安全DNS的作用是什么

发表于

您现在看到的是FAQ-网络安全专题中的 3/16

有个朋友问到chrome里面的这个安全DNS的作用,还有这么几个问题:

问题1:这样设置的目的有哪些,可以从商业角度、技术角度等等方面分析

问题2:为什么直接输入https://www.xxx.com,打不开浏览器呢

问题3:按照图中操作步骤Z-U-I终能够打开浏览器,这里面的原理是什么呢

问题4:这样操作有没有什么风险?如何规避呢?

我刚好也是windows10,使用的是chrome97

不过因为我的chome安全了很多插件,导致浏览器处于“管理”状态,不能配置

但是firefox,edge 目前都支持这个功能

比如我的edge浏览器:

什么是DNS?

https://blog.chromium.org/2020/05/a-safer-and-more-private-browsing-DoH.html

看这个图片,图是chrome博客的图片

我们上网的时候,比如访问 https://www.taobao.com ,是使用了HTTPS去访问淘宝这个网站

但是我们电脑要和www.taobao.com 通信,就必须知道淘宝的IP地址,计算机网络就是通过IP地址进行通信,把www.taobao.com 转换成IP地址的过程就是DNS解析

所以,电脑会发送一个DNS query请求解析的数据包到DNS server (这个DNS服务器可以使用ipconfig/all看到),关键是,DNS本身是不加密的,这个过程是很容易被黑客利用的,很多普通用户家庭的路由器其实被入侵了,更换了一个假的DNS服务器(黑客自己搭建的),这样这个DNS过程其实就相当于,你要访问www.taobao.com,但是你问的这个DNS server是个大黑客,就会告诉你错误的地址

什么是安全DNS?

这个图片也是chrome博客的,我借用

把DNS协议使用 DNS-Over-HTTPS (简称DoH)这个协议替代掉,就可以有效解决黑客入侵DNS协议过程,

说下这个朋友的这几个问题:

问题1:这样设置的目的有哪些,可以从商业角度、技术角度等等方面分析

上面的DNS,和DNS over HTTPs的区别已经解释了

DNS和DNS overhttps数据包的样子是什么?

看看DNS,你在电脑上登陆什么网站都是有过程可以看到的

使用wireshark抓包看DNS

如果你使用了DNS over https,那么你电脑上解析网址的过程就抓不到了!!!

图片来源: (我wireshark死机了,我直接用别人的图片)

Network Traffic Analysis for Web Browsing with DNS over HTTPS and HTTP/3.0 | by Kasun Chathuranga | Medium

使用 dns over https的优势:

1 认证及鉴权 (就是判断对方的身份是否合法,比如手机判断基站合法这个过程也叫做鉴权)

2. 数据完成性 (DNS通信过程中是否发生过修改,就是数据完整性,意思就是你给别人发的美女图片这个数据包在传输过程中是否被修改过)

3.保密性 (就是数据传输过程中加密了,黑客就算拿到你的数据,但是解密不出来)

简单说,就是安全

对于普通用户,就是如果我是FBI,以前我能抓你的数据包,说你上过什么网站,因为你的电脑DNS解析过什么网址,但是如果你用了DoH,我这个FBI就不能知道你电脑解析过什么网站了

问题2:为什么直接输入https://www.xxx.com,打不开浏览器呢

我测试了,可以打开,只不过是证书无效

证书无效,其实就是他不敢合法使用互联网公开的证书颁发机构的证书,网站要么是有鬼,要么是私人搭建

意思,就是他给你看的身份证是他自己画的!

问题3:按照图中操作步骤Z-U-I终能够打开浏览器,这里面的原理是什么呢

就是通信过程加密了,看DNS over https的原理

问题4:这样操作有没有什么风险?如何规避呢?

你可以绕开DNS server服务器的限制策略

如果你是一个普通网民,你试图绕开法律限制访问什么网址,在国内,对方的网站如果没有备案,没有工商信息,那你就要非常小心了,因为他什么谎话都可能说了,如果遇到诈骗建议你立即举报

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注