DNS 安全的前沿:从 DoH/DoT 到 DNSSEC 的演进之路

DNS:互联网的基石与潜在漏洞

要理解DNS安全的重要性,我们首先需要回顾DNS的工作原理。当用户在浏览器中输入一个网址时,计算机首先会向预设的DNS解析器(Resolver)发出查询,询问该网址对应的IP地址。如果解析器没有缓存该信息,它就会向上层域名服务器逐级查询,直到找到负责该域名的权威名称服务器(Authoritative Name Server),获取IP地址,然后将结果返回给用户并进行缓存。这个过程在设计之初并未充分考虑安全因素,导致了以下主要漏洞:

  1. 窃听(Eavesdropping:传统的DNS查询和响应是以明文形式传输的,这意味着任何能够监视网络流量的人,包括互联网服务提供商(ISP)、网络管理员甚至潜在的攻击者,都可以轻易地读取这些查询内容。这不仅暴露了用户的浏览习惯,也可能被用于追踪用户行为或进行审查。1
  2. 篡改(Tampering:由于缺乏有效的身份验证和数据完整性校验机制,攻击者有可能在DNS查询或响应传输过程中进行篡改,例如将用户导向恶意网站(DNS劫持),或者返回错误的IP地址,从而实施钓鱼攻击或传播恶意软件。
  3. 分布式拒绝服务攻击(DDoS AttacksDNS服务器是DDoS攻击的常见目标,一旦DNS服务器被攻陷,将导致大量用户无法访问网站,造成严重的网络中断。

DoT (DNS over TLS) DoH (DNS over HTTPS):加密的守护者

为了解决DNS查询的隐私和完整性问题,DoTDoH应运而生,它们的核心思想都是对DNS查询和响应进行加密。1

DNS over TLS (DoT)

DoT通过使用传输层安全协议(TLS,与HTTPS网站用于加密和认证通信的协议相同)来加密DNS查询。1 它在传统的DNS查询协议(UDP)之上增加了一个TLS加密层。简单来说,DoT就像给DNS查询穿上了一件"信封",确保了DNS请求和响应在传输过程中不会被窃听或篡改。1

DNS over HTTPS (DoH)

DoHDoT的替代标准,它将加密的DNS查询和响应封装在HTTPHTTP/2协议中传输。1 DoT一样,DoH也能有效防止攻击者伪造或篡改DNS流量。1 从网络管理员的角度来看,DoH流量看起来与普通的HTTPS流量(如用户与网站和Web应用程序的交互)无异。1

DoTDoH的异同与优势:

  • 加密通信:两者都能有效加密DNS查询,保护用户隐私,防止窃听和中间人攻击。1
  • 端口差异DoT通常使用独立的端口(如853),而DoH则使用HTTPS443端口。这使得DoH流量更难被识别和过滤,因为它混淆在大量的HTTPS流量中,增加了审查和阻断的难度。1
  • 隐私保护:通过加密,DoTDoH极大地提升了用户隐私,使得ISP或其他人难以读取用户的DNS查询内容,从而避免了基于DNS流量的用户行为追踪和审查。1
  • 部署现状DoT的部署相对简单,但其专用端口可能更容易被防火墙识别和阻断。DoH由于其流量与普通网页浏览流量相似,更具隐蔽性,因此得到了Mozilla Firefox等主流浏览器的积极支持和默认启用。1

尽管DoTDoH在保护DNS查询的隐私方面迈出了重要一步,但它们主要解决了"DNS传输过程"中的安全问题,而没有解决"DNS数据本身"的真实性和完整性问题。2 这就引出了下一个关键技术――DNSSEC

DNSSEC (Domain Name System Security Extensions):数据的完整性与真实性

DNSSEC(域名系统安全扩展)旨在解决DNS数据本身的真实性和完整性问题,防止DNS缓存投毒等攻击。2 它可以确保用户获取的DNS响应是来自授权的域名服务器,并且在传输过程中未被篡改。

DNSSEC的工作原理:

DNSSEC通过在DNS记录中添加数字签名来实现数据验证。这个过程涉及到:

  1. 数字签名(Digital Signatures:域名所有者使用私钥对DNS记录进行签名,生成数字签名。
  2. 公钥(Public Keys:相应的公钥被发布在DNS中,供解析器验证签名。
  3. 信任链(Chain of TrustDNSSEC建立了一个自根区域(Root Zone)向下延伸的信任链。每个区域的公钥都由其上级区域的私钥签名,从而形成一个层层验证的机制。当DNS解析器收到一个DNS响应时,它会沿着这个信任链向上追溯,直到验证到根区域的签名,从而确保整个响应链条的真实性和完整性。2

DNSSEC的优势:

