4种DNS安全协议对比:DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS
DNS域名系统(Domain Name System的缩写),是一个将域名和IP地址相互映射的分布式数据库,能够使人通过便于记忆的域名地址访问互联网,而无需记住长串毫无关联性的IP地址。DNS可以理解为“互联网的地址簿”,是互联网的一项基础服务。
DNS的重要性也让其成了黑客主要攻击对象,常见的DNS攻击包括:DNS劫持、缓存投毒、DNS欺骗等等,目的就是通过各种攻击手段将正常访问合法网站的用户,引到黑客控制的假冒服务器上,进行钓鱼欺诈、窃取用户凭证或敏感数据等非法行为。
为了防止针对DNS系统的攻击,强化域名系统的安全性,互联网诞生了4种提升DNS安全性的协议,分别是DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS。
什么是DNSSEC
DNSSEC是“Domain Name System Security Extensions”的缩写,代表域名系统安全扩展,允许域名所有者对DNS记录进行数字签名,签名DNS记录的私有签名密钥通常仅由合法域名所有者持有,因此可防止未经授权的第三方修改DNS条目。
DNSSEC诞生于1997年,已经列入互联网标准化文档(参考RFC 4033、RFC 4034、RFC 4035),是最早大规模部署的DNS安全协议,所有的根域名服务器都已经部署了DNSSEC。
虽然DNSSEC已经诞生20年,但APNIC统计其采用率几乎不到19.3%,ICANN敦促业界普及使用DNSSEC协议。不过,DNSSEC协议仅提供真实性和完整性的校验,无法确保DNS流量通信的机密性。
什么是DNSCrypt
DNSCrypt是OpenDNS发布的加密DNS工具。与SSL将HTTP流量转换为HTTPS加密流量的原理相同,DNSCrypt也是将常规DNS流量转换为加密DNS流量,这样可以防止窃听和中间人攻击。它不需要对域名或它们的工作方式进行任何更改,只是提供了一种方法,安全加密客户端与DNS服务器之间的通信。在一定程度上,DNSCrypt比DNSSEC的保密性更强,因为DNSSEC只做数字签名的校验,而DNSCrypt既能加密DNS流量也能确保完整性。
不过,DNSCrypt客户端必须明确信任所选提供者的公钥,想使用哪个DNSCrypt服务器,就需要预先安装该服务器的公钥,而不是通过常规浏览器中受信任证书颁发机构列表获取信任;此外,DNSCrypt未申请列入标准化文档,在大规模的应用场景中存在一定的局限性。
什么是DNS over TLS
DNS over TLS(简称DoT)是一项安全协议,它可以强制所有和DNS服务器相关的链接都使用TLS,已列入标准文档(参见RFC 7858和RFC 8310)。
DNS over TLS 就是基于 TLS 隧道之上的域名协议,由于 TLS 本身已经实现了保密性与完整性,因此 DoT 自然也就具有这两项特性。DoT通过TLS协议及SSL/TLS证书实现安全加密和身份验证,实现保密性和完整性。
与前述两项协议相比,DNS over TLS更具优势:和DNSSEC相比,DNS over TLS具备了保密性;与 DNSCrypt相比,DNS over TLS已经形成标准化文档。不过,目前支持DNS over TLS 的客户端还不够多,主流浏览器还没有计划增加对DNS over TLS的支持。
什么是DNSoverHTTPS
很多人将DNSoverHTTPS和DNS over TLS混为一谈,事实上二者是两种不同的协议,DNS over TLS使用TCP作为基本的连接协议,而DNS over HTTPS使用HTTPS和HTTP/2进行连接;DNS over TLS有自己的端口853,DNS over HTTPS则使用HTTPS标准端口443。
不过,两种协议都是通过TLS加密和SSL/TLS证书来实现保密性与完整性。目前,DNS over HTTPS已经形成相应的草案,但还没有形成RFC标准化文档正式发布,但已经受到主流浏览器的青睐,Mozilla已经决定在Firefox Nightly中测试DNS-over-HTTPS协议。
Web服务器使用HTTPS加密已经得到广泛的普及和认同,而加密DNS服务器流量其实也是同等重要的。但实现DNS流量加密仍然需要DNS服务器、客户端浏览器等生态环境的支持。在DNS加密生态尚未完整建立的初期,部署EV SSL证书,在浏览器上直观显示绿色地址栏及单位名称,网站显示名称具有唯一性,让假冒服务器难以复制仿冒,有效降低用户被假冒网站钓鱼欺诈的风险。此外,也建议域名所有者尽快支持DNS加密,建立安全可信的DNS域名系统使用环境。
4种DNS安全协议对比:DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS相关推荐
- [网络协议]:如何验证DNS服务器是否支持dnssec协议
众所周知,DNSSEC对于DNS劫持虽然有极强的防御性,但由于被劫持的数据都会在验证失败后被丢弃,因而并不能让我们在DNS劫持的情况下获得正确的解析结果.(请先参考:什么是DNSSEC?DNSSEC的 ...
