לדלג לתוכן

סקירה כללית של DNS

מערכת שמות הדומיין היא 'ספר הטלפונים של האינטרנט'. DNS מתרגם שמות דומיין לכתובות IP כך שדפדפנים ושירותים אחרים יכולים לטעון משאבי אינטרנט, דרך רשת מבוזרת של שרתים.

מה זה DNS?

כאשר אתה מבקר באתר אינטרנט, מוחזרת כתובת מספרית. לדוגמה, כאשר אתה מבקר ב-privacyguides.org, הכתובת 192.98.54.105 מוחזרת.

DNS קיים מאז הימים הראשונים של האינטרנט. בקשות DNS המבוצעות אל ומשרתי DNS אינן מוצפנות בדרך כלל. בסביבה מגורים, לקוח מקבל שרתים על ידי ספק שירותי האינטרנט באמצעות DHCP.

בקשות DNS לא מוצפנות יכולות להיות למעקב בקלות ולשנות בזמן העברה. בחלקים מסוימים של העולם, ספקי האינטרנט מצווים לבצע סינון DNS פרימיטיבי. כאשר אתה מבקש כתובת IP של דומיין חסום, ייתכן שהשרת לא יגיב או שיגיב עם כתובת IP אחרת. מכיוון שפרוטוקול ה-DNS אינו מוצפן, ספק שירותי האינטרנט (או כל מפעיל רשת) יכול להשתמש ב-DPI כדי לנטר בקשות. ספקי שירותי אינטרנט יכולים גם לחסום בקשות על סמך מאפיינים משותפים, ללא קשר לשרת ה-DNS שבו נעשה שימוש. DNS לא מוצפן משתמש תמיד בפורט 53 ותמיד משתמש ב-UDP.

להלן, אנו דנים ומספקים מדריך כדי להוכיח את מה שצופה מבחוץ עשוי לראות באמצעות DNS רגיל לא מוצפן וDNS מוצפן.

DNS לא מוצפן

  1. שימוש ב-tshark (חלק מ->פרויקט Wireshark) אנו יכולים לנטר ולתעד את זרימת מנות האינטרנט. פקודה זו מתעדת מנות העומדות בכללים שצוינו:

    tshark -w /tmp/dns.pcap udp port 53 and host 1.1.1.1 or host 8.8.8.8
    
  2. We can then use dig (Linux, MacOS, etc.) or nslookup (Windows) to send the DNS lookup to both servers. תוכנות כגון דפדפני אינטרנט מבצעות חיפושים אלו באופן אוטומטי, אלא אם כן הם מוגדרים לשימוש ב-DNS מוצפן.

    dig +noall +answer privacyguides.org @1.1.1.1
    dig +noall +answer privacyguides.org @8.8.8.8
    
    nslookup privacyguides.org 1.1.1.1
    nslookup privacyguides.org 8.8.8.8
    
  3. לאחר מכן, אנו רוצים לנתח את התוצאות:

    wireshark -r /tmp/dns.pcap
    
    tshark -r /tmp/dns.pcap
    

אם אתה מפעיל את פקודת Wireshark למעלה, החלונית העליונה מציגה את "מסגרות", והחלונית התחתונה מציגה את כל הנתונים אודות המסגרת שנבחרה. פתרונות סינון וניטור ארגוניים (כגון אלה שנרכשו על ידי ממשלות) יכולים לבצע את התהליך באופן אוטומטי, ללא אינטראקציה אנושית, ויכולים לצבור מסגרות אלה כדי לייצר נתונים סטטיסטיים שימושיים לצופה ברשת.

מספר. זמן מקור יעד פרוטוקול אורך מידע
1 0.000000 192.0.2.1 1.1.1.1 DNS 104 Standard query 0x58ba A privacyguides.org OPT
2 0.293395 1.1.1.1 192.0.2.1 DNS 108 Standard query response 0x58ba A privacyguides.org A 198.98.54.105 OPT
3 1.682109 192.0.2.1 8.8.8.8 DNS 104 Standard query 0x58ba A privacyguides.org OPT
4 2.154698 8.8.8.8 192.0.2.1 DNS 108 Standard query response 0xf1a9 A privacyguides.org A 198.98.54.105 OPT

צופה יכול לשנות כל אחת מהחבילות הללו.

