|
|
51CTO旗下网站
|
|
移步端
  • 有问有答:什么是DNS over HTTPS?

    刚才的情报中提出了DNS over HTTPS这项技术,这篇有问有答就简单地为各位读者介绍一下增至DNS协和的上进历程。第一我们需要了解一下传统DNS地方存在的组成部分问题。

    笔者:倪嘉声 来源:超能网| 2020-01-02 10:51

    刚才的情报中提出了DNS over HTTPS这项技术,这篇有问有答就简单地为各位读者介绍一下增至DNS协和的上进历程。第一我们需要了解一下传统DNS地方存在的组成部分问题。

    DNS的先进性缺陷

    DNS全称Domain Name System,在现在的互联网协议中,他是一番域名与IP对应的体系,咱们通过域名访问一个地方需要经过DNS查询获取该域名的真正IP地点,比如说访问我们网站的时节,传感器就会向系统指定的DNS传感器发送一个请求,让DNS传感器返回该域名的真正IP地点。

    风的DNS办法是通过53端口向DNS传感器发送明文的呼吁信息,如果有意的话,ISP可以很容易地在他家到DNS传感器之间将以此请求进行劫持,出于传统DNS呼吁基于无连接的UDP协和,用户端只接收最快到达之询问结果,故此ISP可以通过抢先应答的措施向用户返回错误的IP,这种做法被称为域名劫持,这是DNS协和的一个典型缺陷。

    普通在成功ISP的PPPoE认证连上互联网之后,ISP会提供两个DNS传感器的IP,这两个DNS传感器就是数一数二的DNS缓存服务器,他缓存了他家曾经通过它请求的书名-IP对应信息,这类服务器被称为非权威域名服务器,他向用户返回的都是经由缓存的IP消息,其中就有可能存在被恶意篡改的书名-IP对,采用这台缓存服务器的一切订户在询问特定域名时都将得到错误的结果,这就是缓存投毒。

    上述只是两个广大的DNS协和自身设计缺陷,他的那些毛病主要存在于安全性方面,而采取这些毛病,ISP可以通过域名劫持做到在网页上面插入广告,攻击者可以对客户进行DNS欺骗将用户发送的网络请求引向假的蒸发器以获得用户数据。而DNS协和存在的另一番缺陷就是他是用明文进行传输的,只要有心人对你的53端口进行监视,她们就足以轻而易举地掌握你访问了哪些网站。

    但是DNS协和作为今天互联网的内核之一,不可能一蹴而就地用一种新的协议去取代它,只能用任何手段在DNS协和外面进行防护,增长它的先进性和私密性。副这个思路出发,人人提出了几种方案,第一是1997年提出的DNSSEC。

    副DNSSEC到DNS over HTTPS

    很早就有但是没完全普及的DNSSEC

    DNSSEC为原本的DNS协和引入了一番数字签名验证机制,他在DNS呼吁包的脑瓜儿加入了一段数字签名,穿过现代的数字证书验证体系保证DNS查询结果的正确,或者用信息安全的话来说,就是保证了DNS查询结果的周期性。

    DNSSEC在1997年提出,开拓进取至今已经非常成熟了,有的是公共域名服务器都支持他。但是DNSSEC只解决了DNS协和的先进性问题,他没有对DNS查询内容进行加密,人家还是很容易就足以看出你访问的图书站。

    没有条件的DNSCrypt

    于是乎,又有新的选手站了出去。当下上台的是DNSCrypt,名字里面都带Crypt了那他承认是有加密的,科学,他对DNS查询过程做了整机的增值,可以完成查询结果没有问题,人家也看不到你查询了什么域名。

    但是问题来了,DNSCrypt并没有进行规范流程,这导致了他无法在互联网上面得到普遍的使用。

    DNS over TLS与DNS over HTTPS

    明天两个运动员的挑战都没有取得完全的取胜,于是乎又有新的选手站上了领奖台,当下的俩兄弟长得很像。DNS over TLS(DoT)采用TLS协和确保DNS查询过程的周期性和优越性,而DNS over HTTPS(DoH)则是采取HTTPS协和进行通信,比他哥哥DoT还多了一层HTTP协和。

    DoT专业正式通告于2016年,而DoH专业正式成文于2018年10月,但是后者被吸收的水准远超前者,这是为什么呢?还是兼容性问题。

    DoH基于HTTP上述,在采取方便性上面比基于裸套TLS的DoT要高不少。相对于DoT,各大体系、传感器都得以比较简便地将DoH构成进去。而且公共DNS对于DoH的支持速度也特别快,如今我们能够想到的涉外的DNS基本都支持了DoH,他大有成为老旧DNS协和升级版的取向。

    脚下支持DoH的蒸发器和DNS传感器

    传感器

  • Firefox
  • Chrome
  • 表现DoH专业的首要推动者,Mozila和Google潇洒是很快就在自己浏览器里面加入了对于DoH的支持,如今网上已经有很多在这两个航天器中开始DoH的课程了,此地就不再赘述。

    集体DNS传感器

    如果想用DoH,DNS传感器的支持肯定是中心的,而出于利益原因,境内ISP们的DNS短时间肯定是不会支持的,而像大的几个DNS传感器短时间内也很难加上DoH的支持,只能看国外了。

  • 1.1.1.1
  • 这是全世界最大的CDN服务商Cloudflare提供的集体DNS,方便好记。

  • 8.8.8.8
  • 漫长被污染之Google集体DNS在DoH从终于得以运用了。

    总结

    DNS over HTTPS可以说是现阶段最有希望之DNS协和继任者,已经得到了几大软件巨头和域名提供商的鼎力支持。如果你久久遭受DNS污染或者欺诈,在换用其他公共DNS此后效果不明朗的,可以品尝使用DNS over HTTPS来获得更好的水上冲浪体验。而对于非常在意自己隐私的客户来说,DNS over HTTPS更是一项不可或缺的技艺,赞助你更好的掩护自己之苦衷不把别人窥探。

    【编纂推荐】

    1. mpDNS:Python贯彻的多功能DNS传感器
    2. 采用 CoreDNS 来回答 DNS 污染
    3. 采用Nginx表现HTTPS正向代理服务器
    4. Web传感器Nginx空气下如何实现安全证书Https的安排
    【义务编辑: 武晓燕 TEL:(010)68476606】


    点赞 0
  • DNS  HTTPS  竞争性
  • 分享:
    大家都在看
    猜你喜欢
  • 订阅专栏+更多

    云架构师修炼手册

    云架构师修炼手册

    云架构师之必不可少技能
    共3章 | Allen在路上

    21人口订阅学习

    Devops的监控神器Prometheus

    Devops的监控神器Prometheus

    监督主流
    共22章 | 小罗ge11

    172人口订阅学习

    手把手玩转Elasticsearch

    手把手玩转Elasticsearch

    Chandler_珏瑜
    共20章 | Chandler_珏瑜

    80人口订阅学习

    读 书 +更多

    JAVA并发编程实践

    该书既能够成为读者之答辩支持,又可以表现构建可靠的、可伸缩的、可保护的并发程序的技艺支持。该书并不仅仅提供并发API的账单及其机制,...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO劳务号

    51CTO官微


      <noscript id="e04f6589"></noscript>