关于又拍云:告别DNS劫持一文读懂DoH

54次阅读

共计 2194 个字符,预计需要花费 6 分钟才能阅读完成。

如果评比一个差评服务器榜单,除去育碧高居榜首外,肯定也少不了 Nintendo Switch 让人头秃的联网服务。只管任天堂曾经架设了香港 CDN 服务器用于减速,然而更新装置的速度也没有什么大幅扭转。个别这种时候大家都会抉择更改 DNS 来进步 NS 下载速度。

DNS(域名零碎)是工作生存中很常见的名词,用户只须要在浏览器中输出一个可辨认的网址,零碎便会在很短的工夫内找到相应的 IP 地址。在解析过程中,DNS 会拜访各种名称服务器,从这些名称服务器中获取存储着的与 URL 对应的数字地址。截止到当初,DNS 曾经倒退了几十年,尽管应用宽泛,却很少引起人们对其安全性的关注。

从平安角度来看,申请传输时通常不进行任何加密,任何人都能够读取的 DNS 其实是不平安的。这意味着网络罪犯能够很容易地应用本人的服务器拦挡受害者的 DNS,将用户的申请跳转到钓鱼网站上,这些网站公布恶意软件,或在失常网站上投放大量广告吸引用户,这种行为咱们称之为 DNS 劫持。为了缩小这类状况的产生,业界专家目前在挣扎探讨基于 HTTPS 的 DNS(DoH)的可行性抉择。那么什么是通过 HTTPS 的 DNS,它能够使 Internet 更平安吗?咱们一起来看看吧。

为什么须要通过 HTTPS 的 DNS?

在日常上网中,如果用户输出无奈解析的网址(例如,因为输出谬误),则某些 Internet 提供商(ISP)会成心应用 DNS 劫持技术来提供谬误音讯。一旦 ISP 拦挡了此内容,就会将用户定向到本人的网站,在该网站宣传本人或第三方的产品。尽管这并不守法,也不会间接侵害用户,然而该类重定向仍会让用户恶感。因而,独自应用 DNS 协定并不是十分牢靠的。

而 DoH(DNS over HTTPS)即应用平安的 HTTPS 协定运行 DNS,次要目标是加强用户的安全性和隐衷性。通过应用加密的 HTTPS 连贯,第三方将不再影响或监督解析过程。因而,欺诈者将无奈查看申请的 URL 并对其进行更改。如果应用了基于 HTTPS 的 DNS,数据在传输过程中产生失落时,DoH 中的传输控制协议(TCP)会做出更快的反馈。

目前,DoH 尚未成为 Internet 上的寰球规范,大多数连贯仍依赖根本的 DNS。到目前为止,仅 Google 和 Mozilla 两家公司涉足了这一畛域。Google 现正在与局部用户一起测试该性能。此外,还有用于挪动设施的应用程序,这些应用程序也能够通过 DoH 进行网上冲浪。Android Pie 也提供了通过网络设置启用基于 HTTPS 的 DNS 选项。

通过 HTTPS 的 DNS 如何工作?

通常一些域名解析会间接从用户的客户端进行,相应的域名信息被保留在浏览器或路由器的缓存中。而期间传输的所有内容都须要通过 UDP 连贯,因为这样能够更疾速地替换信息。然而咱们都晓得,UDP 既不平安也不牢靠。应用该协定时,数据包可能会随时失落,因为没有任何机制能够保障传输的可靠性。

而 DoH 依赖于 HTTPS,因而也依赖于 TCP,一种在 Internet 上应用频率更高的协定。这样既能够对连贯进行加密,TCP 协定也能够确保残缺的数据传输。另外,应用了基于 HTTPS 的 DNS,通信始终通过 443 端口进行,并在 443 端口传输理论的网络流量(例如,拜访网站)。因而,外人无奈辨别 DNS 申请和其余通信,这也保障了更高级别的用户隐衷。

DoH 的长处和毛病

DoH 的长处是不言而喻的,该技术进步了安全性并爱护了用户隐衷。与传统的 DNS 相比,DoH 提供了加密措施。它利用 HTTPS 这种行业通用的平安协定,将 DNS 申请发往 DNS 服务器,这样运营商或第三方在整个传输过程中,只能晓得发起者和目的地,除此以外别的什么都晓得,甚至都不晓得咱们发动了 DNS 申请。

DoH 的加密措施可避免窃听或拦挡 DNS 查问,但这也会带来了一些潜在的危险。多年以来施行的一些互联网安全措施都要求 DNS 申请过程可见。例如,家长管制须要依附运营商为一些用户阻止拜访某些域名。执法部门可能心愿通过 DNS 数据来跟踪罪犯,并且许多组织都会应用平安零碎来爱护其网络,这些平安零碎也会应用 DNS 信息来阻止已知的歹意站点。引入 DoH 可能会重大影响上述这些状况。因而,目前 DoH 还处于自主配置的期间。用户须要分明谁能够看到数据,谁能够拜访数据以及在什么状况下能够拜访。

DoH 与 DoT

除了基于 HTTPS 的 DNS 外,目前还有另一种用于爱护域名零碎的技术:基于 TLS 的 DNS(DoT)。这两个协定看起来很类似,它们也都承诺了更高的用户安全性和隐衷性。然而这两项规范都是独自开发的,并且各有各的 RFC 文档。DoT 应用了平安协定 TLS,在用于 DNS 查问的用户数据报协定(UDP)的根底上增加了 TLS 加密。DoT 应用 853 端口,DoH 则应用 HTTPS 的 443 端口。

因为 DoT 具备专用端口,因而即便申请和响应自身都已加密,但具备网络可见性的任何人都能够发现来回的 DoT 流量。DoH 则相同,DNS 查问和响应在某种程度上假装在其余 HTTPS 流量中,因为它们都是从同一端口进出的。

对于 DoT 和 DoH 到底哪个更好?这个还有待商讨。不过从网络安全的角度来看,DoT 能够说是更好的。它使网络管理员可能监督和阻止 DNS 查问,这对于辨认和阻止歹意流量十分重要。另一方面,DoH 查问暗藏在惯例 HTTPS 流量中。这意味着,若不阻止所有其余的 HTTPS 流量,就很难阻止它们。

举荐浏览

最容易被盗的明码,你中了么?

聊聊 DNS 的那些小常识

正文完
 0