מה זה "DNS מוצפן"?

DNS מוצפן יכול להתייחס לאחד ממספר פרוטוקולים, הנפוצים שבהם הם:

DNSCrypt

DNSCrypt הייתה אחת השיטות הראשונות להצפנת שאילתות DNS. DNSCrypt פועל על יציאה 443 ועובד עם פרוטוקולי התחבורה TCP או UDP. DNSCrypt מעולם לא הוגש לכוח המשימה להנדסת אינטרנט (IETF) וגם לא עבר דרך בקשה להערות (RFC), כך שלא נעשה בו שימוש נרחב מחוץ לכמה יישומים. כתוצאה מכך, הוא הוחלף במידה רבה על ידי DNS על HTTPS הפופולרי יותר.

DNS על TLS (DoT)

DNS over TLS היא שיטה נוספת להצפנת תקשורת DNS שהיא מוגדרת ב-RFC 7858. התמיכה יושמה לראשונה ב-Android 9, iOS 14 וב-Linux ב-systemd-resolved בגרסה 237. ההעדפה בתעשייה התרחקה מ-DoT ל-DoH בשנים האחרונות, מכיוון ש-DoT הוא פרוטוקול מורכב ובעל תאימות משתנה ל-RFC על פני המימושים הקיימים. Dot פועלת גם על פורט ייעודי 853 שניתן לחסום בקלות על ידי חומות אש מגבילות.

DNS דרך HTTPS (DoH)

DNS דרך HTTPS כפי שהוגדר ב RFC 8484 חבילות שאילתות ב HTTP/2 פרוטוקול ומספק אבטחה עם HTTPS. תמיכה נוספה לראשונה בדפדפני אינטרנט כגון Firefox 60 ו-Chrome 83.

יישום מקורי של DoH הופיע ב-iOS 14, macOS 11, Microsoft Windows ו-אנדרואיד 13 (עם זאת, הוא לא יופעל >כברירת מחדל). תמיכת שולחן העבודה הכללית של לינוקס ממתינה ליישום של systemd כך שעדיין נדרשת התקנת תוכנת צד שלישי.

מה יכול גורם חיצוני לראות?

בדוגמה זו נתעד מה קורה כאשר אנו מבקשים בקשת DoH:

  1. ראשית, התחל tshark:

    tshark -w /tmp/dns_doh.pcap -f "tcp port https and host 1.1.1.1"
    
  2. שנית, הגש בקשה עם curl:

    curl -vI --doh-url https://1.1.1.1/dns-query https://privacyguides.org
    
  3. לאחר הגשת הבקשה, נוכל לעצור את לכידת החבילות עם CTRL + C.

  4. נתח את התוצאות ב-Wireshark:

    wireshark -r /tmp/dns_doh.pcap
    

אנו יכולים לראות את הקמת החיבור ואת לחיצת יד TLS המתרחשת עם כל חיבור מוצפן. כאשר מסתכלים על חבילות "האפליקציה" שלאחר מכן, אף אחת מהן לא מכילה את הדומיין שביקשנו או את כתובת ה-IP שהוחזרה.

מדוע אסור לי להשתמש ב-DNS מוצפן?

במקומות שבהם קיים סינון (או צנזורה) באינטרנט, לביקור במשאבים אסורים עשויות להיות השלכות משלו, שכדאי לשקול במודל האיומים שלך. אנו לא מציעים להשתמש ב-DNS מוצפן למטרה זו. השתמש ב-Tor או ב-VPN במקום זאת. אם אתה משתמש ב-VPN, עליך להשתמש בשרתי ה-DNS של ה-VPN שלך. כשאתה משתמש ב-VPN, אתה כבר סומך עליהם בכל פעילות הרשת שלך.

