V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qw7692336
V2EX  ›  DNS

大家觉得 DNS 有没有必要走加密的协议呢?

  •  
  •   qw7692336 · 2016-05-01 23:25:33 +08:00 · 7590 次点击
    这是一个创建于 3160 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2016-05-03 13:43:32 +08:00
    我的意思不是自己个人用的 dns ,而是希望 dns 像 http 过渡到 https 那样,成为标准。
    第 2 条附言  ·  2016-05-04 00:38:31 +08:00
    好吧,既然认为防监听不靠谱,那就讨论防篡改吧。。
    http 过渡到 https 除了防监听外,也防篡改。
    24 条回复    2016-06-30 20:38:50 +08:00
    onice
        1
    onice  
       2016-05-02 09:19:18 +08:00
    DNS 还有加密协议?求科普。。。
    qw7692336
        2
    qw7692336  
    OP
       2016-05-02 10:02:19 +08:00 via Android
    @onice 想一种加密策略
    junzki
        3
    junzki  
       2016-05-02 10:11:42 +08:00
    DNSCrypt
    qw7692336
        4
    qw7692336  
    OP
       2016-05-02 11:44:45 +08:00 via Android
    我指的是通用的那种,让加密成为标准
    Stof
        5
    Stof  
       2016-05-02 11:48:42 +08:00
    用户服务双端还是必要走加密的,这个可以参考飞机的运作方式,短时间内适合个人玩玩。

    我觉得需要解决的最大问题依旧是 CDN 最近地址以及验证这两个问题。

    不是单纯的传输,放在 OPENWRT 上似乎有些不适合?
    Aquamarine
        6
    Aquamarine  
       2016-05-02 12:07:02 +08:00
    @junzki 很久没更新了吧?
    helihuo
        7
    helihuo  
       2016-05-02 12:39:58 +08:00
    在不影响速度的前提下很有必要。
    须知你的每个访问,党国都会给你记下来的
    qw7692336
        8
    qw7692336  
    OP
       2016-05-02 12:49:06 +08:00 via Android
    @helihuo 要想一个轻量级的加密方案。
    googlebot
        9
    googlebot  
       2016-05-02 13:32:01 +08:00 via Android   ❤️ 1
    目前就 2 种办法,一个 dnscrypt ,这是 opendns 搞得,但 server 端没开源,公开节点很容易封,中国有个强人自己按协议搞了一个 dnscrypt wrapper ,可以在自己 vps 上安装,这个太强了,

    还有一个办法是 ss-tunnel ,安装在 openwrt 上,
    qw7692336
        10
    qw7692336  
    OP
       2016-05-02 13:43:21 +08:00 via Android
    就像 HTTP 过渡到 HTTPS 那样
    0xC0000005
        11
    0xC0000005  
       2016-05-02 18:15:05 +08:00
    不走加密就等着被污染被欺骗被 ISP 强♂插♂广告吧
    lslqtz
        12
    lslqtz  
       2016-05-03 05:09:07 +08:00 via iPhone
    有必要,而且是非常有必要。
    lixingcong
        13
    lixingcong  
       2016-05-03 09:23:21 +08:00 via Android
    @googlebot 我前几天刚搭建一个 wrapper ,真 TM 好用!不用担心污染了
    hzqim
        14
    hzqim  
       2016-05-03 13:38:09 +08:00 via Android
    53 端口, UDP 协议,特征太明显,连接不可靠。这点在移动,铁通宽带尤其明显。
    暂时用 TCP 协议+本地缓存可以很好的解决。
    johnjiang85
        15
    johnjiang85  
       2016-05-03 14:59:26 +08:00
    标准协议有 DNSSEC ,但是递归不支持的话没用
    BOYPT
        16
    BOYPT  
       2016-05-03 16:14:17 +08:00
    协议过渡就别想了, 50 年内都不一定看得到。如果是做服务开发的可以考虑 http dns
    redsonic
        17
    redsonic  
       2016-05-03 23:08:27 +08:00
    这其实不是一个技术问题,因为 DNS 是网络内容的入口,如果做成端到端加密意味着访问无法优化,递归会被拖死,一些商业模式也会受到挑战。 DNSSEC 只设计成防篡改但不防侦听就是考虑到这一点,这应该是业内共识。只不过国内现在都玩坏了,催生出这样的一个需求。
    fzss
        18
    fzss  
       2016-05-08 05:48:38 +08:00
    @johnjiang85 DNSSEC 并不加密,而是保证 Integrity & Authenticity
    fzss
        19
    fzss  
       2016-05-08 05:49:01 +08:00
    @lixingcong 可以分享一下吗
    fzss
        20
    fzss  
       2016-05-08 05:51:19 +08:00
    @hzqim 53 端口应该是以前的事情了,现在新的 DNS 协议都是随机借口的,不然的话 off-path attacker 可以用 Kaminsky Attack 来 blind spoofing.
    fzss
        21
    fzss  
       2016-05-08 06:08:49 +08:00
    感觉可以看一下这片 paper
    streamgo
        22
    streamgo  
       2016-05-08 14:31:01 +08:00
    @fzss 同求分享。谢谢!
    missdeer
        23
    missdeer  
       2016-05-09 20:25:20 +08:00
    有啊, DNS over TLS ,是个标准,已经基本可用了 https://datatracker.ietf.org/doc/draft-ietf-dprive-dns-over-tls/
    lslqtz
        24
    lslqtz  
       2016-06-30 20:38:50 +08:00 via iPhone
    有必要,还有必要使用证书。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5521 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:07 · PVG 15:07 · LAX 23:07 · JFK 02:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.