lswcap
Cloudflare与Apple合作宣布了一个新的DNS协议ODoH(HTTPS上的双重DNS)。到目前为止,ODoH允许您隐藏客户端源IP地址并通过DNS验证提高隐私性。
DNS是Internet上必不可少的协议,它将域名转换为IP地址。但是,由于DNS通常未加密,因此存在诸如欺骗和通信拦截之类的风险。在增强DNS安全性方面,最近引起关注的是,它没有配备以TLS或HTTPS执行的DoT(基于TLS的DNS)和DoH(基于HTTPS的DNS)的DNS自加密功能,但是具有原始的加密功能,它通过将DNS数据放在HTTPS和HTTPS上来间接加密DNS,从而逐渐传播到Internet。
但是,即使使用DoT和DoH,作为TLS或HTTPS的下层协议的IP部分也无法加密,因此存在一个问题,即可以验证发送DNS查询的用户的源IP地址。由解析器。 ODoH是由Cloudflare,Apple和Fastly共同开发的新协议,用于解决此问题。
ODoH的特定方法与常规DoH相似,因为DNS查询和响应是使用HTTPS发送的,但是ODoH使用称为HPKE(混合公共密钥加密)的公共密钥加密,该加密对来自客户端的DNS查询进行加密并将其发送到代理。代理客户端将DNS查询发送到目标,并且目标解密加密的DNS查询。解密后的DNS查询是一种结构,该结构使用一个程序将DNS响应发送到客户端,该程序以与发送到解析器的DNS查询相反的顺序进行解析。
通过在客户端和目标之间放置代理,目标将无法知道客户端IP地址。另外,由于在客户端和目标之间对DNS查询进行了加密,因此无法确定代理DNS查询的内容。除非代理服务器和目标服务器冲突,否则用户隐私将受到保护。它还说明了ODoH的优点是客户端可以选择代理和目标。
如果目标是隐藏客户端IP,则可以认为客户端和目标之间的端到端加密是不必要的。但是,Cloudflare说这是因为ODoH需要两个TLS连接。在ODoH中,如果DNS查询本身未加密(客户端代理和代理目标中都存在),则只要DNS查询出现在代理中,就可以公开TLS连接。
至于ODoH性能,在50%的范围内ODoH可以响应305.1毫秒,但它不如一般的DoH,但表现出比使用Tor更高的性能。此外,Cloudflare已经发布了ODoH客户端(odoh-client-rs,odoh-client-go)。 Cloudflare表示,lTek期望更多的运营商运营诸如代理和目标之类的基础架构,支持ODoH,并在客户端对ODoH做出响应以及基础架构维护。相关信息可以在这里找到。
Add comment