早前微軟更新 Windows 10 測試版帶來DoH的支持 , 該功能旨在通過加密DNS查詢確保隱私安全。傳統的 DNS 域名解析系統還是35年前設計的,因此隨着互聯網的發展這種傳統的基礎架構已不太適應安全需求。
當用户訪問任何網站時請求信息都會以明文形式經過運營商,因此網絡運營商有能力根據查詢信息窺探用户隱私。為解決這個問題業界推出DNS over HTTPS 和DNS over TLS 服務 , 加密後運營商無法再直接獲得用户瀏覽記錄。
在谷歌瀏覽器最新推出的Google Chrome V83穩定版中,正式推出基於HTTPS的DNS(DNS-over-HTTPS)。HTTPS上的DNS是一種有爭議的互聯網隱私技術,可對DNS連接進行加密並將其隱藏在常見的HTTPS流量中,從而使第三方(例如ISP)無法知曉您正在瀏覽的網站。
什麼是DNS污染?
DNS 是 Domain Name Server 的意思,也就是域名解析服務的意思,DNS污染,又稱為域名服務器緩存污染(DNS cache pollution)或者域名服務器快照侵害(DNS cache poisoning)。 DNS污染是指一些刻意製造或無意中製造出來的域名服務器分組,把域名指往不正確的IP地址。它是一種讓一般用户由於得到虛假目標主機IP而不能與其通信的方法,是一種DNS緩存投毒攻擊(DNS cache poisoning)。
其工作方式是:由於通常的DNS查詢沒有任何認證機制,而且DNS查詢通常基於的UDP是無連接不可靠的協議,因此DNS的查詢非常容易被篡改,通過對UDP端口53上的DNS查詢進行入侵檢測,一經發現與關鍵詞相匹配的請求則立即偽裝成目標域名的解析服務器(NS,Name Server)給查詢者返回虛假結果。DNS污染是發生在用户請求的第一步上,直接從協議上對用户的DNS請求進行干擾。
什麼是 DNS-over-HTTPS (DoH)
DNS over HTTPS(DoH)是谷歌推出的加密 DNS 服務,其意義在於以加密的HTTPS協議進行DNS解析請求,避免原始DNS協議中用户的DNS解析請求被竊聽或者修改的問題來達到保護用户隱私的目的。Google及Mozilla基金會正在測試這一協議,作為其提高網絡安全性的努力的一部分。
谷歌也列出了通過 HTTPS 使用 DNS 的好處:
真實性:Chrome 可以驗證其與預期的 DNS 服務提供商進行通信,而不是與攻擊者控制的虛假服務提供商進行通信。
完整性:Chrome 瀏覽器可以驗證從 DNS 服務提供商獲得的響應未被使用同一網絡的攻擊者篡改,從而阻止網絡釣魚攻擊。
機密性:Chrome 可以通過加密通道與 DNS 服務提供商進行通訊,這意味着攻擊者可以不再依靠 DNS 來觀察其他用户在共享同一連接時正在訪問哪些網站,例如圖書館中的公共 WiFi。
谷歌將在接下來的幾周內推出該更新,但將分階段進行。如果讀者希望立即嘗試,可以通過在 Chrome 瀏覽器中啓用“dns-over-https”標誌來進行體驗。
上述功能適用於 Windows、Chrome OS 和 Mac OS。但尚不清楚該功能是否適用於 Android 和 iOS 應用。