我們分析了有關 DNS over HTTPS 功能的觀點,這些觀點最近已成為互聯網提供商和瀏覽器開發商之間的“爭論焦點”。
/不飛濺/
分歧的本質
最近 и (包括 Habr),他們經常撰寫有關基於 HTTPS (DoH) 協議的 DNS 的文章。 它加密對 DNS 服務器的請求和對它們的響應。 這種方法允許您隱藏用戶訪問的主機的名稱。 從出版物中我們可以得出結論,新協議(在 IETF 2018 年)將 IT 社區分為兩個陣營。
一半的人相信新協議將提高互聯網安全性,並將其實施到他們的應用程序和服務中。 另一半則堅信技術只會讓系統管理員的工作變得更加困難。 接下來我們就雙方的論點進行分析。
衛生部如何運作
在我們了解 ISP 和其他市場參與者支持或反對基於 HTTPS 的 DNS 的原因之前,我們先簡要了解一下它的工作原理。
對於 DoH,確定 IP 地址的請求封裝在 HTTPS 流量中。 然後,它會轉到 HTTP 服務器,並使用 API 對其進行處理。 以下是來自 RFC 8484 的示例請求():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
因此,DNS 流量隱藏在 HTTPS 流量中。 客戶端和服務器通過標準端口 443 進行通信。因此,對域名系統的請求保持匿名。
為什麼他不被看好呢?
DNS over HTTPS 的反對者 新協議將降低連接的安全性。 經過 DNS 開發團隊成員 Paul Vixie 將使系統管理員更難阻止潛在的惡意站點。 普通用戶將失去在瀏覽器中設置條件家長控制的能力。
英國互聯網提供商也認同保羅的觀點。 國家立法 阻止他們訪問含有禁止內容的資源。 但瀏覽器對 DoH 的支持使過濾流量的任務變得複雜。 新協議的批評者還包括英國政府通信中心()和互聯網觀察基金會(),它維護阻塞資源的寄存器。
在我們關於哈布雷的博客中:
專家指出,基於 HTTPS 的 DNS 可能會成為網絡安全威脅。 XNUMX月初,來自Netlab的信息安全專家 第一個使用新協議進行 DDoS 攻擊的病毒 - 。 該惡意軟件訪問 DoH 以獲取文本記錄 (TXT) 並提取命令和控制服務器 URL。
防病毒軟件無法識別加密的 DoH 請求。 信息安全專家 在 Godlua 之後,其他惡意軟件將會出現,而被動 DNS 監控是看不到的。
但並非所有人都反對
在他的博客上捍衛 DNS over HTTPS APNIC 工程師傑夫·休斯頓。 據他介紹,新協議將能夠對抗最近變得越來越普遍的 DNS 劫持攻擊。 這個事實 網絡安全公司 FireEye 一月份的報告。 大型 IT 公司也支持該協議的開發。
去年年初,DoH開始在谷歌進行測試。 而一個月前的公司 其 DoH 服務的通用版本。 在谷歌上 ,它將提高網絡上個人數據的安全性並防止 MITM 攻擊。
另一家瀏覽器開發商——Mozilla—— 自去年夏天起,DNS 就通過 HTTPS 進行傳輸。 同時,公司正在IT環境中積極推廣新技術。 為此,互聯網服務提供商協會 (ISPA) Mozilla 榮獲年度互聯網惡棍獎。 對此,企業代表回應 ,他們對電信運營商不願改善其過時的互聯網基礎設施感到沮喪。
/不飛濺/
支持 Mozilla 和一些互聯網提供商。 特別是在英國電信 新協議不會影響內容過濾,並將提高英國用戶的安全性。 迫於輿論壓力 ISPA “惡棍”提名。
例如,雲提供商還提倡通過 HTTPS 引入 DNS 。 他們已經提供基於新協議的 DNS 服務。 支持 DoH 的瀏覽器和客戶端的完整列表位於 .
無論如何,目前還無法談論兩大陣營對抗的結束。 IT專家預測,如果DNS over HTTPS注定成為主流互聯網技術堆棧的一部分,那麼需要 .
我們在公司博客中還寫了哪些內容:
來源: www.habr.com