谷歌将为安卓 OS 增加 “DNS over TLS” 功能阻止网络欺骗攻击
作者:Mohit Kumar
翻译:360代码卫士团队
毫无疑问,互联网服务商或网络级别的黑客无法监控https通信,但是,他们仍然能够看到用户的DNS请求,从而获悉用户所访问的站点。
谷歌正在为安卓推出一种新的安全功能,阻止网络流量遭网络欺骗攻击。
几乎所有的互联网活动都以DNS查询开始,因此DNS查询是互联网的基石。DNS就像是互联网的电话本,将人类可读取的网络地址解析为IP地址。DNS查询和响应以明文文本(通过UDP或TCP)且在不加密的情况下发送,从而导致用户易遭窃听且隐私易遭攻陷。
互联网服务提供商从服务器中解析DNS查询。因此,当用户在浏览器中输入一个网站名称时,查询首先会从DNS服务器中找到该网站的IP地址,从而最终将元数据暴露给互联网服务提供商。另外,DNS安全扩展DNSSEC仅提供数据完整性而非隐私。
“DNSover TLS” 功能仍在实验阶段为了解决这个问题,互联网工程任务组(IETF) 去年提出了一项实验功能即“DNS over TLS” (RFS 7858),它的运作方式跟https几乎并无区别。跟TLS加密协议确保HTTPS连接在加密方面的安全一样,DNS-over-TLS也会通过端对端验证的DNS查询增强用户隐私和安全。
据报道,谷歌正在为安卓开源项目(AOSP) 提供 “DNSover TLS” 支持,目前正在处于试验阶段。智能手机用户可在开发者选项设置中开启或关闭该功能。Xda-开发人员表示有望在安卓8.1中推出该功能。
然而,仅启用 “DNS over TLS(通过TLS协议传输DNS查询)” 功能将无法阻止互联网服务提供商了解用户所访问的网站。
服务器名称标识 (SNI) 是TLS协议的一个扩展,它也会提示互联网服务提供商关于浏览器在“握手”进程的开始所联系的主机名称。因此要想完全匿名,用户仍然需要结合使用受信任且安全的VPN服务。
Windows系统的DNS存在bug 攻击者可在用户电脑上运行代码
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2017/10/android-dns-over-tls.html