接复用：保持HTTP长连接
2. 并行查询：对A和AAAA记录同时发起请求
3. 响应缓存：根据TTL值本地缓存结果
4. 负载均衡：轮询多个DoH服务提供商

实测数据对比（100次查询平均耗时）：

5. 完整工作流程剖析

典型DoH查询的生命周期：

1. 初始化阶段

doh_init(&d); // 清空dnsentry结构 curl_global_init(CURL_GLOBAL_ALL); // 初始化libcurl

2. 查询执行

initprobe(DNS_TYPE_A, "example.com", "https://dns.google/dns-query", multi_handle, trace, headers);

3. 结果处理

for(int i=0; i<d.numv4; i++) { printf("A: %d.%d.%d.%d\n", d.v4addr[i]>>24, (d.v4addr[i]>>16) & 0xff, (d.v4addr[i]>>8) & 0xff, d.v4addr[i] & 0xff); }

调试技巧：启用CURLOPT_VERBOSE可以输出详细的HTTPS交互日志，这对排查SSL握手问题特别有用。

6. 安全增强实践

生产环境必须考虑的安全措施：

1. 证书钉扎（Certificate Pinning）

curl_easy_setopt(curl, CURLOPT_PINNEDPUBLICKEY, "sha256//YOUR_PUBLIC_KEY_HASH");

2. DNSSEC验证

// 在rdata函数中验证RRSIG记录 if(type == DNS_TYPE_RRSIG) { verify_dnssec(doh, index, rdlength); }

3. 请求混淆（Oblivious DoH）

// 使用中间代理隐藏真实查询 char *proxy_url = "https://odoh-proxy.example.org"; curl_easy_setopt(curl, CURLOPT_PROXY, proxy_url);

在实现过程中，发现Cloudflare的DoH端点对Edns0客户端子网扩展支持最好，而Google DNS的响应速度更稳定。实际项目中可以根据网络状况动态切换服务端点。