【翻译】卡通图解DNS,你的信息怎么被泄露的?

最新推荐文章于 2024-07-25 19:58:05 发布
最新推荐文章于 2024-07-25 19:58:05 发布
阅读量211 收藏
点赞数
文章标签: 运维 操作系统
原文链接:https://juejin.im/post/5b1dde1ce51d4506aa318026
版权

原文链接:A cartoon intro to DNS over HTTPS

HTTP简要课程

当一个人解释浏览器如何下载一个网页的时候,他们常常会这么说:

  1. 你的浏览器向服务器发送一个GET请求。
  2. 服务器返回一个包含HTML的文件响应。

这个系统就叫HTTP。

但是这个图有点过于简化了。你的浏览器不直接与服务器通信。可能是由于他们往往相离甚远。

一般,服务器可能距你几千英里以外。这之间可能没有直连你电脑和服务器的线路。

所以这个请求从浏览器到服务端,会经过许多人的手。响应返回回来的时候也会如此。

我把这个比喻为同学们在课堂上传递纸条。纸条的外面会写要传给谁,然后写的人把它交给附近的人,然后拿到纸条的这个人又把纸条传给他附近的人——这些人不一定是最终的接收方,而是这个传递路线上的经手者。

这里的问题在于,这条路径上的所有人都可以打开这个纸条然后读里面的内容。而且你事先无法知道这个纸条会经过哪些人手中。

可能其中的某人会做一些坏事...

比如把里面的内容公之于众

或者改变里面的内容

为了防止这些问题,一个新的、安全的HTTP版本出现了,叫做HTTPS。什么是HTTPS?就好比在每张纸条外面加了个锁。

浏览器和服务端都知道怎么处理这把锁,但是中间的那些人并不知道。

有了这个,即使信息被多人传递,只有你和网站能够看到信息的内容。

这解决了很多的安全问题。但是仍然有很多在浏览器和服务端之间传递信息是没有被加密的。这意味着中间的人仍然能够发现你在做什么。

一个数据会被暴露的地方是在与服务端建立连接的时候。当你发送初始信息给服务端的时候,你也发送了服务器名字(某些领域叫Server Name Indication)。这使得在一台机器上运行多个网站成为可能,因为通过这个名字它知道你请求的是哪一个。这个初始请求是建立加密连接的一环,但是这个初始请求它本身是不加密的。

另外一个信息暴露的地方是在DNS。所以,什么是DNS?

DNS:域名系统

在上面传纸条的比喻中,我说了接收方的名字会被写在纸条的外面,这在HTTP请求中也是如此...这个名字用来表明这个纸条要去哪。

但事实上你无法使用名字告诉他们纸条要去哪。这之前的路由都不知道你说的是谁。然而,你需要告诉他们的是IP地址。这中间的路由才知道你要把消息发往哪。

这里就有一个问题。如果你是网站的运营方,你不会想你的用户去记住你的IP地址。你会想给你的网站取一个上口的名字...好记的名字。

这就是为什么我们需要域名系统(DNS)。你的浏览器使用DNS把网站名字转换成IP地址。这个过程——把域名转成IP地址——叫做域名解析。

然后浏览器怎么知道如何去做这件事呢?

一个选项是你可以有一个很长的列表,像浏览器中的电话簿。但是当一个新的网站上线,或者迁移到新的服务器去,很难使你的列表保持更新。

所以与其用一个列表保存所有的域名,我们有许多互相关联的更小的列表。这使得他们能被单独地管理。

为了得到域名对应的IP地址,你需要找到包含这个域名的列表。这个过程就像寻宝游戏一样。

对于维基百科的英文版本网站en.wikipedia.org的寻宝是怎么样的?

