46
超越 DoH(DNS over HTTPS):看 DNS 隐私不可信任的问题
source link: https://www.infoq.cn/article/wv0hF0ODjyAiezGa0ruL
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
在 DNS 协议下,计算机通过向域名服务器发送 UDP 消息,请求域名相关联的 IP 地址。而具体响应请求的 DNS 服务器,通常基于本地网络的推荐确定。计算机一旦连接到网络,一般情况下会使用网络管理员建议的 DNS 服务器。
DNS 历史悠久,但一直未对 DNS 查询提供任何防护, 难以防范中间人攻击、追踪和篡改等安全隐患 。当前,人们已经意识到这个问题,并给出了多种推荐的解决方案。
DNS over TLS
显而易见,解决 DNS 查询未加密的问题,首先考虑对查询本身做加密处理。DNS 查询可以 通过TLS 而非UDP 发送,并不会影响到其它操作。我们可以使用网络推荐的域名服务器,并尽可能通过TLS 进行通信,其它操作则如常进行。
这一机制提供了一定程度上的安全和隐私性改进。处于用户计算机和DNS 服务器之间的计算机,无法干扰、记录和篡改用户的DNS 通信流。
DNS over HTTPS
类似于 DNS over TLS 等机制, DNS over HTTPS 协议试图解决同样的安全和隐私问题。该机制并不考虑在原始 TLS 中包装 DNS 查询,而是包装在 HTTPS 中。而 HTTPS 协议本身是运行于 TLS 之上的。
该机制的合理性在于,用户无需防护未知中间者,只需防护恶意的网络管理员。如果网络管理员可以选择网络中通信的 DNS 服务器,那么用户就会在毫不知情的情况下被路由到某个恶意服务器。实话讲,根本无法相信咖啡店的 Wi-Fi 会有什么安全的 DNS 服务器。如果要加密的服务器并不符合你的利益,那么加密本身也起不了什么作用。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK