在上周 OpenDNS 發表了他們新工具 – DNSCrypt的預覽版。將它吹捧成是網路私密性和安全性的巨大進步。立意很簡單,就是加密使用者在查詢DNS過程中的全部流量。這是個很好的想法,但我覺得他們並沒有真正解決問題。
根據OpenDNS所說,這是世上第一支真正實作DNSCurve的程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就可能可以看到其他的網路流量。
如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域(TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」
DNSCrypt還有一個有趣的副作用,就是會將更多的流量導到OpenDNS網路去。他們已經將客戶端程式的原始碼開放出來,但他們目前只有實作一台有在運作中的伺服器。如果你會擔心你的ISP竊聽你的DNS封包,你難道不會擔心OpenDNS去做一樣的事情嗎?
結論
不幸的是,只用加密去包裝現有的通訊協定並不總是可以解決問題。我同意這樣會讓DNS通訊本身變得更安全。然而,增加的私密性只對DNS有用。其他的通訊協定還是和以前一樣會洩漏資訊。
如果你想要確保你所收到的DNS回應並沒有被篡改過,可以看看DNSSEC。如果你擔心有人會竊聽你的封包,然後追蹤你的網路活動,可以考慮使用Tor或其他VPN / 代理服務。
@原文出處:DNSCrypt – Not Fundamental Enough
@開箱文與評測報告
TMMS 3.75 Stars in PC World AU
◎ 歡迎加入趨勢科技社群網站
