文末好礼|美国国家安全局提供使用加密DNS的指导

一、技术细节

在传统的DNS架构中，当客户端提交一个DNS查询时，它首先转到企业递归DNS解析器。根据美国国家安全局的说法，这通常是通过动态主机配置协议(DHCP)分配的。

美国国家安全局解释说:“企业DNS解析器将从其缓存中返回已回答的查询，或通过企业网关将查询转发到外部权威DNS服务器。”DNS的响应将通过企业网关返回到企业DNS解析器，最后返回到客户端。在交换过程中，企业DNS解析器和企业网关都可以看到明文查询和响应，并将其记录下来进行分析，如果它看起来是恶意的或违反了企业策略，则可以阻止它。”

根据美国国家安全局的说法，DoH对DNS请求进行加密，以防止窃听和操纵DNS流量。虽然DoH有利于确保家庭和小型企业网络的隐私，但如果不正确实施的话，它可能会给企业网络带来风险。

DoH也保护客户端和DNS解析器之间的DNS通信。由于该流量是加密的，并与其他HTTPS流量混合到网站上，黑客很难确定哪些数据包包含DNS请求或响应，并查看请求的域名和IP地址。

美国国家安全局表示:“DNS解析器的响应也经过了认证，并受到保护，不会被未经授权的修改。”“相比之下，传统的DNS交易是在专门用于DNS的端口上以明文形式进行的，因此网络威胁参与者可以很容易地读取和修改传统的DNS流量。”美国国家安全局表示，使用DoH的潜在缺陷包括绕过通常的DNS监控和保护，造成网络错误配置，并允许攻击者利用上游DNS流量。

2020年5月，美国网络安全与基础设施安全局发布了一份备忘录，提醒联邦机构仅可使用已获批准的DNS解析服务，以确保网络流量的安全。

2、使用DoH

美国国家安全局建议，没有企业DNS控制保护的家庭、移动和远程办公用户使用DoH来保护DNS通信的机密性和完整性。该机构补充说，一些信誉良好的DNS解析器提供了额外的保护，公众可以免费使用。

该机构指出:“如果外部源提供了保护DNS功能，那么该特定解析器应该允许加密DNS，其他所有DNS都应该被屏蔽。”

E安全发放重磅大礼！

动动手指，即可领取

  参与方式：

转发本文至朋友圈

点赞10个，获得礼品1

点赞20个，获得礼品2

点赞30个，获得礼品3

小tip：快邀请好友为你点赞吧~