未经授权的拦截DNS流量提供足够的信息来确定互联网用户的想法,欲望,希望和梦想。与附近的诺斯邻居的隐私不仅有困难,但政府和公司可以使用该信息来了解个人的互联网行为,并使用它来概述他们及其组织的政治目的或与广告定位它们。
努力像DNS隐私项目目的是提高对这一问题的认识,并提供指向资源的指针,以帮助减轻这些威胁。
IETF也在致力于这个问题。它形成了DNS私人交流(Dprive)工作组定义问题并评估选项以缓解安全威胁。其中一个主要努力是创造了方法DNS可以通过HTTP协议使用(哎)。尽管DNS查询可以通过HTTP进行,但这并不能解决未加密的隐私问题。因此,协议的开发一直在进行通过HTTPS进行DNS查询(也称为DOH),于2018年10月标准化。
(虽然本文讨论的是HTTPS上的DNS, IETF主要发布的保护DNS流量的建议标准是“传输层安全(TLS)上的DNS规范”(DOT) (RFC 7858).由于DNS流量使用UDP消息,IETF还发布了“基于数据报传输层安全(DTLS)的DNS”(RFC 8094).的IETF Dprive工作组也发表了“DNS over TLS和DNS over DTLS的使用概况”(RFC 8310).)
DNS如何通过HTTPS工作
DOH使用终端用户和web服务器界面之间的直接连接。由于DNS查询和响应发生在基于web的HTTP接口上,DNS响应格式使用JSON符号.这与传统的DNS查询和资源记录格式不同,有助于更简单地与基于web的应用程序集成。
DOH可以实现为本地代理服务,运行在终端用户的计算机上,使用TCP或UDP端口53侦听DNS查询。这个本地代理服务将DNS查询转换为到DOH服务的HTTPS连接。在DNS over HTTPS的情况下,使用TCP端口443进行连接。(当使用DNS over TLS时,则使用TCP端口853。)
DOH也可以在用户的Web浏览器中实现。当浏览器到一个新的URL的连接,连接到一个使用TCP 853的预配置的服务DOH并检索含有得到的IP地址JSON响应。
DOH对于内容提供者来说非常重要,因为他们希望帮助保护用户和订阅者群体的隐私。内容提供商希望他们的客户对DNS有更大的控制,保证他们的客户被提供准确的IP地址信息,减轻了这种压力中间的人进攻,并提供更快的服务,而不管客户的操作系统或位置。
术语DNS over HTTP (DOH)、DNS over HTTPS (DOH)和DNS over TLS (DOT)通常可以互换使用,但重要的是要区分基于web的DNS功能的HTTP、HTTPS和TLS。
虽然卫生部可以对互联网隐私做出贡献,但认识到还有其他方法来解决这个问题也很重要。
度选择
出于完整性的考虑,还提出了其他方法,并且正在使用该功能,如DOH。例如,DNS over HTTP也可以使用http / 2.HTTP/2是HTTP的一个优化版本,允许多路流同时获取,请求优先级,报头压缩和服务器推送。在这种情况下,web解析器可以使用http / 2服务器推送向客户端发送/推送DNS更新的方法。这可用于主动通知客户端发生的客户端。这可能是一种更直接的方法,而不是等待DNS记录TTL到期的历史方法。
DNS也可以通过QUIC协议.快速UDP Internet连接(Quic)是优化的传输层协议,提供TCP的可靠性,具有多路复用的连接和性能优化。虽然这是目前的IETF草案在美国,人们对利用QUIC协议的方式很感兴趣,因为它对web服务器的性能有所改善。
还有其他提供DNS查询加密的非ietf方法。DNSCrypt是一种使用加密来保护终端用户和解析器之间的传统DNS消息的方法。DNSCrypt可以支持TCP或UDP DNS消息通过TCP端口443。当前的DNSCrypt协议规范的版本2是公开的记录。DNSCurve是一种类似的方法,但它使用椭圆曲线密码与Curve25519(X25519算法)来保护DNS。DNSCurve自2009年以来一直在发展。
度的实现
动力正在为DOH解决方案构建,现在有实现示例证明这些方法是有效的。这个列表的可公开的DOH服务器提供指向这些服务的链接DNS隐私项目