域名系統(tǒng)(DNS)對(duì)于Internet的運(yùn)行至關(guān)重要���。該協(xié)議創(chuàng)建于30多年前�,以取代手動(dòng)更新Internet / Arpanet上服務(wù)器列表(IP地址)的過(guò)程��。DNS已變得越來(lái)越容易受到網(wǎng)絡(luò)和訂戶的一系列惡意攻擊�。多年來(lái)����,業(yè)界已通過(guò)多項(xiàng)安全性增強(qiáng)措施來(lái)應(yīng)對(duì)這些日益增長(zhǎng)的擔(dān)憂-最新提出的標(biāo)準(zhǔn)是HTTPS上的DNS(DoH)�����。
什么是域名系統(tǒng)及其運(yùn)作方式����?
可以將DNS看作是一個(gè)地址簿,它將每個(gè)目標(biāo)的IP地址轉(zhuǎn)換為易于記憶的域名����。DNS查詢(xún)是如何啟動(dòng)每個(gè)Web會(huì)話的。如果查詢(xún)失敗����,則用戶將無(wú)法訪問(wèn)他們嘗試訪問(wèn)的網(wǎng)站。每個(gè)人都與DNS的正常運(yùn)作息息相關(guān)��。對(duì)于服務(wù)提供商�,其服務(wù)的安全性,速度和可靠性取決于DNS查詢(xún)的正確執(zhí)行��。對(duì)于企業(yè)而言�����,關(guān)鍵任務(wù)運(yùn)營(yíng)和在線商務(wù)取決于客戶和員工查找和訪問(wèn)所需內(nèi)容的能力。每天的網(wǎng)絡(luò)沖浪者都只是想快速���,安全地到達(dá)在線瀏覽的目的地��。
域名系統(tǒng)不是為安全而設(shè)計(jì)的
DNS于1983年被批準(zhǔn)為一種標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議�����,當(dāng)時(shí)人們對(duì)安全性和DNS攻擊幾乎沒(méi)有什么關(guān)注����,也就是說(shuō)���,在我們今天看到的惡意網(wǎng)絡(luò)罪犯類(lèi)型出現(xiàn)之前就已經(jīng)很久了。該協(xié)議沒(méi)有內(nèi)置的安全性或加密功能���,并且以明文形式傳輸�,很容易被攔截和欺騙以發(fā)起DNS攻擊��。由于DNS查詢(xún)的中斷為網(wǎng)絡(luò)服務(wù)和應(yīng)用程序帶來(lái)了單點(diǎn)故障�,因此DNS已成為網(wǎng)絡(luò)犯罪分子的常見(jiàn)攻擊媒介���。
當(dāng)試圖訪問(wèn)特定網(wǎng)站的用戶通過(guò)其設(shè)備向本地ISP的遞歸DNS服務(wù)器發(fā)送DNS查詢(xún)時(shí),就會(huì)啟動(dòng)典型的DNS查詢(xún)���。然后�,ISP查詢(xún)一個(gè)權(quán)威DNS服務(wù)器����,以找到所請(qǐng)求網(wǎng)站的IP地址。如上所述����,整個(gè)過(guò)程的傳輸很少或沒(méi)有安全性。因此�,業(yè)界已經(jīng)認(rèn)識(shí)到需要一種更好的方法來(lái)保護(hù)DNS解析過(guò)程。
基于HTTPS的DNS:增強(qiáng)DNS安全解決方案和用戶隱私的新方法
輸入基于HTTPS(DoH)的DNS���,這是最近起草的標(biāo)準(zhǔn)��,可更改DNS解析過(guò)程的工作方式�。DoH僅解決設(shè)備與本地DNS解析器之間的初始連接(即所謂的“最后一英里”)�。它提供了一個(gè)加密DNS查詢(xún)傳輸?shù)倪x項(xiàng),使它們與HTTPS不可區(qū)分。但是��,未解決解析DNS服務(wù)器與權(quán)威服務(wù)器之間的其余查詢(xún)鏈��。相反�,DoH僅將重點(diǎn)放在DNS劫持以及操縱,重定向或削弱查詢(xún)的惡意活動(dòng)中���,這些查詢(xún)使DNS解析容易受到多種DNS攻擊�。
當(dāng)前��,如何緩解這些攻擊漏洞是一個(gè)熱門(mén)話題��。但是�����,由于當(dāng)今受COVID-19影響����,越來(lái)越偏遠(yuǎn)的員工隊(duì)伍越來(lái)越關(guān)注隱私和DNS安全��,因此我們認(rèn)為DoH將遵循與HTTPS相似的模式�����,并會(huì)加速行業(yè)采用。HTTPS于1994年創(chuàng)建��,并于2000年正式使用����。在2013年Edward Snowden泄露高度機(jī)密情報(bào)之后,HTTPS的使用率上升到現(xiàn)在的水平�����,使用該協(xié)議的Web頁(yè)面已超過(guò)80%����。
風(fēng)險(xiǎn):誰(shuí)能解決DNS查詢(xún)?
