Има различни начини за защита на вашите DNS заявки, но всеки подход идва със своите силни и слаби страни.
Системата за имена на домейни (DNS) се счита широко за телефонния указател на интернет, преобразувайки имената на домейни в информация, която може да бъде прочетена от компютри, като например IP адреси.
Всеки път, когато напишете име на домейн в адресната лента, DNS автоматично го преобразува в съответния IP адрес. Вашият браузър използва тази информация, за да извлече данните от първоначалния сървър и да зареди сайта.
Но киберпрестъпниците често могат да шпионират DNS трафика, което прави криптирането необходимо, за да запазите поверителността и сигурността на сърфирането ви в мрежата.
Какво представляват протоколите за шифроване на DNS?
DNS протоколите за шифроване са предназначени да увеличат поверителността и сигурността на вашата мрежа или уебсайт чрез шифроване на DNS заявки и отговори. DNS заявките и отговорите редовно се изпращат в обикновен текст, което улеснява киберпрестъпниците да прихващат и манипулират комуникацията.
Протоколите за криптиране на DNS правят все по-трудно за тези хакери да преглеждат и променят вашите чувствителни данни или да прекъсват мрежата ви. Има различни криптирани DNS доставчици, които могат да предпазят вашите заявки от любопитни очи.
Най-често срещаните протоколи за шифроване на DNS
Има няколко протокола за шифроване на DNS, които се използват днес. Тези протоколи за шифроване могат да се използват за предотвратяване на подслушване в мрежа чрез шифроване на трафика в рамките на HTTPS протокола през връзка за сигурност на транспортния слой (TLS).
1. DNSCrypt
DNSCrypt е мрежов протокол, който криптира целия DNS трафик между компютъра на потребителя и общите сървъри за имена. Протоколът използва инфраструктура с публичен ключ (PKI), за да провери автентичността на DNS сървъра и вашите клиенти.
Той използва два ключа, публичен ключ и частен ключ за удостоверяване на комуникацията между клиента и сървъра. Когато се стартира DNS заявка, клиентът я криптира с помощта на публичния ключ на сървъра.
След това шифрованата заявка се изпраща на сървъра, който дешифрира заявката с помощта на личния си ключ. По този начин DNSCrypt гарантира, че комуникацията между клиента и сървъра е винаги удостоверена и криптирана.
DNSCrypt е сравнително по-стар мрежов протокол. До голяма степен е заменен от DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH) поради по-широката поддръжка и по-силните гаранции за сигурност, предоставени от тези по-нови протоколи.
2. DNS-over-TLS
DNS-over-TLS криптира вашата DNS заявка с помощта на защита на транспортния слой (TLS). TLS гарантира, че вашата DNS заявка е криптирана от край до край, предотвратяване на атаки човек по средата (MITM)..
Когато използвате DNS-over-TLS (DoT), вашата DNS заявка се изпраща към DNS-over-TLS резолвер вместо към некриптиран резолвер. Резолверът DNS-over-TLS декриптира вашата DNS заявка и я изпраща на авторитетния DNS сървър от ваше име.
Портът по подразбиране за DoT е TCP порт 853. Когато се свързвате чрез DoT, и клиентът, и резолверът извършват цифрово ръкостискане. След това клиентът изпраща своята DNS заявка през шифрования TLS канал към резолвера.
DNS резолверът обработва заявката, намира съответния IP адрес и изпраща отговора обратно на клиента през шифрования канал. Криптираният отговор се получава от клиента, където се дешифрира и клиентът използва IP адреса, за да се свърже с желания уебсайт или услуга.
3. DNS-през-HTTPS
HTTPS е защитената версия на HTTP, която сега се използва за достъп до уебсайтове. Подобно на DNS-over-TLS, DNS-over-HTTPS (DoH) също криптира цялата информация, преди да бъде изпратена по мрежата.
Докато целта е една и съща, има някои фундаментални разлики между DoH и DoT. За начало DoH изпраща всички криптирани заявки през HTTPS, вместо директно да създава TLS връзка за криптиране на вашия трафик.
Второ, той използва порт 403 за обща комуникация, което затруднява разграничаването от общия уеб трафик. DoT използва порт 853, което прави много по-лесно идентифицирането на трафика от този порт и блокирането му.
DoH видя по-широко приемане в уеб браузъри като Mozilla Firefox и Google Chrome, тъй като използва съществуващата HTTPS инфраструктура. DoT се използва по-често от операционни системи и специални DNS резолвери, вместо да се интегрира директно в уеб браузъри.
Две основни причини, поради които DoH получи по-широко приемане, е, че е много по-лесно да се интегрира в съществуващата мрежа браузъри, и което е по-важно, той се смесва безпроблемно с редовния уеб трафик, което го прави много по-трудно блок.
4. DNS-over-QUIC
В сравнение с другите протоколи за шифроване на DNS в този списък, DNS-over-QUIC (DoQ) е сравнително нов. Това е нововъзникващ протокол за сигурност, който изпраща DNS заявки и отговори през транспортния протокол QUIC (Quick UDP Internet Connections).
Повечето интернет трафик днес разчита на протокола за контрол на предаването (TCP) или протокола за потребителски дейтаграми (UDP), като DNS заявките обикновено се изпращат по UDP. Протоколът QUIC обаче беше въведен, за да се преодолеят няколко недостатъка на TCP/UDP и да се намали забавянето и да се подобри сигурността.
QUIC е сравнително нов транспортен протокол, разработен от Google, предназначен да осигури по-добра производителност, сигурност и надеждност в сравнение с традиционните протоколи като TCP и TLS. БЪРЗО съчетава характеристики на TCP и UDP, като същевременно интегрира вградено криптиране, подобно на TLS.
Тъй като е по-нов, DoQ предлага няколко предимства пред споменатите по-горе протоколи. За начало DoQ предлага по-бърза производителност, намалявайки общото забавяне и подобрявайки времето за свързване. Това води до по-бързо разрешаване на DNS (времето, необходимо на DNS да разреши IP адреса). В крайна сметка това означава, че уебсайтовете ви се обслужват по-бързо.
По-важното е, че DoQ е по-устойчив на загуба на пакети в сравнение с TCP и UDP, тъй като може да възстановява загубени пакети, без да изисква пълно повторно предаване, за разлика от протоколите, базирани на TCP.
Освен това е много по-лесно да мигрирате връзки с помощта на QUIC. QUIC капсулира множество потоци в рамките на една връзка, като намалява броя на двупосочните пътувания, необходими за връзка, и по този начин подобрява производителността. Това може да бъде полезно и при превключване между Wi-Fi и клетъчни мрежи.
QUIC тепърва ще бъде широко възприет в сравнение с други протоколи. Но компании като Apple, Google и Meta вече използват QUIC, като често създават своя собствена версия (Microsoft използва MsQUIC за целия си SMB трафик), което предвещава добро бъдеще.
Очаквайте още промени в DNS в бъдеще
Очаква се нововъзникващите технологии да променят фундаментално начина, по който имаме достъп до мрежата. Например много компании сега използват блокчейн технологии, за да измислят по-безопасни протоколи за именуване на домейни, като HNS и Unstoppable Domains.