  • 数据完整性DNSSEC能够检测到DNS数据是否在传输过程中被篡改,防止DNS缓存投毒。
  • 数据真实性:它确保用户收到的DNS响应确实来自合法的权威名称服务器,而非伪造的。
  • 防止劫持:通过验证机制,DNSSEC可以有效防止DNS劫持攻击,确保用户访问到正确的网站。

然而,DNSSEC的部署也面临一些挑战,例如:

  • 复杂性DNSSEC的配置和管理相对复杂,需要域名所有者、注册商和DNS服务提供商共同努力。
  • 性能影响:数字签名和验证过程会增加DNS查询的开销,可能对解析速度产生轻微影响。
  • 全面部署DNSSEC需要互联网基础设施的全面支持才能发挥最大效用,目前全球范围内的部署仍在推进中。

DoH/DoTDNSSEC的演进之路:构建多层次安全防御

DoH/DoTDNSSEC并非相互替代,而是互补的安全机制,共同构建了多层次的DNS安全防御体系:

  • DoH/DoT解决"传输安全":它们主要关注DNS查询和响应在客户端与递归解析器之间的传输过程,确保通信的隐私性和完整性。1 它们就像给DNS查询加了一层"加密通道",防止外部窃听和篡改。
  • DNSSEC解决"数据源真实性"DNSSEC则关注DNS数据本身的真实性和完整性,确保解析器从权威名称服务器获取的数据是未经篡改的。2 它就像给DNS数据盖上了"官方印章",证明其来源合法且内容可靠。

在理想的DNS安全架构中,用户应该通过DoHDoT连接到支持DNSSEC验证的递归解析器。这样,用户的DNS查询既能得到加密保护,又能确保获取的DNS数据是真实可靠的。

未来展望

DNS安全是一个持续演进的领域。随着物联网、5G等新技术的兴起,对DNS的依赖程度将越来越高,对DNS安全的要求也将更加严苛。未来的发展可能包括:

  • 更广泛的部署DoH/DoTDNSSEC将得到更广泛的部署和普及,成为互联网的默认安全配置。
  • 性能优化:新的技术和算法将不断优化DNSSEC的性能,减少其对解析速度的影响。
  • 集成与自动化DNS安全将更好地集成到现有的网络基础设施中,实现自动化管理和维护。
  • 抗量子计算:随着量子计算的发展,现有的加密算法可能面临挑战,未来需要引入抗量子密码学来保护DNS安全。

结语

DNS是互联网的基石,其安全性直接关系到整个网络的稳定运行和用户的信息安全。从DoH/DoT对传输过程的加密保护,到DNSSEC对数据真实性的验证,我们正在见证DNS安全技术的不断演进。这些前沿技术共同构筑起一道坚固的防线,为用户提供了更加私密、可靠和安全的上网体验。理解并推广这些技术,将是我们迈向更安全、更可信赖的数字世界的重要一步。

评论

发表评论

此博客中的热门博文

gemini转发国内的部署教程

图片
 最近看到了这个项目 tech-shrimp/gemini-balance-lite: Gemini API 代理, 把Gemini API免费中转到国内。还可以聚合多个Gemini API Key,随机选取API Key的使用实现负载均衡,使得Gemini API免费成倍增加。 今天来演示一下搭建过程 1.点击deploy 2.输入项目名后点击creat 此时就会开始部署,等待一会 3.中转部署完成后,此时分配的域名并不能访问,所以要添加自定义域名 点击下方的黑色按钮,按照下方图片操作 点击Add domain 输入自己域名,没有自己注册一个 dpdns 再去把域名绑定到cloudflare 再输入域名后,会提示输入两个记录 输入域名服务商的dns解析即可 输入完成后点击refresh,域名前打上一个勾说明配置成功 在浏览器输入域名能正确输出结果proxy running就可以了 4.api获取 进入 aistudio 点击get api 创建api密钥复制即可 5.客户端使用 下载 cherry studio 点击左下角设置-模型服务-添加 随便输入一个名字 提供商openai或gemini二选一 api输入刚才复制的api 地址输入刚才的域名 添加一个模型,例如: gemini-2.5-pro gemini-2.0-flash-exp 然后点击测试,成功就说明可以使用,没成功把上述操作重新看一遍 之后cherry studio的设置就要自己摸索 完✌
Read more »

移动 IP 技术:如何在不同网络间无缝切换?

