在DNS協議下,計算機通過向域名服務器發送UDP消息,請求域名相關聯的IP地址。而具體響應請求的DNS服務器,通常基於本地網絡的推薦確定。計算機一旦連接到網絡,一般情況下會使用網絡管理員建議的DNS服務器。
DNS歷史悠久,但一直未對DNS查詢提供任何防護, 難以防範中間人攻擊、追蹤和篡改等安全隱患 。當前,人們已經意識到這個問題,並給出了多種推薦的解決方案。
DNS over TLS
顯而易見,解決DNS查詢未加密的問題,首先考慮對查詢本身做加密處理。DNS查詢可以 通過TLS而非UDP發送,並不會影響到其它操作。我們可以使用網絡推薦的域名服務器,並儘可能通過TLS進行通信,其它操作則如常進行。
這一機制提供了一定程度上的安全和隱私性改進。處於用戶計算機和DNS服務器之間的計算機,無法干擾、記錄和篡改用戶的DNS通信流。
DNS over HTTPS
類似於DNS over TLS等機制, DNS over HTTPS協議試圖解決同樣的安全和隱私問題。該機制並不考慮在原始TLS中包裝DNS查詢,而是包裝在HTTPS中。而HTTPS協議本身是運行於TLS之上的。
該機制的合理性在於,用戶無需防護未知中間者,只需防護惡意的網絡管理員。如果網絡管理員可以選擇網絡中通信的DNS服務器,那麼用戶就會在毫不知情的情況下被路由到某個惡意服務器。實話講,根本無法相信咖啡店的 Wi-Fi會有什麼安全的 DNS服務器。如果要加密的服務器並不符合你的利益,那麼加密本身也起不了什麼作用。
原文鏈接:【https://www.infoq.cn/article/wv0hF0ODjyAiezGa0ruL】。未經作者許可,禁止轉載。