隱身DNS查詢方法問世 可將解析請求與用戶身份解

?

??????域名系統(tǒng)(DNS)是一項明文服務(wù)，能搭上網(wǎng)線的人都能捕獲用戶的DNS流量，看看他們訪問的是不良網(wǎng)站還是正常網(wǎng)站。于是，為強化用戶的隱私安全，一組研究人員提出了更加“隱身”的DNS協(xié)議。

?

? ? ? ?研究人員解釋稱，甚至加密DNS（比如TLS加密的DNS）也依然暴露在遞歸域名解析服務(wù)器面前（直接連接客戶端的DNS），因為該服務(wù)器要解密用戶DNS請求才可以獲得用戶想訪問站點的IP地址。

?

? ? ? ?換句話說，無論用的是ISP的域名解析服務(wù)器，還是第三方提供的域名解析服務(wù)器，比如谷歌或Cloudflare的，在某種程度上，用戶不得不信任該解析服務(wù)器會好好處理你的DNS請求。

?

? ? ? ?而身處司法機構(gòu)對互聯(lián)網(wǎng)流量監(jiān)控越來越嚴的時代，DNS請求也需要端到端的保護，因為運營商可能就是司法機構(gòu)要求數(shù)據(jù)的對象。

?

? ? ? ?看看IPv6艱難的推進過程就知道，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施擁有者幾乎不可能部署需要對自身裝備大舉重構(gòu)的技術(shù)。

?

? ? ? ?為避免遭遇到和IPv6相同的窘境，“隱身DNS”被設(shè)計成無需對現(xiàn)有DNS做任何修改即可操作的模式，能在當前DNS服務(wù)器毫無改動的情況下提升數(shù)據(jù)隱私安全。

?

? ? ? ?“隱身DNS”是在當前系統(tǒng)的基礎(chǔ)上增加2個基礎(chǔ)設(shè)施組件：遞歸域名解析服務(wù)器和客戶端之間插進一個存根解析服務(wù)器；并新增一個主域名服務(wù)器，.odns處于根服務(wù)器和頂級域名服務(wù)器相同的層級。

?

? ? ? ?這種模式下：

?

• 存根服務(wù)器接受用戶查詢（“某域名的IP地址是什么呀？”），以會話密鑰/公鑰的組合加密該查詢請求；

• 遞歸域名解析服務(wù)器接收該被加密過的請求（附加了.odns域）和會話密鑰；

• 遞歸解析服務(wù)器看到.odns就會將該請求轉(zhuǎn)給ODNS主域名服務(wù)器，由主域名服務(wù)器解密該請求并像遞歸服務(wù)器一樣按正常的模式處理該DNS解析請求（繼續(xù)傳遞給上一級域名服務(wù)器或就地解析）；

• ODNS加密返回的解析結(jié)果并將之傳回給存根服務(wù)器，再由存根服務(wù)器發(fā)回客戶端。

?

? ? ? ?這樣就能將DNS解析請求與用戶的身份解耦了。

?

用戶連接的遞歸服務(wù)器知道用戶的IP地址，但不知道用戶的查詢請求內(nèi)容；ODNS解析服務(wù)器可以看到查詢請求，但只知道用戶連接的遞歸服務(wù)器的IP地址，而不知道用戶的IP地址。

?

同樣地，可以訪問域名服務(wù)器的攻擊者不可能看見用戶的IP地址，因為用戶的域名查詢請求來自于ODNS服務(wù)器。

?

? ? ? ?提出“隱身DNS”協(xié)議的研究人員均為標準制定社區(qū)中的大拿級人物。他們在3月底的時候貼出了會議演講內(nèi)容，并強調(diào)，“隱身DNS”還在不斷完善中。
?

https://odns.cs.princeton.edu/pdf/ODNS_OARC28.pdf