超越 DoH(DNS over HTTPS):看 DNS 隐私不可信任的问题

微信扫一扫,分享到朋友圈

超越 DoH(DNS over HTTPS):看 DNS 隐私不可信任的问题

在 DNS 协议下,计算机通过向域名服务器发送 UDP 消息,请求域名相关联的 IP 地址。而具体响应请求的 DNS 服务器,通常基于本地网络的推荐确定。计算机一旦连接到网络,一般情况下会使用网络管理员建议的 DNS 服务器。

DNS 历史悠久,但一直未对 DNS 查询提供任何防护, 难以防范中间人攻击、追踪和篡改等安全隐患 。当前,人们已经意识到这个问题,并给出了多种推荐的解决方案。

DNS over TLS

显而易见,解决 DNS 查询未加密的问题,首先考虑对查询本身做加密处理。DNS 查询可以 通过TLS
而非UDP 发送,并不会影响到其它操作。我们可以使用网络推荐的域名服务器,并尽可能通过TLS 进行通信,其它操作则如常进行。

这一机制提供了一定程度上的安全和隐私性改进。处于用户计算机和DNS 服务器之间的计算机,无法干扰、记录和篡改用户的DNS 通信流。

DNS over HTTPS

类似于 DNS over TLS 等机制, DNS over HTTPS
协议试图解决同样的安全和隐私问题。该机制并不考虑在原始 TLS 中包装 DNS 查询,而是包装在 HTTPS 中。而 HTTPS 协议本身是运行于 TLS 之上的。

该机制的合理性在于,用户无需防护未知中间者,只需防护恶意的网络管理员。如果网络管理员可以选择网络中通信的 DNS 服务器,那么用户就会在毫不知情的情况下被路由到某个恶意服务器。实话讲,根本无法相信咖啡店的 Wi-Fi 会有什么安全的 DNS 服务器。如果要加密的服务器并不符合你的利益,那么加密本身也起不了什么作用。

微信扫一扫,分享到朋友圈

超越 DoH(DNS over HTTPS):看 DNS 隐私不可信任的问题

华为手机内核代码的编译及刷入教程【通过魔改华为P9 Android Kernel 对抗反调试机制】

上一篇

脑洞不受年龄限制,中国火星车征名最小参与者…

下一篇

你也可能喜欢

超越 DoH(DNS over HTTPS):看 DNS 隐私不可信任的问题

长按储存图像,分享给朋友