Google 在大约 8 年前开始提供公共 DNS 服务,有助于增加一般使用者使用网路、浏览网页的速度。而近期 Google 正式宣布 Google Public DNS 开始支持 DNS-over-TLS(DOT),透过 TLS 加密技术将 DNS 的通讯进行加密保护,让使用者上网的隐私与安全更加有保障。
Google 公共 DNS 8 周年了
Google 提供的公共 DNS 服务,2018 年 8 月 正好是它的 8 周年纪念。或许有些读者曾经有过把电脑的 DNS 服务器改成 8.8.8.8,上网速度就变快的经验,到底 DNS 是什么呢?
DNS 的全名为 Domain Name System,中文翻译为域名系统,简单地说它的功能如同网络世界的电话簿,能将网址转译为 IP 地址。
IP 地址是分配给连上网路的设备所使用的数字标签,各设备之间需要知道彼此的 IP 地址才能互相沟通。以目前比较普遍的 IPv4 地址为例,是由 32 位的数字组成,会分成 4 组并以 10 进位方式书写,例如「208.80.152.2」,而下一代的 IPv6 地址,则是 128 位的数字,并以 8 组 16 进位方式书写,例如「2001:0db8:85a3:08d3:1319:8a2e:0370:7344」。
由于人类不容易记住这种长串数字,所以我们才会使用如「https://www.hi-linux.com」这样的文字来作为连接到网站时所用的网址,并透过 DNS 将网址转换为 IP 地址。
▲ DNS 能把网址转换为 IP 地址,不好的 DNS 可能需要查询多台服务器才能得到正确资料,造成解析速度瓶颈。
DNS 保障更上一层楼
根据 IETF(Internet Engineering Task Force,网际网路工程任务小组)的 RFC 7858 备忘录记载,在 2016 年 5 月,当时几乎所有的 DNS 流量都未经加密,容易形成安全漏洞并降低隐私保障,即便有 DNSSEC(Domain Name System Security Extensions,域名系统安全扩充)让使用者能够验证 DNS 服务器的资料,避免攻击者窜改回传的 IP 地址,进而引导至恶意网页,但仍无法避免窃听的问题。
DNS-over-TLS 的概念相当简单,在客户端与主机建立连线的过程中,双方会选用众所周知的通讯端口,并同意透过 TLS 会话(Session)来保护 DNS 连接、传输资料时的安全,杜绝攻击者窃听的可能。Google 也为了确保使用者的安全与隐私,公共 DNS 服务目前也引入了这个措施。
使用者可以选择严格或宽松等 2 种不同的 DNS-over-TLS 设定范本,前者的 DNS 服务器需要遵循 RFC 8310 的网域名称验证规范,在 853 端口建立 TLS 安全连接,否则会让 DNS 服务失效。后者则会透过 DHCP 等方式取得 DNS 组态设定,并会在无法建立安全连线时,自动采用 UDP 或 TCP 与标准的 53 端口与 DNS 通讯,具有通用性较高的优点,但缺点是客户端不会验证服务器的真实性,让安全性打些折扣。
为了提升服务效能,Google 也参考了 IETF RFC 7766 备忘录,透过使用 TLS 1.3(可提升连接速度与增加安全性)、TCP 快速开启(TCP Fast Open)、多重查询管线化(Pipelining of Multiple Queries)、乱序回应等方式,降低使用 TLS 所造成的效能虚耗。
▲ DNS-over-TLS 可以增加上网的安全与隐私保障。
目前 Google 已经开放 Android 9 设备使用 DNS-over-TLS,使用者只要到「设定 -> 网络 -> 进阶 -> 私密DNS」中,在服务器名称填入「dns.google」并保证即可,较旧版 Android 则不支援 DNS-over-TLS。
至于其他设备的使用者,可以手动将 IPv4 的 DNS 服务器设为 8.8.8.8、8.8.4.4.,IPv6 则为 2001:4860:4860::8888、2001:4860:4860::8844,一样也可以享受 DNS-over-TLS 的保障。
来源:电脑王原文:http://t.cn/EqcPSzA 题图:来自谷歌图片搜索版权:本文版权归原作者所有
今日思想
世界上一成不变的东西,只有“任何事物都是在不断变化的”这条真理。
—— 斯里兰卡
推荐阅读