我们把这个域名分成几部分:

有了这三部分,我们可以找到包含这个IP地址的列表。然而,我们在找寻的过程中需要一些帮助。这个帮我们找寻到宝藏(IP地址)的东西叫解析器(resolver)

首先,解析器会请求根DNS。它知道一些不同的根域名服务器,所以它会给其中的一个发送请求。解析器询问根DNS可以去哪找到更多关于.org顶级域名下的地址信息。

这个根DNS会给出一个知道.org下相关地址信息的服务器地址。

解析器会告诉告诉操作系统en.wikipedia.org的IP地址。

这个过程叫做递归解析(recursive resolution),因为你从一个服务器得到一个ip地址后,你需要回去向这个ip地址的服务器发起另一个相似的请求。

我说过我们需要一个解析器帮我们完成这一系列请求。但是浏览器是如何找到这个解析器的呢?一般,浏览器会委托操作系统去获得一个解析器。

那么操作系统是如何知道该采用哪个解析器呢?这里有两种方式。

你可以配置你的计算机去使用一个你信任的解析器。但是基本没多少人这么做。

人们大多使用默认配置。默认地,操作系统会使用当前网络提供的解析器。当计算器连接到网络并获得IP地址后,网络也会推荐一个解析器供使用。

这意味着你使用的解析器一天之内会变更好几次。如果你下午决定去一家咖啡店上网,那么你可能使用了一个与上午在家不同的解析器。当然如果你配置了你信任的解析器也是一样的,因为在dns协议里没有安全可言。

DNS是怎么被利用的

所以这个系统(DNS System)是如何让用户陷入一个弱势地位呢?

通常解析器会告诉DNS服务器你在查询的域名是什么。然而这个请求有时会包含你的整个IP地址。就算不是完整的IP地址,越多越多的请求会带上你的大部分IP地址,这能和其他的信息结合起来察觉出你的身份。

这意味着你询问过的每一个服务器都能知道你访问的网站是什么。不仅如此,还意味着你与服务器之间的所有中间节点也能看到你的请求。

这里有两种对用户的数据造成威胁的方式。主要是跟踪(tracking)和欺骗(spoofing)

跟踪(tracking)

就像我上面说的,很容易通过IP地址得知是谁在访问这个网站。这意味着DNS服务器和路径上的中间人——叫做on-path routers——能够建立一份你的画像。他们可以记录你访问的所有网站。

这些数据是十分有价值的。很多人和公司会花很多钱来知道你浏览了些什么。

于是你的数据就被收集和贩卖了。因为网络给你的解析器可能根本靠不住。

即使你信任你的网络推荐的解析器。那也仅限于你在家的时候。如我前面提到的,当你去咖啡店或酒店等的时候,你可能使用了一个不同的解析器。谁知道它会怎么处理你的数据。

在没有得到你同意的情况下收集和贩卖你的数据,这个系统还有一种更危险的利用方式。

欺骗(Spoofing)

说到欺骗,指的是你到DNS服务器之前的某人改变了返回的结果。欺骗者可能会告诉你你访问网站的假地址。这会阻止你访问真的网站同时引导你进入了诈骗网站。

比如,你实体超市进行购物。你想要在某宝某东查询某件商品的价格,看是否能在网上更便宜的买到。

但如果你连接的是超市的Wifi,你可能就用了他们的解析器。这个解析器可能劫持了你的电商的请求,然后欺骗你说网站不可访问。

此篇只翻译了文章中的教程部分,若想进一步了解Mozilla提出的安全解决方案Trusted Recursive Resolver (TRR) and DNS over HTTPS (DoH),请查看原文

