Ir dažādi veidi, kā aizsargāt DNS vaicājumus, taču katrai pieejai ir savas stiprās un vājās puses.
Domēna vārdu sistēma (DNS) tiek plaši uzskatīta par interneta tālruņu grāmatu, kas pārvērš domēna nosaukumus datoros lasāmā informācijā, piemēram, IP adresēs.
Ikreiz, kad adreses joslā ierakstāt domēna nosaukumu, DNS automātiski pārvērš to par atbilstošo IP adresi. Jūsu pārlūkprogramma izmanto šo informāciju, lai izgūtu datus no sākotnējā servera un ielādētu vietni.
Taču kibernoziedznieki bieži var izspiegot DNS trafiku, tāpēc ir nepieciešama šifrēšana, lai jūsu tīmekļa pārlūkošana būtu privāta un droša.
Kas ir DNS šifrēšanas protokoli?
DNS šifrēšanas protokoli ir paredzēti, lai palielinātu jūsu tīkla vai vietnes privātumu un drošību, šifrējot DNS vaicājumus un atbildes. DNS vaicājumi un atbildes tiek regulāri sūtītas vienkāršā tekstā, kas kibernoziedzniekiem atvieglo sakaru pārtveršanu un iejaukšanos tajā.
DNS šifrēšanas protokoli šiem hakeriem apgrūtina jūsu sensitīvo datu skatīšanu un modificēšanu vai tīkla darbības traucējumus. Ir dažādas
šifrēti DNS pakalpojumu sniedzēji, kas var aizsargāt jūsu vaicājumus no ziņkārīgo acīm.Visizplatītākie DNS šifrēšanas protokoli
Mūsdienās tiek izmantoti vairāki DNS šifrēšanas protokoli. Šos šifrēšanas protokolus var izmantot, lai novērstu slaucīšanu tīklā, šifrējot trafiku HTTPS protokolā, izmantojot transporta slāņa drošības (TLS) savienojumu.
1. DNSCrypt
DNSCrypt ir tīkla protokols, kas šifrē visu DNS trafiku starp lietotāja datoru un vispārējiem nosaukumu serveriem. Protokols izmanto publiskās atslēgas infrastruktūru (PKI), lai pārbaudītu DNS servera un jūsu klientu autentiskumu.
Tas izmanto divas atslēgas, publisko atslēgu un privāto atslēgu, lai autentificētu saziņu starp klientu un serveri. Kad tiek uzsākts DNS vaicājums, klients to šifrē, izmantojot servera publisko atslēgu.
Pēc tam šifrētais vaicājums tiek nosūtīts serverim, kurš atšifrē vaicājumu, izmantojot savu privāto atslēgu. Tādā veidā DNSCrypt nodrošina, ka saziņa starp klientu un serveri vienmēr tiek autentificēta un šifrēta.
DNSCrypt ir salīdzinoši vecāks tīkla protokols. To lielā mērā aizstāja DNS-over-TLS (DoT) un DNS-over-HTTPS (DoH), jo šie jaunākie protokoli nodrošina plašāku atbalstu un spēcīgākas drošības garantijas.
2. DNS-over-TLS
DNS over-TLS šifrē jūsu DNS vaicājumu, izmantojot transporta slāņa drošību (TLS). TLS nodrošina, ka jūsu DNS vaicājums ir pilnībā šifrēts, novēršot cilvēka vidū (MITM) uzbrukumus.
Ja izmantojat DNS over-TLS (DoT), jūsu DNS vaicājums tiek nosūtīts uz DNS over-TLS risinātāju, nevis uz nešifrētu atrisinātāju. DNS over-TLS atrisinātājs atšifrē jūsu DNS vaicājumu un jūsu vārdā nosūta to autoritatīvajam DNS serverim.
DoT noklusējuma ports ir TCP ports 853. Kad izveidojat savienojumu, izmantojot DoT, gan klients, gan atrisinātājs veic digitālo rokasspiedienu. Pēc tam klients nosūta DNS vaicājumu, izmantojot šifrētu TLS kanālu, atrisinātājam.
DNS atrisinātājs apstrādā vaicājumu, atrod atbilstošo IP adresi un nosūta atbildi atpakaļ klientam, izmantojot šifrētu kanālu. Šifrētu atbildi saņem klients, kur tā tiek atšifrēta, un klients izmanto IP adresi, lai izveidotu savienojumu ar vēlamo vietni vai pakalpojumu.
