我听说过反对 DNS-over-HTTPS 的论点,认为它应该是网络防御者的安全噩梦,因为与通过端口 853 的 DNS-over-TLS 相比,它通过端口 443 启用加密 DNS。
我不理解这个论点,因为 DoH 上的恶意流量实际上比通过端口 443 的 VPN 连接或通过端口 443 通过 HTTPS 的代理连接更难检测和阻止?如果您是网络防御者,并且您的网络中允许第三方 VPN 和代理连接,为什么 DNS-over-HTTPS 会使您的工作变得比现在更加困难,为什么 DNS-over-TLS 会如此好多了?
技术只是技术,可以用于善恶。DNS over HTTPS (DoH) 旨在解决未加密 DNS 的隐私问题,而 DNSSEC无需加密即可解决完整性问题。与基于 TLS 的 DNS (DoT) 一起,它们都在与恶意网络运营商的威胁作斗争,该运营商监视您的 DNS 流量或伪造响应。
另一方面,监控 DNS 流量和伪造记录也可用于检测和阻止取决于 DNS 解析的恶意流量。这就是解决这些技术威胁实际上会降低整体安全性的地方,尤其是在企业网络上。组织的威胁模型自然不同于为组织工作的任何个人的威胁模型。
确实,如果允许 VPN 连接,则无法阻止 DoH 是无关紧要的。在公司网络上,VPN 连接(以及 DoH)可以被策略禁止(弱)或被 TLS 检查阻止(有效,但有时是非法的或需要特殊的隐私考虑)。
与 DoH 相比,DoT 很容易被阻止,因为它根据RFC 7858有一个专用端口 853 (tcp&udp) 。
有关该主题的更详细见解,我建议:Drew Hjelm:A New Needle and Haystack:Detecting DNS over HTTPS Usage(SANS Institute 2019)。它也有一些真正的安全问题的例子:
2.3. 来自加密 DNS 的公共威胁
组织需要开始评估与 DoH 协议相关的风险,因为攻击者已经开始使用 DoH 来查找命令和控制 (C2) 服务器。DoH 作为 C2 机制最著名的例子是 2019 年 4 月的 Godlua 后门(360 Netlab,2019)。Godlua 后门的较新变体在 Linux 和 Windows 上运行,并使用 DoH 请求来获取其 C2 信息的一部分。
攻击者可以在攻击中使用 DoH 的另一种方法是触发重定向网页作为垃圾邮件活动的一部分。MyOnlineSecurity (2019) 的研究人员发现了一个样本,其中电子邮件附件有一个 Base64 编码的字符串,可以查询 Google DoH 以获取 TXT 记录。TXT 记录会有一个 JavaScript 重定向到地址经常更改的垃圾邮件网页。
许多 DoH C2 概念证明是公开的,这意味着使用 DoH 的恶意行为者的威胁可能很快就会增加。
我听说过反对 DNS-over-HTTPS 的论点,认为它应该是网络防御者的安全噩梦,因为与通过端口 853 的 DNS-over-TLS 相比,它通过端口 443 启用加密 DNS。
这些网络防御者可能是依靠明文 DNS 检查来执行策略的公司环境。假设在 DoH/DoT 不可用时设备回退到明文 DNS,网络管理员可以以很小的风险阻止端口 853,因为它仅由 DoT 使用。另一方面,如果他们只是封锁 443 端口,那么所有 HTTPS 网站都将不可用。
同样,如果他们看到 DoT 流量的涌入,则可能表示异常。如果 DoH 出现一些类似的流量峰值,则可能无法直接区分 HTTPS 和 DoH 流量。
至于标题中的问题:
与 DNS-over-TLS 相比,为什么 DNS-over-HTTPS 会成为如此巨大的安全噩梦?
这可能应该被表述为“与 DNS-over-TLS 相比,为什么 DNS-over-HTTPS 被视为安全噩梦?” 。DoH 和 DoT 在协议级别上非常相似,在这两种情况下,DNS 消息都是加密的。另请参阅我的 Cloudflare 博客文章解释 DNS 加密,其中我描述了技术协议细节、部署选择以及个人和组织的各种期望。
从历史上看,操作系统一直在接受本地网络发布的任何 DNS 解析器。这通常由公司网络管理员或 ISP 配置。他们希望能够提供诸如恶意软件拦截、家长过滤、非法内容拦截以及在某些情况下查询记录等服务。
DoH 和 DoT 非常适合在不受信任的环境中保护 DNS 查询的隐私和完整性,例如机场 Wi-Fi,甚至是来自当地政府的窥探/干扰。然而,由于它是新兴技术,并非所有现有的 DNS 解析器都支持它。
这让 Mozilla 等早期采用者处于困境,他们应该放弃改善隐私的想法,还是应该选择支持 DoH 并具有强大隐私政策的 DNS 解析器?他们最终选择了后者,但这意味着操作系统提供的默认 DNS 解析器最初被忽略了。这可能是 ISP 和政府对 DoH 的负面抵制的原因。如果 DoT 以类似的方式部署,我会期待类似的批评。
总而言之,我不认为 DoH 像声称的那样是一场“安全噩梦”。只是一些组织担心失去对 DNS 的控制。以前它由操作系统集中控制,但由于 DoH/DoT 仍然很新,因此没有真正的配置标准,因此许多应用程序都有自己的机制来这样做。这可能是一些管理员的“噩梦”,他们必须经历额外的复杂性以确保应用他们的过滤策略。
你是对的,他们的论点毫无意义,但它不应该如此。它只是应该使 DNS-over-HTTPS 脱轨,这种方法实际上正在起飞,因为它不太可能被现有的中间盒垃圾阻止。假设查询是针对众所周知的开放公共名称服务器,那么无论使用哪种协议,添加新规则来阻止它们同样容易,但是反对 DNS-over-HTTPS 的人正在反对DNS 查询的规范化私人的; 一旦达到临界质量作为浏览器和客户端应用程序的默认设置,阻止它只会破坏一切,使其实际上无法阻止。
其他答案只是轻轻提及的一点是,用户自己可能想要阻止某些 DNS 查询。例如,我在家庭网络上使用 Pi-Hole 来阻止已知用于提供广告的 DNS 查询。尽管出站 DNS 查询被阻止,但设备可能会使用 DoH 来规避它。