weixin_34216196
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNS的工作原理图解说明
01-10
有一定技术基础的互联网用户都知道DNS是做什么用的,但大多数人都不清楚DNS如何查找域名。 Ven发现了一幅图片,这幅图片非常形象地描述了DNS查找下的连锁反应,对不了解DNS运行的人们可能会有些帮助。 下面这张图片...
Linux图解DNS域名解析全过程
07-08
在IT领域,Linux系统是广泛应用于服务器管理的重要操作系统。了解DNS(Domain Name System)域名解析的过程对于网络管理和故障排查至关重要。...而图解的学习方式让复杂的概念变得直观易懂,是学习和教学的优秀工具。
DNS域传送信息泄露
收集盒 Book box
08-22 1739
(文章转自cnyouker@乌云知识库,http://drops.wooyun.org/papers/64) 0x00 相关背景介绍 Dns是整个互联网公司业务的基础,目前越来越多的互联网公司开始自己搭建DNS服务器做解析服务,同时由于DNS服务是基础性服务非常重要,因此很多公司会对DNS服务器进行主备配置而DNS主备之间的数据同步就会用到dns域传送,但如果配置不当,就会导致任何匿名
什么是DNS泄漏
为你撑伞的专栏
05-28 4766
域名系统(DNS)是关联网址(如www.makeuseof.com)和IP地址(54.221.192.241)的系统。当你使用浏览器访问一个网站,它会向DNS服务器发送你输入的地址请求,然后DNS服务器会指出其正确的IP地址。这是互联网如何工作的一个关键部分。 通常情况下,DNS服务器是由你的互联网服务提供商(ISP)所提供,这意味着他们可以监控、记录任何你发送到服务器的请求。当您使用虚拟专用网
50亿的数据泄漏,再一次证明,只要使用互联网,就没有隐私可言!
weixin_33877885的博客
06-25 218
一 只要上网,就没有隐私可言我身边搞安全的朋友都非常谨慎,微信匿名,而且低调,不轻易发朋友圈,还有人喜欢使用Windows phone,因为Windows phone被黑的概率低,搞安全的朋友更接近安全圈内部的江湖。这个问题不光是在我国,前几天朋友圈还有信息,CIA只要愿意,可以黑掉任意的移动设备,注意,这个可能是真实存在的,不是好莱坞大片。这个时代,只有使用互联网,都会留下痕迹,即使非常小心,也...
DNS 漏洞细节被泄露,攻击即将开始
COMSHARP CMS 专栏
07-23 598
 尽管 Dan Kaminsky 努力掩盖他所发现的 DNS 严重漏洞的细节,Matasano 安全公司的一个员工还是在他的博客上泄露了这些资料,虽然文章被立即删除,但已经有人拿到了这些资料,并发表在别的地方。Kaminsky 在他的博客上发表了一个紧急消息,赶快打补丁,别睡觉,使用 OpenDNS... HD Moore,Metasploit  的作者说,黑客们正在加紧制作攻击工
什么是DNS泄漏?我为什么要关心?
学习、记录、分享
04-17 6025
什么是DNS泄漏?我为什么要关心? 使用匿名或隐私服务时,来自您计算机的所有流量都必须通过匿名网络进行路由,这一点非常重要。如果任何流量泄露到网络的安全连接之外,任何监控流量的对手都可以记录您的活动。 DNS或域名系统用于将诸如www.privacyinternational.org之类的域名翻译成数字IP地址,例如123.123.123.123,它们是在Internet上路由数据包所必需的。每当...
win2003服务器搭建DNS服务器配置图解教程(比较详细)
09-30
DNS简单地说,就是Domain Name System(域名系统)。在一个以TCP/IP协议为主的网络环境中,DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名(Domain Name)与不容易记忆的IP地址作自动...
DNS服务器配置图解教程
12-30
### DNS服务器配置图解教程详解 #### 一、实训环境规划与搭建 ##### 实训环境与设备搭建 - **服务器**: 使用1台Windows Server 2003作为DHCP服务器,通过虚拟机来实现。 - **客户机**: 使用1台Windows XP作为DHCP...
它拖慢你的网速,还泄露你的个人隐私,学一招治治它
weixin_56810455的博客
09-08 977
你可能有一种感觉,虽然5G时代已经来了,但网速并没有快得很明显。 你可能还有一种困扰,在手机上随便搜一个商品,几分钟后竟然接到了推销电话。 但你有没有想过,这两件事的幕后黑手,是同一个? 今天,就给大家科普一下,什么是“跟踪器”。 跟踪器:比你妈更懂你 跟踪器其实是一段脚本,在网页、移动端APP、电子邮件、输入法、看图软件、解压软件中都可以内置。 每当你打开这些软件,这些追踪器就开始工作,在后台轮番对你跟踪分析。 当你浏览网页时,你的住址、电话号码、阅读过的新闻、浏览过的商品就全部..
