DNSCrypt工具对从客户端计算机到OpenDNS服务器的DNS通信

生活2020-08-24 07:28:21
导读域名系统服务提供商OpenDNS发布了一个开放源代码工具,用于加密DNS流量,以保护用户计算机与公司服务器之间的网络

域名系统服务提供商OpenDNS发布了一个开放源代码工具,用于加密DNS流量,以保护用户计算机与公司服务器之间的网络连接。OpenDNS于12月6日表示,DNSCrypt工具旨在保护纯文本DNS流量并保护用户免受中间人攻击。DNS协议充当Web的电话目录,将域名转换为实际IP站点托管服务器的地址。使用DNS,用户不必记住数字地址。

安全专家长期以来一直警告说,DNS基础结构容易受到攻击,需要加以保护。Comodo首席执行官兼首席安全架构师Melih Abdulhayoglu 最近告诉eWEEK,该架构中的“固有弱点”意味着攻击者可以拦截用户并将其重定向到恶意站点,或者通过中间人攻击窃听用户活动。。

F5 Networks最近的一份报告发现,DNS攻击是组织面临的最常见的攻击类型。报告还说,它们也是最难防御且对企业影响最大的。

OpenDNS首席执行官David Ulevitch在博客中宣布DNSCrypt工具,他说:“不幸的是,DNS一直存在一些固有的弱点,因为它是以纯文本格式传输的。

根据Ulevitch的说法,尽管已经做了一些努力来确保DNS的安全,但是在“最后一英里”(客户端计算机与Internet服务提供商或DNS提供商之间的连接)上还没有进行很多工作。乌列维奇写道,“最后一英里”是“窥探,篡改和劫持流量”等“坏事”最有可能发生的时候。它对于中间人攻击也是“成熟的”,例如,如果用户在咖啡店的不安全网络上,则尤其如此。

Ulevitch说,对所有DNS流量进行加密是一项根本性的改进,它可以提高安全性,因为它可以防止窃听Internet活动的任何人看到用户正在访问的网站或修改流量。DNSCrypt使用椭圆曲线加密技术来加密客户服务器与OpenDNS服务器之间的流量。

安全研究员Jacob Appelbaum说,DNSCrypt将有效地使大多数形式的DNS审查制度过时,并阻止试图实施审查制度的监视系统。

根据Ulevitch的说法,DNSCrypt是“非常强大的第一步”,并不旨在取代DNSSEC,DNSSEC是旨在验证和验证域名的安全协议。

许多注册商都在部署DNSSEC,以防止DNS篡改。它使用公共密钥密码术对网站的DNS记录进行数字“签名”,以防止篡改和缓存中毒。DNSSEC提供了一种方法来验证DNS记录中列出的服务器实际上是域所有者指定的服务器。

该公司在DNSCrypt的FAQ页上写道:“即使世界上每个人都使用DNSSEC,对所有DNS流量进行加密的需求也不会消失。”

该公司建议DNSCrypt与安全套接字层类似,因为它以与SSL包装HTTP通信相同的方式对DNS通信进行加密。根据常见问题解答,DNSCrypt将包装DNS流量,而DNSSEC将签名并验证该流量的一部分。

目前仅适用于Mac OS X的OpenDNS还发布了DNSCrypt的源代码。根据Ulevitch的说法,它仍然是“技术预览”,该公司将根据需要更新代码。

免责声明:本文由用户上传,如有侵权请联系删除!