为何要加密DNS?这个理由你看怎样!
|
每当我们通过浏览器访问一个网站时,如果看到地址栏显示了“锁”图标以及“https”的字样(如下图所示),那么了解IT技术的人就会知道:自己的浏览器与网站服务器间的通信会被加密,因而可以更放心地传输机密数据(如账户登录信息、银行卡信息等),无需担心流量被第三方窥探或篡改。
然而别忘了,在成功与网络服务器建立连接并显示页面之前,如果是通过域名来访问一个网站,那么浏览器首先还需要通过DNS服务将域名解析为IP地址。这个过程安全吗?加密了吗?相关流量有可能被窥探或篡改吗?很遗憾,大概率是存在一定风险的…… 也就是说,对于采用HTTPS协议的网站(绝大部分网站都已采用),第三方无法得知我们与网站服务器的通信内容,但如果DNS未加密(绝大部分网络都未加密DNS),至少也能知道我们访问了具体的哪个网站,甚至可能通过篡改DNS响应等方式将我们引导到一些恶意站点。 所以,DNS加密的必要性不用多说了吧。 一、DNS的历史 1983年,DNS(Domain Name System,域名系统)诞生。对于当时的很多中国人来说,“计算机”还是一个闻所未闻的陌生概念。 1986年,互联网三岁时,互联网工程任务组(IETF)将DNS确定为互联网的基础标准之一。然而如今我们所熟悉并且每天都在用的万维网(World Wide Web),还要再等三年才会诞生。
DNS对互联网和Web的正常运行是至关重要的,无论你在网上做什么都会涉及到DNS。当你收发邮件或IM消息、网购商品、访问工作所需的云端数据库时,DNS都会在后台默默地将所有这些“www”请求转换为承载了相关资源的服务器的物理地址。如果不使用DNS,那么要想收发邮件,你就必须牢记邮件服务器的物理IP地址。
早在信息高速公路、拨号调制解调器、Netscape Navigator(网景)浏览器这些概念被大众熟知之前,根据RFC 1034和RFC 1035创建的DNS就存在一个基本缺陷:DNS数据包会以不加密的明文形式在互联网上传输。这意味着任何人只要具备最基本的网络知识,就可以查看甚至篡改DNS流量。 这种情况在上世纪末还算可以接受,但自那之后,在线世界已经产生了翻天覆地的变化。整个行业逐渐意识到攻击者拦截并操纵IP流量可能产生的危害。如今,超过3/4的互联网流量已经使用HTTPS进行加密。虽然早在1999年就诞生了DNSSEC(Domain Name System Security Extension,域名系统安全扩展),但该技术的侧重点在于保证DNS响应的完整性(防止攻击者篡改响应内容),而非对DNS查询过程进行加密。 二、业界的回应 最开始,业界对DNS流量加密的态度有些迟缓。尤其是,配置客户端加密DNS的相关标准依然没有开发完毕,并且在当时看来,这并不是一个非常迫切的需求。因而客户端与解析程序之间的绝大部分DNS流量始终未进行加密。 但实际上已经有很多安全领域的学术研究论文开始讨论未加密DNS可能导致的安全问题。例如Akamai安全研究人员Asaf Nadler参与合作撰写的反恶意软件解决方案面对DNS攻击时的脆弱性。 这篇论文主要专注于端点反病毒解决方案如何使用DNS技术应对如今快速演变的安全威胁。简单来说,当一个端点反病毒解决方案通过与特征库进行对比,来扫描一个尚未被标记为安全或危险的文件时,需要使用DNS协议将文件哈希值发送到云数据库,借此检查该文件是否包含恶意内容(也就是所谓的“云查杀”)。这种方式确保了在设备上的特征库被更新之前,端点反病毒软件也能对新发现的安全威胁提供最及时有效的保护。 但这篇论文强调了在使用未加密DNS作为通信渠道的情况下,这种方式也能被用于作恶。例如服务器内容加密,理论上,攻击者可以向端点设备发送一份恶意文件,并确保该恶意文件的特征并未包含在设备安装的反病毒特征库中。这样,当设备上的反病毒软件向云端数据库发送请求时,攻击者就可以拦截请求,并通过篡改的响应让反病毒软件误以为该文件是安全的。 三、DNS加密不可或缺 此外,随着远程移动办公的兴起和不依赖VPN的零信任模型实现广泛应用,用户的一切行为都将在不可信的网络中一览无余。作为企业的IT部门,您真的愿意让网络管理员(或咖啡馆甚至共享办公室里的其他人)看到通过DNS查询暴露的各种可能的敏感信息吗? 这也进一步凸显了对DNS流量进行加密的必要性,正如我们对HTTP流量进行加密那样。目前,DNS加密方面主要有两个标准:DNS over HTTPS(DoH)以及DNS over TLS(DoT)。这些标准已经存在了一段时间,分别适合不同的使用场景。DoH和DoT专注于客户端设备与递归DNS解析程序之间的第一跳,但最复杂的地方主要聚焦于如何配置和提供DoH与DoT。例如,企业网络肯定不希望自己的客户端使用由不受信任的第三方运营的网外加密DNS服务器。 四、总结 加快DoH和/或DoT采用速度的一种方法是转为使用云端DNS解析器。Akamai的云端安全Web网关产品Enterprise Threat Protector已经全面支持DoH和DoT,并且有需要的用户还可以借此强制配置使用DNSSEC。如果对该服务感兴趣,欢迎访问akamai.com/products/enterprise-threat-protector ,以进一步了解该产品并注册免费的60天试用。 最后,欢迎广大知友们关注Akamai知乎机构号,第一时间了解Akamai在Web交付性能、安全性、边缘计算等领域的最新技术成果和解决方案,以及整个行业的发展趋势。 如需详细了解 Akamai 的安全、计算及交付解决方案,请【点击此处】填写Akamai会员注册表单,获取一对一专属解决方案。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
