Существуют различные способы защиты ваших DNS-запросов, но у каждого из них есть свои сильные и слабые стороны.
Система доменных имен (DNS) широко известна как телефонная книга Интернета, преобразующая доменные имена в информацию, которую могут прочитать компьютеры, например IP-адреса.
Всякий раз, когда вы пишете доменное имя в адресной строке, DNS автоматически преобразует его в соответствующий IP-адрес. Ваш браузер использует эту информацию для получения данных с исходного сервера и загрузки сайта.
Но киберпреступники часто могут шпионить за DNS-трафиком, что делает шифрование необходимым для обеспечения конфиденциальности и безопасности вашего просмотра веб-страниц.
Что такое протоколы шифрования DNS?
Протоколы шифрования DNS предназначены для повышения конфиденциальности и безопасности вашей сети или веб-сайта путем шифрования запросов и ответов DNS. DNS-запросы и ответы регулярно отправляются в виде простого текста, что упрощает перехват и вмешательство киберпреступников в обмен данными.
Протоколы шифрования DNS усложняют для этих хакеров просмотр и изменение ваших конфиденциальных данных или нарушение работы вашей сети. Существуют различные зашифрованные провайдеры DNS, которые могут скрыть ваши запросы от посторонних глаз.
Наиболее распространенные протоколы шифрования DNS
В настоящее время используется несколько протоколов шифрования DNS. Эти протоколы шифрования можно использовать для предотвращения слежения за сетью путем шифрования трафика либо в протоколе HTTPS, либо через соединение безопасности транспортного уровня (TLS).
1. DNSCrypt
DNSCrypt — это сетевой протокол, который шифрует весь DNS-трафик между компьютером пользователя и общими серверами имен. Протокол использует инфраструктуру открытых ключей (PKI) для проверки подлинности DNS-сервера и ваших клиентов.
Он использует два ключа, открытый ключ и закрытый ключ для аутентификации связи между клиентом и сервером. Когда DNS-запрос инициируется, клиент шифрует его с помощью открытого ключа сервера.
Затем зашифрованный запрос отправляется на сервер, который расшифровывает запрос, используя свой закрытый ключ. Таким образом, DNSCrypt гарантирует, что связь между клиентом и сервером всегда аутентифицируется и шифруется.
DNSCrypt — относительно старый сетевой протокол. Он был в значительной степени заменен DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH) из-за более широкой поддержки и более сильных гарантий безопасности, предоставляемых этими более новыми протоколами.
2. DNS поверх TLS
DNS-over-TLS шифрует ваш DNS-запрос с помощью Transport Layer Security (TLS). TLS гарантирует сквозное шифрование вашего DNS-запроса, предотвращение атак «человек посередине» (MITM).
Когда вы используете DNS-over-TLS (DoT), ваш DNS-запрос отправляется распознавателю DNS-over-TLS, а не незашифрованному распознавателю. Преобразователь DNS-over-TLS расшифровывает ваш DNS-запрос и отправляет его на полномочный DNS-сервер от вашего имени.
Порт по умолчанию для DoT — TCP-порт 853. Когда вы подключаетесь с помощью DoT, и клиент, и преобразователь выполняют цифровое рукопожатие. Затем клиент отправляет свой DNS-запрос через зашифрованный канал TLS распознавателю.
Преобразователь DNS обрабатывает запрос, находит соответствующий IP-адрес и отправляет ответ обратно клиенту по зашифрованному каналу. Зашифрованный ответ получает клиент, где он расшифровывается, и клиент использует IP-адрес для подключения к нужному веб-сайту или службе.
3. DNS через HTTPS
HTTPS — это безопасная версия HTTP, которая сейчас используется для доступа к веб-сайтам. Как и DNS-over-TLS, DNS-over-HTTPS (DoH) также шифрует всю информацию перед ее отправкой по сети.
Хотя цель одна и та же, между DoH и DoT есть некоторые фундаментальные различия. Во-первых, DoH отправляет все зашифрованные запросы через HTTPS вместо того, чтобы напрямую создавать TLS-соединение для шифрования вашего трафика.
Во-вторых, он использует порт 403 для общего обмена данными, что затрудняет его отличие от общего веб-трафика. DoT использует порт 853, что значительно упрощает идентификацию трафика с этого порта и его блокировку.
DoH получил более широкое распространение в веб-браузерах, таких как Mozilla Firefox и Google Chrome, поскольку он использует существующую инфраструктуру HTTPS. DoT чаще используется операционными системами и выделенными преобразователями DNS, а не напрямую интегрируется в веб-браузеры.
Две основные причины, по которым DoH получил более широкое распространение, заключаются в том, что его гораздо проще интегрировать в существующую сеть. браузеров, и, что более важно, он органично сочетается с обычным веб-трафиком, что значительно усложняет блокировать.
4. DNS через QUIC
По сравнению с другими протоколами шифрования DNS в этом списке, DNS-over-QUIC (DoQ) является довольно новым. Это развивающийся протокол безопасности, который отправляет DNS-запросы и ответы по транспортному протоколу QUIC (Quick UDP Internet Connections).
Большая часть интернет-трафика сегодня зависит от протокола управления передачей (TCP) или протокола пользовательских дейтаграмм (UDP), при этом DNS-запросы обычно отправляются по UDP. Однако протокол QUIC был введен для преодоления некоторых недостатков TCP/UDP и помогает уменьшить задержку и повысить безопасность.
QUIC — это относительно новый транспортный протокол, разработанный Google, предназначенный для обеспечения более высокой производительности, безопасности и надежности по сравнению с традиционными протоколами, такими как TCP и TLS. QUIC сочетает в себе функции как TCP, так и UDP, а также интегрирует встроенное шифрование, подобное TLS.
Поскольку DoQ новее, он предлагает несколько преимуществ по сравнению с упомянутыми выше протоколами. Во-первых, DoQ обеспечивает более высокую производительность, сокращая общую задержку и улучшая время подключения. Это приводит к более быстрому разрешению DNS (время, необходимое DNS для разрешения IP-адреса). В конечном счете, это означает, что веб-сайты обслуживаются быстрее.
Что еще более важно, DoQ более устойчив к потере пакетов по сравнению с TCP и UDP, поскольку он может восстанавливать потерянные пакеты, не требуя полной повторной передачи, в отличие от протоколов на основе TCP.
Кроме того, с помощью QUIC намного проще перенести соединения. QUIC инкапсулирует несколько потоков в одно соединение, сокращая количество циклов, необходимых для соединения, и тем самым повышая производительность. Это также может быть полезно при переключении между Wi-Fi и сотовыми сетями.
QUIC еще не получил широкого распространения по сравнению с другими протоколами. Но такие компании, как Apple, Google и Meta, уже используют QUIC, часто создавая свою собственную версию (Microsoft использует MsQUIC для всего своего SMB-трафика), что сулит хорошие перспективы в будущем.
Ожидайте больше изменений в DNS в будущем
Ожидается, что новые технологии коренным образом изменят способ доступа к сети. Например, многие компании в настоящее время используют технологии блокчейна для разработки более безопасных протоколов именования доменов, таких как HNS и Unstoppable Domains.
