一、技术细节
在传统的DNS架构中,当客户端提交一个DNS查询时,它首先转到企业递归DNS解析器。根据美国国家安全局的说法,这通常是通过动态主机配置协议(DHCP)分配的。
美国国家安全局解释说:“企业DNS解析器将从其缓存中返回已回答的查询,或通过企业网关将查询转发到外部权威DNS服务器。”DNS的响应将通过企业网关返回到企业DNS解析器,最后返回到客户端。在交换过程中,企业DNS解析器和企业网关都可以看到明文查询和响应,并将其记录下来进行分析,如果它看起来是恶意的或违反了企业策略,则可以阻止它。”
根据美国国家安全局的说法,DoH对DNS请求进行加密,以防止窃听和操纵DNS流量。虽然DoH有利于确保家庭和小型企业网络的隐私,但如果不正确实施的话,它可能会给企业网络带来风险。
DoH也保护客户端和DNS解析器之间的DNS通信。由于该流量是加密的,并与其他HTTPS流量混合到网站上,黑客很难确定哪些数据包包含DNS请求或响应,并查看请求的域名和IP地址。
美国国家安全局表示:“DNS解析器的响应也经过了认证,并受到保护,不会被未经授权的修改。”“相比之下,传统的DNS交易是在专门用于DNS的端口上以明文形式进行的,因此网络威胁参与者可以很容易地读取和修改传统的DNS流量。”美国国家安全局表示,使用DoH的潜在缺陷包括绕过通常的DNS监控和保护,造成网络错误配置,并允许攻击者利用上游DNS流量。
2020年5月,美国网络安全与基础设施安全局发布了一份备忘录,提醒联邦机构仅可使用已获批准的DNS解析服务,以确保网络流量的安全。
2、使用DoH
美国国家安全局建议,没有企业DNS控制保护的家庭、移动和远程办公用户使用DoH来保护DNS通信的机密性和完整性。该机构补充说,一些信誉良好的DNS解析器提供了额外的保护,公众可以免费使用。
该机构指出:“如果外部源提供了保护DNS功能,那么该特定解析器应该允许加密DNS,其他所有DNS都应该被屏蔽。”
注:本文由E安全编译报道,转载请注原文地址 http://www.easyaq.com
推荐阅读:
▼稿件合作 15558192959
小E微信号:Eanquan0914
喜欢记得打赏小E哦!
大家好,小丽今天来为大家解答换元法以下问题,换元法求定积分很多人还不知道,现在让我们一起来看看吧!1、换元法指的是解数学问题时,使用
大家好,小娟今天来为大家解答国内唯一的kcar以下问题,国内唯一的粉色沙滩很多人还不知道,现在让我们一起来看看吧!1、Kcar目前是没有在中国
当前,科技立异已成为井冈山经开区成长新质生产力的“主攻偏向”,稀奇是经由强化科技立异和财富立异深度融合,一多量“硬核科技”的“经开
大家好,小豪今天来为大家解答众说纷纭什么意思以下问题,众说纷纭是什么短语很多人还不知道,现在让我们一起来看看吧!1、众说纷纭的意思
大家好,小伟今天来为大家解答点头英语以下问题,我点了点头英语很多人还不知道,现在让我们一起来看看吧!1、点头:nod 摇头:shake one's head 词
注重河北大局限降雨即将上线今世界午到夜间全省大部门区域有雷阵雨或阵雨雷雨时局地伴有短时大风、短时强降水冰雹等强对流天色请提防强对流
大家好,小伟今天来为大家解答床头柜风水禁忌以下问题,为什么床头柜不能只放一个很多人还不知道,现在让我们一起来看看吧!1、床头柜一定要
大家好,小伟今天来为大家解答都江堰什么时候修建的以下问题,都江堰在什么时候修建很多人还不知道,现在让我们一起来看看吧!1、 [1] 都江堰
Copyright 2024 优质自媒体,让大家了解更多图文资讯!