如果評選一個差評服務器榜單,除去育碧高居榜首外,一定也少不了 Nintendo Switch 讓人頭禿的聯網服務,盡管任天堂已經架設了香港 CDN 服務器用于加速,但是更新安裝的速度也沒有什么大幅改變,一般這種時候大家都會選擇更改 DNS 來提高 NS 下載速度,
DNS(域名系統)是作業生活中很常見的名詞,用戶只需要在瀏覽器中輸入一個可識別的網址,系統便會在很短的時間內找到相應的 IP 地址,在決議程序中,DNS 會訪問各種名稱服務器,從這些名稱服務器中獲取存盤著的與 URL 對應的數字地址,截止到現在,DNS 已經發展了幾十年,雖然使用廣泛,卻很少引起人們對其安全性的關注,
從安全角度來看,請求傳輸時通常不進行任何加密,任何人都可以讀取的 DNS 其實是不安全的,這意味著網路罪犯可以很容易地使用自己的服務器攔截受害者的 DNS,將用戶的請求跳轉到釣魚網站上,這些網站發布惡意軟體,或在正常網站上投放大量廣告吸參考戶,這種行為我們稱之為 DNS 劫持,為了減少這類情況的發生,業界專家目前在掙扎討論基于 HTTPS 的 DNS(DoH)的可行性選擇,那么什么是通過 HTTPS 的 DNS,它可以使 Internet 更安全嗎?我們一起來看看吧,
為什么需要通過 HTTPS 的 DNS?
在日常上網中,如果用戶輸入無法決議的網址(例如,由于輸入錯誤),則某些 Internet 提供商(ISP)會故意使用 DNS 劫持技術來提供錯誤訊息,一旦 ISP 攔截了此內容,就會將用戶定向到自己的網站,在該網站宣傳自己或第三方的產品,雖然這并不違法,也不會直接損害用戶,但是該類重定向仍會讓用戶反感,因此,單獨使用 DNS 協議并不是非常可靠的,
而 DoH (DNS over HTTPS)即使用安全的 HTTPS 協議運行 DNS ,主要目的是增強用戶的安全性和隱私性,通過使用加密的 HTTPS 連接,第三方將不再影響或監視決議程序,因此,欺詐者將無法查看請求的 URL 并對其進行更改,如果使用了基于 HTTPS 的 DNS ,資料在傳輸程序中發生丟失時,DoH 中的傳輸控制協議(TCP)會做出更快的反應,
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-qAK3Q0sJ-1618970980894)(https://upload-images.jianshu.io/upload_images/80097-3b1f1c34c208a8e2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
目前,DoH 尚未成為 Internet 上的全球標準,大多數連接仍依賴基本的 DNS,到目前為止,僅 Google 和 Mozilla 兩家公司涉足了這一領域,Google 現正在與部分用戶一起測驗該功能,此外,還有用于移動設備的應用程式,這些應用程式也可以通過 DoH 進行網上沖浪,Android Pie 也提供了通過網路設定啟用基于 HTTPS 的 DNS 選項,
通過 HTTPS 的 DNS 如何作業?
通常一些域名決議會直接從用戶的客戶端進行,相應的域名資訊被保存在瀏覽器或路由器的快取中,而期間傳輸的所有內容都需要通過 UDP 連接,因為這樣可以更快速地交換資訊,但是我們都知道,UDP 既不安全也不可靠,使用該協議時,資料包可能會隨時丟失,因為沒有任何機制可以保證傳輸的可靠性,
而 DoH 依賴于 HTTPS,因此也依賴于 TCP,一種在 Internet 上使用頻率更高的協議,這樣既可以對連接進行加密, TCP 協議也可以確保完整的資料傳輸,另外,使用了基于 HTTPS 的 DNS,通信始終通過 443 埠進行,并在 443 埠傳輸實際的網路流量(例如,訪問網站),因此,外人無法區分 DNS 請求和其他通信,這也保障了更高級別的用戶隱私,
DoH 的優點和缺點
DoH 的優點是顯而易見的,該技術提高了安全性并保護了用戶隱私,與傳統的 DNS 相比,DoH 提供了加密措施,它利用 HTTPS 這種行業通用的安全協議,將 DNS 請求發往 DNS 服務器,這樣運營商或第三方在整個傳輸程序中,只能知道發起者和目的地,除此以外別的什么都知道,甚至都不知道我們發起了 DNS 請求,
DoH 的加密措施可防止竊聽或攔截 DNS 查詢,但這也會帶來了一些潛在的風險,多年以來實施的一些互聯網安全措施都要求 DNS 請求程序可見,例如,家長控制需要依靠運營商為一些用戶阻止訪問某些域名,執法部門可能希望通過 DNS 資料來跟蹤罪犯,并且許多組織都會使用安全系統來保護其網路,這些安全系統也會使用 DNS 資訊來阻止已知的惡意站點,引入 DoH 可能會嚴重影響上述這些情況,因此,目前 DoH 還處于自主配置的時期,用戶需要清楚誰可以看到資料,誰可以訪問資料以及在什么情況下可以訪問,
DoH 與 DoT
除了基于 HTTPS 的 DNS 外,目前還有另一種用于保護域名系統的技術:基于 TLS 的 DNS(DoT),這兩個協議看起來很相似,它們也都承諾了更高的用戶安全性和隱私性,但是這兩項標準都是單獨開發的,并且各有各的 RFC 檔案,DoT 使用了安全協議 TLS,在用于 DNS 查詢的用戶資料報協議(UDP)的基礎上添加了 TLS 加密,DoT 使用 853 埠,DoH 則使用 HTTPS 的 443 埠,
由于 DoT 具有專用埠,因此即使請求和回應本身都已加密,但具有網路可見性的任何人都可以發現來回的 DoT 流量,DoH 則相反,DNS 查詢和回應在某種程度上偽裝在其他 HTTPS 流量中,因為它們都是從同一埠進出的,
關于 DoT 和 DoH 究竟哪個更好?這個還有待商榷,不過從網路安全的角度來看,DoT 可以說是更好的,它使網路管理員能夠監視和阻止 DNS 查詢,這對于識別和阻止惡意流量非常重要,另一方面,DoH 查詢隱藏在常規 HTTPS 流量中,這意味著,若不阻止所有其他的 HTTPS 流量,就很難阻止它們,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278807.html
標籤:其他
上一篇:C++--輸入輸出流