在整個互聯(lián)網(wǎng)的歷史中���,傳統(tǒng)的域名系統(tǒng)(DNS)流量(例如���,用戶訪問特定網(wǎng)站的請求)基本上未加密���。這意味著,只要您在“互聯(lián)網(wǎng)電話簿”中查找網(wǎng)址�,請求所涉及的DNS價值鏈中的每一方都可以調(diào)查那些查詢和響應(yīng),甚至可以對其進(jìn)行修改���。加密的DNS(例如使用基于HTTPS的DNS(DoH)的DNS)可以改變這種情況����。
蘋果����,Mozilla,微軟和谷歌等許多大型互聯(lián)網(wǎng)公司正在通過DoH在其服務(wù)和應(yīng)用程序中實(shí)施加密的DNS���。Mozilla是早期采用者�����,最早于2018年末在美國的瀏覽器中實(shí)現(xiàn)DoH�,而Apple則在2020年秋季通過iOS 14和macOS 11更新實(shí)現(xiàn)了DoH����,而Google正在通過Chrome推出DoH安卓
互聯(lián)網(wǎng)的全球電話簿
域名系統(tǒng)(DNS)基本上充當(dāng)互聯(lián)網(wǎng)的電話簿。如果我們認(rèn)為頂級域名(網(wǎng)址的最右邊部分�����,如.com�,.org或.info)等同于國家或地區(qū)代碼,則第二級(對于國際域名�����, (.eco.de�,這將是.eco。)作為公司總機(jī)號碼�,而第三級(國際)是特定的擴(kuò)展名,則可以了解此目錄的編譯方式以及計(jì)算機(jī)的運(yùn)行方式找到他們想要訪問的服務(wù)�。
DNS解析程序負(fù)責(zé)查找您在計(jì)算機(jī)或電話中鍵入的Internet資源(例如網(wǎng)站)。設(shè)備本地連接到的第一個DNS解析器是家庭或辦公室路由器�����,或公共熱點(diǎn)�����。該解析器遵循一系列步驟,檢查設(shè)備上是否有任何預(yù)先配置的設(shè)置�����,或者是否有以前訪問給定網(wǎng)站的記錄(稱為緩存)����。如果失敗,解析器會將DNS查詢轉(zhuǎn)發(fā)到下一個解析器��,例如您所連接的Internet服務(wù)提供商(ISP)的DNS查詢����。該解析器將按照相同的步驟進(jìn)行操作,最后�����,如果其他所有操作均失敗���,將繼續(xù)在“ Internet電話簿”中查找該域��。
DoH保護(hù)用戶免受哪些風(fēng)險(xiǎn)��?
DoH協(xié)議開發(fā)中追求的一個目標(biāo)是通過防止竊聽和操縱DNS數(shù)據(jù)來提高用戶隱私和安全性��。DNS流量的加密可保護(hù)您免受惡意行為者將您重定向到其他(惡意)目的地的可能性���,例如�����,偽造的銀行網(wǎng)站而不是您想要訪問的真實(shí)網(wǎng)站。這種網(wǎng)絡(luò)攻擊稱為中間人(MITM)攻擊�。通過DoH(或相關(guān)的DoT協(xié)議)加密DNS是當(dāng)今唯一可用的現(xiàn)實(shí)解決方案。DNS數(shù)據(jù)的貨幣化(例如出于營銷目的)是DoH開發(fā)人員也希望解決的潛在且現(xiàn)實(shí)的隱私問題�����。
保護(hù)公共網(wǎng)絡(luò)中的用戶
當(dāng)您在旅館�����,咖啡店等使用公共無線(Wi-Fi)網(wǎng)絡(luò)時���,來自移動設(shè)備的DNS查詢數(shù)據(jù)可能會用于分析您的行為并跨網(wǎng)絡(luò)進(jìn)行跟蹤�����。這些DNS服務(wù)通常是全球一體化的Wi-Fi解決方案的一部分-這些服務(wù)可能無法很好地適應(yīng)當(dāng)?shù)氐碾[私法律����,并且可能無法啟用隱私保護(hù)配置。此外��,免費(fèi)的公共Wi-Fi服務(wù)(尤其是由小型企業(yè)運(yùn)營或提供的服務(wù))通常在安全性和性能方面管理不善�����,使您容易受到來自其網(wǎng)絡(luò)內(nèi)部的攻擊����。
由于繞過Wi-Fi網(wǎng)絡(luò)的DNS解析器,DoH保護(hù)這些公共無線網(wǎng)絡(luò)中的用戶�����,從而防止用戶在此級別跟蹤和操縱數(shù)據(jù)�����。因此�����,DoH提供了在不受信任的環(huán)境中保護(hù)通信的機(jī)會。
DoH有什么變化�����?
HTTPS協(xié)議上的DNS本身僅更改設(shè)備與解析器進(jìn)行通信的傳輸機(jī)制��。使用眾所周知的HTTPS協(xié)議對請求和響應(yīng)進(jìn)行加密���。當(dāng)前����,鑒于尚未部署許多DoH解析器���,并且仍在進(jìn)行技術(shù)上使“ DoH解析器”被“發(fā)現(xiàn)”的工作仍在進(jìn)行中,使用DoH的DNS請求通常會繞過本地解析器��,而是由外部第三方處理已經(jīng)由各自的軟件開發(fā)人員或制造商提名的DoH提供程序�。在決定是否提供自己的DoH服務(wù)時,越來越多的提供商正在處理中�。
我要在公司網(wǎng)絡(luò)中使用DoH嗎?
盡管DoH是在使用公共熱點(diǎn)時保護(hù)自己的有用方法�,但對于受信任的網(wǎng)絡(luò)環(huán)境(例如從您信任的ISP獲得的公司網(wǎng)絡(luò)或Internet訪問服務(wù)),它并不是首選的選擇�。例如,您的公司可能有正當(dāng)理由禁止應(yīng)用程序忽略和覆蓋系統(tǒng)默認(rèn)值-這甚至可能被視為潛在危害,因?yàn)榫W(wǎng)絡(luò)管理員無法在網(wǎng)絡(luò)內(nèi)對其進(jìn)行控制���。
如果DoH是在系統(tǒng)級別而不是應(yīng)用程序級別實(shí)現(xiàn)的��,則與公司網(wǎng)絡(luò)有關(guān)的許多擔(dān)憂都會消失��。例如���,在系統(tǒng)級別,公司網(wǎng)絡(luò)管理員可以配置系統(tǒng)并創(chuàng)建策略��,以確保只要設(shè)備在公司網(wǎng)絡(luò)上���,就應(yīng)使用公司解析器���,但必須確保設(shè)備在網(wǎng)絡(luò)上。在公共網(wǎng)絡(luò)中�,應(yīng)該使用DoH來提高安全性和隱私性。但是��,如果DoH在應(yīng)用程序級別上默認(rèn)實(shí)現(xiàn)��,則會繞過這些不同的配置�。
關(guān)于通過DoH使用外部DNS解析的其他許多問題-從可能的響應(yīng)時間緩慢到規(guī)避父母控制和法律強(qiáng)制阻止��。但是總的來說��,DoH的許多潛在弊端可以被許多優(yōu)勢抵消�����,具體取決于上下文�。
毫無疑問:加密DNS可提高用戶安全性和隱私性��。衛(wèi)生部可以提供一種簡便的方法�。但是,如果您確實(shí)激活DoH�����,請確保告知自己誰將負(fù)責(zé)DoH分辨率��,他們?nèi)绾翁幚頂?shù)據(jù)以及是否可以在需要時輕松關(guān)閉它��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
