早前微软更新 Windows 10 测试版带来DoH的支持 , 该功能旨在通过加密DNS查询确保隐私安全。传统的 DNS 域名解析系统还是35年前设计的,因此随着互联网的发展这种传统的基础架构已不太适应安全需求。
当用户访问任何网站时请求信息都会以明文形式经过运营商,因此网络运营商有能力根据查询信息窥探用户隐私。为解决这个问题业界推出DNS over HTTPS 和DNS over TLS 服务 , 加密后运营商无法再直接获得用户浏览记录。
在谷歌浏览器最新推出的Google Chrome V83稳定版中,正式推出基于HTTPS的DNS(DNS-over-HTTPS)。HTTPS上的DNS是一种有争议的互联网隐私技术,可对DNS连接进行加密并将其隐藏在常见的HTTPS流量中,从而使第三方(例如ISP)无法知晓您正在浏览的网站。
什么是DNS污染?
DNS 是 Domain Name Server 的意思,也就是域名解析服务的意思,DNS污染,又称为域名服务器缓存污染(DNS cache pollution)或者域名服务器快照侵害(DNS cache poisoning)。 DNS污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。它是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache poisoning)。
其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。DNS污染是发生在用户请求的第一步上,直接从协议上对用户的DNS请求进行干扰。
什么是 DNS-over-HTTPS (DoH)
DNS over HTTPS(DoH)是谷歌推出的加密 DNS 服务,其意义在于以加密的HTTPS协议进行DNS解析请求,避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题来达到保护用户隐私的目的。Google及Mozilla基金会正在测试这一协议,作为其提高网络安全性的努力的一部分。
谷歌也列出了通过 HTTPS 使用 DNS 的好处:
真实性:Chrome 可以验证其与预期的 DNS 服务提供商进行通信,而不是与攻击者控制的虚假服务提供商进行通信。
完整性:Chrome 浏览器可以验证从 DNS 服务提供商获得的响应未被使用同一网络的攻击者篡改,从而阻止网络钓鱼攻击。
机密性:Chrome 可以通过加密通道与 DNS 服务提供商进行通讯,这意味着攻击者可以不再依靠 DNS 来观察其他用户在共享同一连接时正在访问哪些网站,例如图书馆中的公共 WiFi。
谷歌将在接下来的几周内推出该更新,但将分阶段进行。如果读者希望立即尝试,可以通过在 Chrome 浏览器中启用“dns-over-https”标志来进行体验。
上述功能适用于 Windows、Chrome OS 和 Mac OS。但尚不清楚该功能是否适用于 Android 和 iOS 应用。
原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/6903.html
