之前,我們講了落後腐朽的傳教士階層是怎麼通過HTTP和SNI來限制伊朗人民正常的網絡通信的,今天,我們來講講除去文本傳輸審查外,最重要的設施——DNS
DNS,即域名系統(
這就是一個典型的dns處理流程
這個時候,朋友們就會發現,既然訪問需要依靠dns,那麼,我把dns發送給用戶的IP變成錯誤的不就能阻止訪問了嗎,收到數據後直接丟包,比如這樣
dns汙染原理圖
這就是DNS汙染,但DNS汙染依然有個缺點,那就是無法阻止正確的dns解析結果,但接下來的技術手段卻可以解決這個問題
DNS劫持
DNS劫持用到了一個最簡單的技術原理,那就是當時設定dns標準的時候,為了更高好的解析速度,設定為數臺DNS請求都發出去後,只會接受第一個發送給設備的dns服務器的解析結果,話不多說,直接上圖
典型的DNS劫持流程圖
DNS劫持和汙染的解決方案及未來
前面說了這麼多,難道DNS攻擊方案真的就沒有解決的辦法嗎?其實不然,因為dns請求都是UDP協議,使用53端口發送的,那麼,我只需要把UDP改為TCP,用tls協議進行加密,不就可以解決了嗎,沒錯,這就是最傳統的dns安全方案,DOT(DNS over TLS),這個方案確實好用,但他還有個問題,一方面,因為需要tls加密,所以加解密的性能開銷不會太好看,會導致解析慢,另一方面,其使用的853端口也是重點監控的,所以一方面,因為加解密的時延較大,另一方面,DOT還默認使用了 853 端口,雖然不知道查詢內容,但是知道你在做 DNS 查詢,而且鑑權能力弱,容易被第三方DOT惡意服務器攻擊
這個時候,一個新的dns加密協議,DOH(DNS over HTTPS),顧名思義,它使用 HTTPS 來傳輸 DNS 協議,也就是TCP的五次握手,好處是走443的標準https端口,可以隱藏在無數的TLS/SSL流量中,而且可以做強鑑權,避免第三方惡意DOH服務器,是新一代的DNS加密,但不可否認,由於使用了https,所以結構棧複雜,性能開銷極大,解析速度也慢,(不過如果使用 keep-alive 保持連接,整體響應速度會比 DoT 快)
這是兩個常用的DNS加密技術,不過,還有兩種更加先進的DNS加密技術,不過因為太新,大部分系統和軟件都不支持,所以這裡只簡略介紹
H3協議
H3,也就是HTTP3協議,使用了UDP協議,利用QUIC協議加密,因為不需要額外握手和加密(QUIC本身就是加密的)所以效率會快很多,不過因為使用了HTTP3協議,所以即使加密了,也依然會有SNI的出現,所以有可能會被SNI阻斷
DOQ協議
DOQ(DNS-over-QUIC)顧名思義,是基於QUIC協議的dns加密技術,和DOT和DOH的區別類似,DOQ只在dns協議中使用QULC進行加密,所以不會有SNI的存在,而且可以隨意使用任意端口傳輸和接受,所以自定義性也極好,唯一的問題是,這裡說的兩種協議因為很新,所以目前設備和軟件支持的很少,而且官方DNS服務器也目前沒有支持,只能說未來可期
總結
目前來看,互聯網看似安全,實際上依然是波濤洶湧,大部分網絡請求依然是明文發送,即使是加密協議,也依然會露出馬腳,不過不可否認的是,我們正在朝著密碼學上更安全,更良好的互聯網邁進
我們的目標一定要實現,我們的目標一定能實現,向互聯網上吸食我們勞動成果和共享的牛鬼蛇神們發動一次歷史性的,決定性的勝利!