最初由Internet工程任務(wù)組(IETF)于2018年底提出的DNS over HTTPS(DoH)很快引發(fā)了一場(chǎng)地盤(pán)戰(zhàn)爭(zhēng)�。傳統(tǒng)上,DNS是在操作系統(tǒng)級(jí)別解決的�,但是Mozilla和Google最初的DoH實(shí)現(xiàn)是在應(yīng)用程序級(jí)別的。這將改變DNS的解析方式���,從而改變誰(shuí)來(lái)解析它�����。
對(duì)于ISP�,DoH會(huì)將其置于被第三方DNS供應(yīng)商排除在解析過(guò)程之外的風(fēng)險(xiǎn)中,從而可能對(duì)其訂戶產(chǎn)生影響�。訂戶付費(fèi)的許多增值服務(wù)(例如,家長(zhǎng)控制和反惡意軟件)取決于能夠看到DNS查詢(xún)����。此外,服務(wù)提供商擔(dān)心會(huì)失去對(duì)服務(wù)質(zhì)量的控制�����,因?yàn)槭褂貌煌腄NS解析器可能會(huì)導(dǎo)致延遲增加��。對(duì)執(zhí)法要求的響應(yīng)也可能會(huì)受到影響��。對(duì)于訂戶���,他們只希望保護(hù)其通信安全并免受DNS攻擊�,而DoH似乎確實(shí)解決了他們長(zhǎng)期以來(lái)對(duì)惡意軟件��,入侵�,數(shù)據(jù)盜竊和隱私的擔(dān)憂。
防御吧的HTTPS上的DNS解決方案
基于HTTPS的DNS標(biāo)準(zhǔn)仍處于草稿形式���。該過(guò)程尚處于早期階段���,但討論仍在進(jìn)行中,并且該行業(yè)正在迅速做出響應(yīng)���。在防御吧 Networks���,我們相信大多數(shù)運(yùn)營(yíng)商最終都將DoH作為一種選擇。因此��,防御吧 使用我們的運(yùn)營(yíng)商級(jí)Thunder®融合防火墻(CFW)開(kāi)發(fā)了一種DNS安全解決方案��,該解決方案使ISP可以在不破壞現(xiàn)有DNS基礎(chǔ)架構(gòu)或投資的情況下做到這一點(diǎn)�����。
我們的DNS安全解決方案最近被美洲的一家一級(jí)運(yùn)營(yíng)商選擇�,希望確保隨著DNS標(biāo)準(zhǔn)的發(fā)展并防止DNS攻擊,它可以繼續(xù)滿足其訂戶的需求�����。該解決方案可幫助運(yùn)營(yíng)商確保其現(xiàn)有增值服務(wù)的連續(xù)性�,并保持對(duì)服務(wù)質(zhì)量的控制�。此外����,防御吧的DNS over HTTPS解決方案有助于降低成本,并將對(duì)現(xiàn)有DNS基礎(chǔ)架構(gòu)的影響降至最低��。在DNS服務(wù)器之前實(shí)施的防御吧解決方案可以保護(hù)DNS投資����,同時(shí)確保高性能和低延遲。閱讀案例研究��,了解防御吧的客戶如何部署加密的DNS協(xié)議來(lái)保護(hù)其訂戶的隱私和安全�。
查看DoH網(wǎng)絡(luò)研討會(huì)
現(xiàn)在觀看點(diǎn)播網(wǎng)絡(luò)研討會(huì)“ DoH –加強(qiáng)DNS基礎(chǔ)結(jié)構(gòu)安全性并改善訂戶隱私”。我們將介紹域名系統(tǒng)的作用�,常見(jiàn)的DNS攻擊類(lèi)型以及與DoH相關(guān)的行業(yè)發(fā)展。將探討ISP和訂戶的利弊����,并審查防御吧的DNS安全解決方案,包括一個(gè)演示雷電融合防火墻(CFW)中的防御吧 DoH解決方案的演示��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
