DNS如何被利用?那麼這個系統如何讓用戶變得脆弱?通常解析器會告訴每個DNS服務器你正在尋找哪個域名。此請求有時會包含您的完整IP地址。或者,如果不是您的完整IP地址,請求中通常會包含您的大部分IP地址,這些IP地址可以輕鬆地與其他信息結合起來以找出您的身份。
以下是防禦黑客常用3種DNS欺騙手法:
1. 避免不可靠的解析器
網絡可以逃避提供不可靠的解決方案,竊取您的數據或欺騙DNS,因為很少有用戶知道風險或如何保護自己。
即使對於瞭解風險的用戶,個人用戶也很難與他們的ISP或其他實體進行協商,以確保他們的DNS數據得到負責任的處理(ID:ydotpub)。
尋找一個合適的解析器,如果我們有一個可以信賴的解決方案來保護用戶的隱私。這意味著Firefox可以忽略網絡提供的解析器。安全研究人員表示,有了這個可靠的解析器,我們不必擔心流氓解析器出售我們的用戶數據或用欺騙性DNS欺騙我們的用戶。
2. 通過HTTPS使用DNS防止路徑上的竊聽和篡改
雖然解析器不是唯一的威脅。路徑上路由器可以跟蹤和欺騙DNS,因為他們可以看到DNS請求和響應的內容。但是互聯網已經有了確保路徑上路由器不能像這樣竊聽的技術。這是我之前提到的加密技術。
通過使用HTTPS交換DNS數據包,我們確保沒有人能夠監視我們用戶正在做出的DNS請求。傳輸儘可能少的數據,以保護用戶免受匿名處理。除了提供使用DoH協議進行通信的可信解析器之外,尋找安全DNS服務商,使其更安全。
通常情況下,解析器會將整個域名發送給每個服務器-根DNS,TLD名稱服務器,二級名稱服務器等。好的DNS服務商。它只會發送與當前正在與之通話的DNS服務器相關的部分。這被稱為QNAME最小化。
3. 刪除域名中沒用的解析
解析器通常也會在請求中包含您的IP地址的前24位。這有助於DNS服務器知道您的位置,並選擇離您更近的CDN。但是這些信息可以被DNS服務器用來將不同的請求鏈接在一起。
一些穩定的DNS服務商,是從用戶附近的一個IP地址發出請求。這提供了地理位置,而無需將其綁定到特定用戶。除此之外,他們正在研究如何以隱私敏感的方式實現更好,形成非常細粒度的負載平衡。
這樣做,刪除域名中不相關的部分並且不包括您的IP地址,意味著DNS服務器所收集的關於您的數據要少得多,從而更好保護你的隱私。
閱讀更多 OTPUB 的文章