  引言 在当今移动互联网时代,我们习惯了随时随地保持网络连接。无论是乘坐高铁从一个城市到另一个城市,还是在家中、办公室、咖啡店之间切换,我们的手机和智能设备似乎都能保持网络畅通。这种无缝的网络体验背后,离不开一项关键技术——移动IP技术。移动IP技术让设备在不同网络间移动时能够保持连接的连续性,就像我们搬家时不会失去家庭地址一样,我们的设备在移动过程中也能保持"网络地址"的稳定性 8 。 传统IP技术的局限性 传统的IP协议设计之初主要针对固定网络环境。在传统的互联网架构中,每个设备都有一个固定的IP地址,这个地址标识了设备在网络中的位置。当设备需要与其他设备通信时,通信双方都需要知道对方的IP地址 8 。这种设计在固定网络中运行良好,但在移动场景下却面临诸多挑战。 当移动设备从一个网络切换到另一个网络时,由于IP地址的变化,原有的通信连接会被中断。例如,当你的手机从一个基站切换到另一个基站时,运营商需要为你分配新的IP地址,这就像换了个"网络服务站" 3 。这种IP地址的变化会导致正在进行的通话、下载或其他网络应用中断,严重影响用户体验。 移动IP技术的基本原理 移动IP技术正是为了解决上述问题而设计的。其核心思想是为移动设备分配两个IP地址: 家乡地址(Home Address) 和 转交地址(Care-of Address) 6 。 家乡地址 是移动设备永久不变的IP地址,就像公民的身份证号码一样,即使在设备移动过程中也不会改变。 转交地址 是移动设备当前所在网络的临时IP地址,当设备移动到新的网络时会发生变化。 移动IP技术通过 家乡代理(Home Agent) 和 外地代理(Foreign Agent) 两个关键组件来实现无缝切换 6 。家乡代理位于移动设备的家乡网络中,负责维护移动设备的位置信息;外地代理则位于移动设备当前访问的外地网络中,负责将发往移动家乡地址的数据包转发到其当前位置。 移动IP的关键技术组件 1. 家乡代理(Home Agent) 家乡代理是移动IP技术中的核心组件之一。它位于移动设备的家乡网络中,主要职责包括: 维护移动设备的位置信息,记录其当前的转交地址 截发发往移动设备家乡地址的数据包 将数据包通过隧道技术转发到移动设备的当前位置 处理移动设备的位置更新请求 2. 外地代理(Forei...
Read more »

公共 Wi-Fi 安全吗?你需要知道的风险

  在咖啡馆、机场、酒店甚至公交车上,公共 Wi-Fi 热点随处可见。它们提供了一种便捷的方式来连接互联网,无需消耗移动数据流量。然而,这种便利背后潜藏着诸多安全风险。了解这些风险并采取适当的预防措施至关重要,以保护您的个人信息和设备安全。 什么是公共 Wi-Fi? 公共 Wi-Fi 是指在公共场所提供的无线网络连接,通常是开放的,无需密码或只需简单密码即可连接。这些网络通常由企业、政府或第三方服务提供商提供,旨在方便公众访问互联网。 公共 Wi-Fi 的便利性 公共 Wi-Fi 的主要优点是其便利性。它允许用户在没有移动数据或固定网络连接的情况下访问互联网。这对于旅行者、学生、以及那些需要随时随地保持联系的人来说尤其有用。此外,公共 Wi-Fi 通常是免费的,这使其成为一个经济实惠的选择。 公共 Wi-Fi 的风险 虽然公共 Wi-Fi 提供了诸多便利,但也存在一些严重的风险: 不安全的网络连接:  许多公共 Wi-Fi 网络未加密,这意味着您在网络上发送和接收的数据可以被拦截和读取。攻击者可以使用各种工具来监视网络流量,捕获密码、信用卡信息和其他敏感数据。 中间人攻击:  中间人攻击是指攻击者拦截您与网站或服务之间的通信,并冒充其中一方。这使得攻击者可以窃取您的登录凭据、个人信息或操纵您看到的信息。 恶意热点:  攻击者可以设置虚假的 Wi-Fi 热点,模仿合法的网络名称(例如,咖啡馆的 Wi-Fi)。当您连接到这些恶意热点时,您的所有流量都会通过攻击者的服务器,他们可以窃取您的数据或向您的设备注入恶意软件。 恶意软件传播:  公共 Wi-Fi 网络可能成为恶意软件传播的途径。攻击者可以利用未打补丁的操作系统或应用程序漏洞,通过网络传播病毒、蠕虫和其他恶意软件。 嗅探攻击:  攻击者可以使用嗅探工具来捕获网络上的数据包。这些数据包可能包含用户名、密码、电子邮件和其他敏感信息。即使网站使用 HTTPS 加密,攻击者仍然可以捕获加密的流量并尝试破解密码。 会话劫持:  攻击者可以劫持您的会话,冒充您访问网站或服务。这通常通过窃取您的会话 cookie 来实现,这些 cookie 存储了您的登录信息和会话状态。 如何保护自己 尽管存在上述风险,您仍然可以在使用公共 Wi-Fi 时采取一些措施来保护自己...
Read more »