3. DNS pār HTTPS
HTTPS ir drošā HTTP versija, ko tagad izmanto, lai piekļūtu vietnēm. Tāpat kā DNS-over-TLS, DNS-over-HTTPS (DoH) arī šifrē visu informāciju, pirms tā tiek nosūtīta tīklā.
Lai gan mērķis ir vienāds, starp DoH un DoT ir dažas būtiskas atšķirības. Vispirms DoH nosūta visus šifrētos vaicājumus, izmantojot HTTPS, nevis tieši izveido TLS savienojumu trafika šifrēšanai.
Otrkārt, tas izmanto 403. portu vispārējai saziņai, apgrūtinot atšķiršanu no vispārējās tīmekļa trafika. DoT izmanto portu 853, padarot daudz vieglāk identificēt trafiku no šī porta un bloķēt to.
DoH ir pieredzējis plašāku ieviešanu tādās tīmekļa pārlūkprogrammās kā Mozilla Firefox un Google Chrome, jo tā izmanto esošo HTTPS infrastruktūru. DoT biežāk izmanto operētājsistēmas un īpašie DNS risinātāji, nevis tieši integrēti tīmekļa pārlūkprogrammās.
Divi galvenie iemesli, kāpēc DoH ir piedzīvojusi plašāku ieviešanu, ir tas, ka to ir daudz vieglāk integrēt esošajā tīmeklī pārlūkprogrammas, un, kas ir vēl svarīgāk, tas nemanāmi saplūst ar parasto tīmekļa trafiku, padarot to daudz grūtāku bloķēt.
4. DNS-over-QUIC
Salīdzinot ar citiem DNS šifrēšanas protokoliem šajā sarakstā, DNS-over-QUIC (DoQ) ir diezgan jauns. Tas ir jauns drošības protokols, kas nosūta DNS vaicājumus un atbildes, izmantojot QUIC (ātro UDP interneta savienojumu) transporta protokolu.
Mūsdienās lielākā daļa interneta trafika balstās uz pārraides kontroles protokolu (TCP) vai lietotāja datugrammu protokolu (UDP), un DNS vaicājumi parasti tiek nosūtīti, izmantojot UDP. Tomēr QUIC protokols tika ieviests, lai novērstu dažus TCP/UDP trūkumus un palīdz samazināt latentumu un uzlabot drošību.
QUIC ir salīdzinoši jauns Google izstrādāts transporta protokols, kas paredzēts, lai nodrošinātu labāku veiktspēju, drošību un uzticamību salīdzinājumā ar tradicionālajiem protokoliem, piemēram, TCP un TLS. QUIC apvieno gan TCP, gan UDP funkcijas, vienlaikus integrējot arī iebūvēto šifrēšanu, kas ir līdzīga TLS.
Tā kā tas ir jaunāks, DoQ piedāvā vairākas priekšrocības salīdzinājumā ar iepriekš minētajiem protokoliem. Iesācējiem DoQ piedāvā ātrāku veiktspēju, samazinot kopējo latentumu un uzlabojot savienojuma laiku. Tas nodrošina ātrāku DNS izšķirtspēju (laiks, kas nepieciešams, lai DNS atrisinātu IP adresi). Galu galā tas nozīmē, ka vietnes jums tiek pasniegtas ātrāk.
Vēl svarīgāk ir tas, ka DoQ ir izturīgāks pret pakešu zudumu, salīdzinot ar TCP un UDP, jo tas var atgūties no zaudētajām paketēm, neprasot pilnīgu atkārtotu pārraidi, atšķirībā no TCP protokoliem.
Turklāt savienojumus ir daudz vieglāk migrēt, izmantojot arī QUIC. QUIC vienā savienojumā iekapsulē vairākas straumes, samazinot savienojumam nepieciešamo turp un atpakaļ braucienu skaitu un tādējādi uzlabojot veiktspēju. Tas var būt noderīgi arī, pārslēdzoties starp Wi-Fi un mobilo tīklu.
Salīdzinot ar citiem protokoliem, QUIC vēl nav plaši pieņemts. Taču tādi uzņēmumi kā Apple, Google un Meta jau izmanto QUIC, bieži izveidojot savu versiju (Microsoft izmanto MsQUIC visai savai SMB trafikai), kas sola labu nākotni.
Nākotnē sagaidiet vairāk izmaiņu DNS
Paredzams, ka jaunās tehnoloģijas būtiski mainīs veidu, kā mēs piekļūstam tīmeklim. Piemēram, daudzi uzņēmumi tagad izmanto blokķēdes tehnoloģijas, lai izstrādātu drošākus domēna nosaukumu piešķiršanas protokolus, piemēram, HNS un Unstoppable Domains.