我一直在考虑使用http://tunlr.net/访问像 netflix 这样的“地理 IP 禁止网站”。
但是,我担心使用某些第三方 DNS 服务器的安全性。所以,我的问题是。假设我使用 tunlr.net 或其他第三方 DNS 服务器。他们能做什么、不能做什么“恶”?
让我们也添加这些假设。
综上所述——如果我使用一些第三方 DNS 服务器并且它变得恶意,他们能做什么?
[编辑,2017 - tunlr.net 不再运行;它是一个 DNS 服务器,可以免费将 netflix 重定向到代理的美国版本。现在可能有类似的服务器。]
恶意 DNS 更改通常会驱使人们访问网络钓鱼站点,而不是他们想要的合法站点,但它也可用于阻止机器检索其操作系统/安全软件的更新,或通过代理路由您的连接,使攻击者可以拦截通信。
假设您https://www.facebook.com使用攻击者控制的 DNS 入口www.facebook.com点访问攻击者控制的 IP 地址。他们能做什么?从表面上看,不要太多,除非他们控制或可以欺骗您的浏览器信任的证书颁发机构并且可以获得签名的私有证书www.facebook.com(或只是窃取私有证书www.facebook.com。他们应该无法将您重定向到http://www.facebook.com没有你的浏览器弹出一个巨大的警告证书不适合www.facebook.com和一些社会工程来解释它。
当然,如果您只是在浏览器中输入facebook.com/ www.facebook.com,您的浏览器可能首先会转到http://www.facebook.com并通常将您重定向到https://www.facebook.com. 通过恶意 DNS 条目,他们可以拦截到 HTTPS 版本的请求http://www.facebook.com,而不会将您重定向到 HTTPS 版本。然后他们可以完成窃听,拦截您的密码,并执行中间人攻击。
如果您使用同一台计算机进行银行业务、检查电子邮件,我强烈建议您不要更改您的 DNS 设置。如果您忘记将其更改回您的 ISP 的 DNS 服务器并尝试访问您的电子邮件或银行站点,您可能会重定向到他们的站点之一以输入信息。