漫画:这是我见过对DNS最通俗易懂的解释了
Python数据之道
05-15 219
亲爱的,我出去一趟。你要去干嘛?有事。有什么事?我跟同事讨论下网络方案。讨论什么方案?我跟你说了,你也不知道。你说呀!你不说怎么知道我不知道。那好吧,我给你讲一讲,看你能不能给我一点建议。...
为什么使用本地的DNS服务器会暴露网络活动
m0_57236802的博客
09-30 256
为了解决这些问题,有几种加密DNS的技术,如DNS over HTTPS(DoH)和DNS over TLS(DoT),它们可以保护DNS查询免受嗅探和篡改,从而提高用户的网络隐私和安全。同时,使用支持加密DNS的VPN服务也是一个好选择,它可以保护你的整个网络通信,包括DNS请求。使用本地的DNS(Domain Name System)服务器可能会暴露网络活动,主要是因为DNS请求未经加密,且可被网络服务提供商(ISP)或第三方监视者捕获和分析。
DNS相关知识总结
legend_yst的博客
12-18 670
DNS解析过程,常见资源记录类型,DNS污染,DNS泄露DNSSEC
DNS风险分析及安全防护研究(一):DNS自身风险分析(国科云)
weixin_53018687的博客
05-24 812
在当前DNS软件服务中,最为常用的技术方案是采用Berkeley Internet Name Domain 技术,英文简称BIND,据数据表明,全球DNS服务器系统中有超过90%采用了BIND技术,BIND是互联网系统协会开发并进行日常维护的,虽然BIND经历多次更新,其软件安全性得到了一定提升,安全漏洞也修复了很多,但其开源的特点决定了其不可避免地存在一定的安全风险。此外,利用DNS漏洞发起的攻击行为还有很多,如中间人攻击(MITM)、缓存攻击、分布式拒绝服务攻击(DDoS)等,本文会在下面详细讲述。
IP 泄露: 原因与避免方法
最新发布
wellshake的博客
07-25 1786
你知道 IP 地址的重要性吗?如果出现 IP 泄露会怎样?本博客旨在介绍 IP 泄露和避免 IP 泄露的有效方法。
VPN深度解析:构建安全网络的关键技术
qq_53058639的博客
07-24 630
VPN,即虚拟私人网络(Virtual PrivateNetwork),是一种网络技术,用于在公共网络上创建一个安全的网络连接。它允许用户通过加密的隧道在互联网上发送和接收数据,从而保护数据免受拦截和窥探。VPN不仅加密数据,还能隐藏用户的IP地址,提供匿名性和绕过地理位置限制的能力。这使得VPN成为了保护个人隐私、安全访问敏感资源(如远程办公系统)、以及安全浏览公共Wi-Fi网络的重要工具。无论是个人用户还是企业,VPN都提供了一种在不安全的网络环境中安全通信的有效手段。
DNS泄漏测试的意义
xiongxio的博客
01-22 2388
首先,DNS测试无法获得用户的确切位置。例如,如果用户使用Google DNS 8.8.8.8,网站可能会获得所有欧洲用户的比利时IP地址,以及所有亚洲用户的IP地址。   其次,DNS测试成本很高。它需要额外的代码来制作许多一次性域名并从名称服务器读取日志。它还通过为这些一次性域名添加不必要的DNS查询来浪费Internet资源。   由于上述两个原因(没有确切的位置和昂贵的),大多数网...
DNS leak (DNS查询记录泄漏)
wolfzhaoshuai的专栏
06-03 6375
一、什么是DNS leak 当访问一网站时,browser首先解析域名映射到某一IP,这个解析过程需要拿到某个NameServer上解析。一般情况下这个NameServer是ISP(如三大运营商)指定的,所以ISP可以完全控制此NameServer,故可以记录拟的地址解析活动,所以当你做某些事情时,实际上已经被跟踪记录在案了。当我门使用匿名或VPN时,虽然指定了特定的NameServer来使
一个网络请求的冒险之旅
JackTian
04-15 646
文 寒食君 | 图 《true detective》这是「编程迷踪」系列的第二篇文章。对于互联网,人们总是高谈阔论,却很少有人愿意去了解电脑、手机、电视这些设备到底是如何...
地理信息系统空间分析:均匀差值图解与MATLAB应用
这一操作在【标题】"均匀差值图解-matlab应用大全"中被提及,并在【描述】中详细阐述了执行这一操作的具体步骤。首先,用户需要在Arctoolbox的 Analyst Tools下选择Overlay菜单,然后选择Symmetrical Difference选项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值