- HTTP协议介绍及常用HTTP协议对比
HTTP协议介绍及常用HTTP协议对比 HTTP协议简介 计算机网络体系介绍 TCP/IP通讯传输流 HTTP协议通信过程分析 常用HTTP协议介绍 GET与POST协议对比 HTTP状态码 HTTP ...
- 计算机网络体系结构分为几种,几种计算机网络体系结构的对比分析
几种计算机网络体系结构的对比分析 几种计算机网络体系结构的对比分析 摘要:在这篇文章中,将要简要的介绍三种不同的计算机体系结构: OSI 体系结构.TCP/IP体系结构以及综合在这两个基础上的五层体 ...
- 【计算机网络】网络层 : BGP 协议 ( BGP 协议简介 | BGP 协议信息交换 | BGP 协议报文格式 | BGP-4 常用报文 | RIP 、OSPF、BGP 协议对比 )
文章目录 一.路由选择协议分类 二.BGP 协议 简介 三.BGP 协议 信息交换过程 三.BGP 协议 报文格式 四.BGP 协议 特点 五.BGP-4 协议的 四种报文 六.RIP .OSPF.B ...
- Dubbo 3.0 前瞻之:常用协议对比及 RPC 协议新形态探索
作者 | 郭浩(项升) 阿里巴巴经济体 RPC 框架负责人 导读:Dubbo 社区策划了[Dubbo 云原生之路]系列文章,和大家一起回顾 Apache Dubbo 产品和社区的发展,并展望未来发展 ...
- 计算机网络 | IP协议相关技术与网络总结 :DNS、ICMP、DHCP、NAT/NAPT、通信流程
IP协议相关技术与网络总结 DNS DNS与域名 域名服务器 域名的解析流程 ICMP ping NAT/NAPT NAT NAPT NAT的缺陷 代理服务 DHCP 通信流程 浏览器中输入url后, ...
- c++判断ftp服务器文件存在性判断_BitTorrent协议与传统文件分发协议对比
一.文件传输 前端时间做了和文件传输相关的工作,今天抽空做个总结.总结一下平常使用的几种协议以及BtTorrent协议.其实BitTorrent协议也不是什么新协议,它诞生也十几年了.咱也蹭个热点,最 ...
- 三种主流流媒体协议比较
一.介绍 在流媒体协议中,常用的流媒体协议主要有 HTTP协议,RTSP协议和RTMP协议. 在国内视频网站多采用HTTP+MP4或者HTTP+FLV协议传输视频,而国外使用RTMP,RTSP等专门的 ...
- 【网络】几种常见的协议
几种常见的协议 DNS(Domain Name System):域名解析协议,端口号:53:通过域名解析获得域名所对应的IP FTP(File Transfer Protocol):文件传输协议,端口 ...
最新文章
- php实现人工神经网络算法,BP人工神经网络实现
- python __file__怎么实现_python lockfile(文件锁)
- YOLO:将yolo的.weights文件转换为keras、tensorflow等模型所需的.h5文件的图文教程
- Python变量的复制
- linux.命令格式,【Linux基础知识】Linux命令格式介绍
- 【Spring-IOC】bean扫描器ClassPathBeanDefinitionScanner详解
- was日志报检测到cpu饥饿
- pku 1276 Cash Machine 多重背包
- 解除windows10多账户远程桌面连接限制
- 多开夜神模拟器adb连接
- php5编译安装常见错误和解决办法集锦
- linux重启搜狗输入法命令
- android 中关于两张图片叠加方法(记录)
- pyecharts基本图表1——Calender(日历图)笔记
- 多态的摸索之路( 甲 )
- 中职计算机英语教学计划,中职英语基础模块1教学计划.docx
- 【Ngnix】Ngnix应用
- JPA教程(第五章)
- 非常牛逼的校园网过认证免流服务器
- Jackson之注解大全