之前,我们讲了落后腐朽的传教士阶层是怎么通过HTTP和SNI来限制伊朗人民正常的网络通信的,今天,我们来讲讲除去文本传输审查外,最重要的设施——DNS
DNS,即域名系统(
这就是一个典型的dns处理流程
这个时候,朋友们就会发现,既然访问需要依靠dns,那么,我把dns发送给用户的IP变成错误的不就能阻止访问了吗,收到数据后直接丢包,比如这样
dns污染原理图
这就是DNS污染,但DNS污染依然有个缺点,那就是无法阻止正确的dns解析结果,但接下来的技术手段却可以解决这个问题
DNS劫持
DNS劫持用到了一个最简单的技术原理,那就是当时设定dns标准的时候,为了更高好的解析速度,设定为数台DNS请求都发出去后,只会接受第一个发送给设备的dns服务器的解析结果,话不多说,直接上图
典型的DNS劫持流程图
DNS劫持和污染的解决方案及未来
前面说了这么多,难道DNS攻击方案真的就没有解决的办法吗?其实不然,因为dns请求都是UDP协议,使用53端口发送的,那么,我只需要把UDP改为TCP,用tls协议进行加密,不就可以解决了吗,没错,这就是最传统的dns安全方案,DOT(DNS over TLS),这个方案确实好用,但他还有个问题,一方面,因为需要tls加密,所以加解密的性能开销不会太好看,会导致解析慢,另一方面,其使用的853端口也是重点监控的,所以一方面,因为加解密的时延较大,另一方面,DOT还默认使用了 853 端口,虽然不知道查询内容,但是知道你在做 DNS 查询,而且鉴权能力弱,容易被第三方DOT恶意服务器攻击
这个时候,一个新的dns加密协议,DOH(DNS over HTTPS),顾名思义,它使用 HTTPS 来传输 DNS 协议,也就是TCP的五次握手,好处是走443的标准https端口,可以隐藏在无数的TLS/SSL流量中,而且可以做强鉴权,避免第三方恶意DOH服务器,是新一代的DNS加密,但不可否认,由于使用了https,所以结构栈复杂,性能开销极大,解析速度也慢,(不过如果使用 keep-alive 保持连接,整体响应速度会比 DoT 快)
这是两个常用的DNS加密技术,不过,还有两种更加先进的DNS加密技术,不过因为太新,大部分系统和软件都不支持,所以这里只简略介绍
H3协议
H3,也就是HTTP3协议,使用了UDP协议,利用QUIC协议加密,因为不需要额外握手和加密(QUIC本身就是加密的)所以效率会快很多,不过因为使用了HTTP3协议,所以即使加密了,也依然会有SNI的出现,所以有可能会被SNI阻断
DOQ协议
DOQ(DNS-over-QUIC)顾名思义,是基于QUIC协议的dns加密技术,和DOT和DOH的区别类似,DOQ只在dns协议中使用QULC进行加密,所以不会有SNI的存在,而且可以随意使用任意端口传输和接受,所以自定义性也极好,唯一的问题是,这里说的两种协议因为很新,所以目前设备和软件支持的很少,而且官方DNS服务器也目前没有支持,只能说未来可期
总结
目前来看,互联网看似安全,实际上依然是波涛汹涌,大部分网络请求依然是明文发送,即使是加密协议,也依然会露出马脚,不过不可否认的是,我们正在朝着密码学上更安全,更良好的互联网迈进
我们的目标一定要实现,我们的目标一定能实现,向互联网上吸食我们劳动成果和共享的牛鬼蛇神们发动一次历史性的,决定性的胜利!