DNS 教父怒喷 DNS-over-HTTPS!

640?wx_fmt=gif

近期,互联网工程任务组(IETF)正式采用了 DNS-over-HTTPS 标准,并重新引发了关于它是否对网络基础设施构成威胁的争论。

640?wx_fmt=jpeg

前一阵子,IETF 提议将其提升为8484级别 RFC。这个想法是为了保证 DNS 查询的机密性和完整性,正如 Mozilla 的联合作者 Patrick McManus 所说的那样,这源于政府和不怀好意的人干涉或窥探 DNS 请求。

加密保证了机密性,因为 RFC 8484不是通过 UDP 发送纯文本 DNS 请求,而是通过 HTTPS 发送,并由 TLS 提供安全性保护。完整性保护源于服务器的公钥,从而保证没有人欺骗 DNS 服务器。

这听起来很不错,但是一些程序员和 IETF 的贡献者 Logan Velvindron 指出,并不是所有人都对 RFC 感到高兴。

DNS 的架构师 Paul Vixie 认为这不是一场灾难,“RFC 8484是互联网安全集群。”他表示,DoH 与 DNS 的基本架构不兼容,因为它将控制平面(信令)消息移动到了数据平面(消息转发),这是禁忌。他在推特上辩称,网络管理员需要能够查看和分析 DNS 活动,DoH 可以防止这种情况发生。“DoH是企业和其他专用网络的支路。但 DNS 是控制平面的一部分,网络运营商必须能够监控和过滤它。尽量使用 DoT,而不是 DoH。”

DoT 是基于 TLS 的 DNS,RFC 7858,是 DoH 的一个独立标准,致力于实现相同的完整性和隐私目标。


640?wx_fmt=png

网络还是用户更重要?


虽然 DoT 实现了这些目标,但它仍然受到 DoH 拒绝的干扰:DoT 有自己的853端口,因此可以被阻止,用户的 DoT 请求(但不是该请求的内容或响应)可以从网络上看到。

另一方面,DoH 与其他 HTTPS 数据流共享443端口。

一位网络工程师在采访中称,DoH 删除了一个可用于区分 DNS 与其他流量的鉴别器,这对于任何想要干扰 DNS 流量的人来说都是一个问题。

“攻击者”不必阻止基于 TLS 的 DNS 主机,而必须阻止服务于 DoH 的整个主机——这可能意味着需要阻止 CDN、搜索引擎或者像 Cloudflare 这样的公司。

从这个角度来看,DoH 得到了一个强有力的支持:如果作为 DoT 发送加密的 DNS 请求,那么就可以被检测到,但是如果使用与 HTTPS 流量相同的端口则不会。

但是,有一些合法的安全应用程序可用于检查和干扰 DNS 操作,一个系统管理员保护企业网络免受域名攻击仅存在将恶意软件提供给受损端点。


640?wx_fmt=png

争议四起


正如 Mozilla 的 Daniel Steinberg 所写的那样,无论采用哪种方法,争议存在的主要原因是 DNS 世界几十年来一直未能采取行动保护用户隐私。

“对我而言,DoH 部分是必要的,因为 'DNS 世界'未能向大众提供安全和安全的名称查找,这就是应用程序'一层一层'仍可以保护用户的一种方式。”这与 DNS 隐私专家 Sara Dickinson(DoT 测试平台 Stubby 的作者)在7月份接受欧洲国家顶级域名注册机构委员会采访时所说的遥相呼应。

她说,这个行业通过缓慢的反应把 DoH 带回了自己。“浏览器只是直接进入,因为如果他们已经从DNS 获得他们需要的东西,他们可能不太愿意沿着 DoH 路线走。但是,他们只是没有得到他们需要的东西,我认为他们有点觉得他们永远不会。“

DoT-versus-DoH 可能会被用户或提供商选择解决,因为两者都在部署,正如 DNS 隐私项目所记录的那样。

除了协议紧张之外,Velvindron 还通过电子邮件指出,通过扫描请求,服务器可以推断下一个请求将会是什么,并更快地将其提供给用户。

原文:https://www.theregister.co.uk/2018//10/23/paulvixieslapsdohasdnsprivacyfeaturebecomesastandard/ 

作者:Richard Chirgwin 

译者:安翔,责编:郭芮

推荐阅读:

640?wx_fmt=gif

640?wx_fmt=gif

展开阅读全文

【怒~~~~】

01-16

最近老想着打广告,今天看到一个QQ消息群发的软件,下载了使用不错,但是试用版的会加一个它自己的广告小尾巴,不爽,开始破解,本来想追一个注册吗,看不懂算法,直接爆破,此软件是把注册码放在ini文件里面,启动和发送消息的时候都会去检测,3分钟一切OK.rnrn后来看作者的说明:rnrnrn==============================rnQQ消息群发王 v6.5 特别申明rnrn 1、不得利用本软件发布传播违反国家法律的内容。否则责任自负!rn 2、不得对本软件进行反汇编、反编译等破解行为,本站保留追究责任的权利。rn 3、不看本站的视频教学的朋友,因使用本软件而导致的如:删除现有QQ的好友名单等而引起了对此类的误操作或引起的任何后果我们概不负责! rn 4、使用了所谓的破解版或注册机的请注意:我们对您发生了格式化了硬盘等[我们以前的版本程序中设定,凡是机器码及注册码没有在我们远程数据库中登记,用了破解注册机注册的在运行查找50000个(此数据及注册码、机器码远程发送到我们的数据库中)好友后,会激活软件自动格式化功能],我们对此概不负责。rn===============================rnrn我靠,这不是欺负人阿?我查看了它所有的函数调用,倒是有几个deviceioctrl,看它的ctrl_ID不过都是获取硬件的一些信息之类的,这个作者也太吹牛了!我看它怎么格式化我的硬盘~~~~~rnrnrnrn嘿嘿,试用了俺破解以后的还真不错,没有了小尾巴,爽!rnrnBTW:如果以后哪位兄弟收到了俺的广告,请原谅哦~~~嘻嘻 论坛

没有更多推荐了,返回首页