如何使用可信遞歸解析器(TRR)和基於HTTPS的DNS(DoH)?
Mozilla作為信息安全廠商,有責任保護全球所有用戶的信息及數據安全。面對每一種新型的漏洞,Mozilla安全團隊一直都在努力解決。
對於可信遞歸解析器(TRR)和基於HTTPS的DNS(DoH)的問題,目前存在三種威脅:
1、企業為了獲取更多數據,可能會使用不安全的解析程序來跟蹤客戶端的網絡請求,或者篡改DNS服務器響應。
2、路徑上經過的路由器也可以用上述相同的方式來跟蹤或篡改。
3、DNS服務器可以跟蹤客戶端的DNS請求。
相關的解決方案
1、利用Trusted Recursive Resolver避免使用不可靠的解析器。
2、通過HTTPS使用DNS,防止路徑上的竊聽和篡改。
3、儘可能少傳輸數據來保護用戶,免受匿名處理。
利用Trusted Recursive Resolver避免使用不可靠的解析器。
網絡上存在無法控制的解析器,來竊取用戶的數據或欺騙DNS。而絕大部分的用戶由於缺乏網絡安全知識,並且不知道怎樣做好防護措施。
即使一些用戶有比較強大網絡安全意識,個人用戶也很難與其ISP或其他實體協商,確保他們的DNS數據可以得到有效的安全處理。為此Mozilla安全團隊與Cloudflare達成合作協議,為保護用戶隱私信息提供遞歸解析服務。承諾在24小時後丟棄所有可識別個人身份的數據,決不會兜轉售賣這些數據。並且會進行定期審查,確保所有相關的數據按預期清除。
這意味著Firefox可以忽略網絡提供的解析器,直接轉到Cloudflare。有了這個值得信賴的解析器,就不必擔心流氓解析器收集出售用戶的數據或使用虛構的DNS來欺騙用戶。
Mozilla與Cloudflare都十分注重保護用戶的隱私,因此這兩家公司共同建立了一個DoH解決方案服務,以透明的方式為用戶提供服務。但這並不意味著用戶必須使用Cloudflare解析器,用戶可以選擇其他Firefox支持DoH的遞歸解析器。
通過HTTPS使用DNS防止路徑上的竊聽和篡改
一直以來黑客可以通過路徑上的路由器跟蹤用戶軌跡和欺騙DNS,窺視DNS請求和響應的內容。隨著加密技術越來越強大,對路徑上的路由器設置加密,可攔截類似的竊聽不法行為。
通過使用HTTPS交換DNS數據包,確保第三方無法監視用戶發送的DNS請求。
傳輸儘可能少的數據以保護用戶免受匿名處理
一般情況下,解析器會將整個域名發送給每個服務器 – 根DNS,TLD服務器,二級名稱服務器等。 但這些行為都會存在隱私安全風險,因此Cloudflare提出QNAME最小化。即只會發送與解析器正在通信的 DNS服務器相關的部分。
解析器的請求通常都會包含用戶IP地址的前24位,而DNS服務器根據這24位數字可以確定用戶的位置,並選擇最近的CDN響應。因此DNS服務器會將不同的請求和用戶位置連接在一起。
而Cloudflare採取的方法是從用戶附近的IP發出請求,提供的地理位置無需綁定到特定的用戶。並會刪除域名中不相關的部分,DNS服務器儘量減少收集用戶數據。
TRR不需要通過DoH
DoH修復可減少Firefox查看網站的訪問人數,但並不意味著可以完全杜絕數據洩露事件。
當用戶執行DNS查找IP地址後,用戶仍需鏈接到該地址的web服務器。客戶端用戶發送初始請求,請求仍會包含一個服務器名稱指示,該信息如果有指出要連接的服務器上具體站點,這個請求可判定為未加密的。因為通過服務器名稱指示,客戶端的ISP仍可以跟蹤終端用戶的訪問軌跡。此外,瀏覽器發給服務器的初始請求所經過的路由器也可查看到這些請求信息。
但是,當客戶端用戶與Web服務器建立了鏈接,所有的內容將會被加密。該加密鏈接不僅可加密到最初請求的網站,託管在該服務器上的其他網站也會被加密。這種叫HTTP/2鏈接合併,或稱簡單的連接重用。當客戶端打開服務器鏈接時,該服務器會顯示託管站點的名稱。然後客戶端可通過加密方式訪問這些站點。
此時,用戶就無需啟動新的鏈接就可以訪問到該服務器上其他站點。用戶也不需要發送未加密的初始請求, 因為服務器名稱會指示用戶正確訪問相關的站點。這意味著用戶可訪問同一服務器上的任何站點,而無需向ISP和路徑路由器顯示用戶訪問明細。
隨著CDN的興起,越來越多的獨立站點是有一臺服務器提供的。由於目前客戶端可打開多個合併連 接,因此客戶端可同時鏈接到多個共享服務器和CDN,就算訪問不同服務器上的站點也不會洩露數 據。可見保護用戶隱私政策將會越來越好。
最後
Mozilla建議用戶在Firefox中通過HTTPS啟用DNS,作為所有用戶的默認設置。因為無論用戶是否瞭解DNS洩露,每個用戶都應該享有隱私信息安全保護。
為了驗證上述的方法是有效的,Mozilla團隊曾對此進行了測試。Mozilla曾要求Firefox Nightly 用戶幫忙收集有關性能的數據。然後如上述方法使用默認解析器,以及也將請求發送給Cloudflare的DoH解析器。然後再進行兩者比較,以確保一切如期所示。結果實驗證明:參與該過程的所有者,都無法利用到Cloudflare DNS響應的信息。因為都被Cloudflare響應刪除了。
文章由GDCA翻譯於hacks.mozilla。原創作者:Lin Clark,Mozilla開發者團隊中的工程師。
文章轉載https://www.trustauth.cn/wiki/25996.html
閱讀更多 GDCA數安時代 的文章