כאשר אנו מבצעים חיפוש DNS, זה בדרך כלל בגלל שאנו רוצים לגשת למשאב. להלן, נדון בכמה מהשיטות שעלולות לחשוף את פעילויות הגלישה שלך גם בעת שימוש ב-DNS מוצפן:

כתובת IP

הדרך הפשוטה ביותר לקבוע את פעילות הגלישה עשויה להיות להסתכל על כתובות ה-IP שהמכשירים שלך ניגשים אליהם. לדוגמה, אם הצופה יודע ש-privacyguides.org נמצא בכתובת 198.98.54.105, והמכשיר שלך מבקש נתונים מ-198.98.54.105, יש יש סיכוי טוב שאתה מבקר בPrivacy Guides.

שיטה זו שימושית רק כאשר כתובת ה-IP שייכת לשרת המארח רק מעט אתרים. It's also not very useful if the site is hosted on a shared platform (e.g. Github Pages, Cloudflare Pages, Netlify, WordPress, Blogger, etc.). זה גם לא מאוד שימושי אם השרת מתארח מאחורי פרוקסי הפוך, הנפוץ מאוד באינטרנט המודרני.

ציון שם השרת (SNI)

ציון שם שרת משמש בדרך כלל כאשר כתובת IP מארחת אתרים רבים. זה יכול להיות שירות כמו Cloudflare, או הגנה אחרת של מניעת מניעת שירות.

  1. התחל לתעד שוב עם tshark. הוספנו מסנן עם כתובת ה-IP שלנו כדי שלא תלכוד הרבה מנות:

    tshark -w /tmp/pg.pcap port 443 and host 198.98.54.105
    
  2. לאחר מכן נבקר בכתובת https://privacyguides.org.

  3. לאחר ביקור באתר, אנו רוצים לעצור את לכידת החבילה עם CTRL + C.

  4. בשלב הבא אנו רוצים לנתח את התוצאות:

    wireshark -r /tmp/pg.pcap
    

    אנו נראה את יצירת החיבור, ולאחר מכן את לחיצת היד TLS עבור אתר מדריכי הפרטיות Privacy Guides. סביב מסגרת 5. אתה תראה "שלום לקוח ".

  5. מרחיבים את המשולש ▸ ליד כל שדה:

    אבטחת שכבת▸ תחבורה
      ▸ TLSv1.3 שכבת שיא: פרוטוקול לחיצת יד: לקוח שלום
        פרוטוקול         ▸ לחיצת יד: לקוח שלום
          ▸ סיומת: server_name (len=22)
            סיומת סימון שם             ▸ שרת
    
  6. אנו יכולים לראות את ערך SNI אשר חושף את האתר בו אנו מבקרים. הפקודה tshark יכולה לתת לך את הערך ישירות עבור כל החבילות המכילות ערך SNI:

    tshark -r /tmp/pg.pcap -Tfields -Y tls.handshake.extensions_server_name -e tls.handshake.extensions_server_name
    

משמעות הדבר היא שגם אם אנו משתמשים בשרתי "DNS מוצפן", הדומיין ככל הנראה ייחשף דרך SNI. פרוטוקול TLS v1.3 מביא איתו את לקוח מוצפן Hello, המונע דליפה מסוג זה.

ממשלות, ובפרט סין ורוסיה , כבר החלו לחסום את סין או הביעו רצון לעשות זאת. לאחרונה רוסיה החלה לחסום אתרים המשתמשים בתקן זה HTTP/3 סטנדרטי. הסיבה לכך היא ש QUIC פרוטוקול המהווה חלק מ HTTP/3 דורש שגם ClientHello יהיה מוצפן.

פרוטוקול סטטוס תעודה מקוון (OCSP)

דרך נוספת שהדפדפן שלך יכול לחשוף את פעילויות הגלישה שלך היא באמצעות פרוטוקול מצב אישור מקוון. בעת ביקור באתר HTTPS, הדפדפן עשוי לבדוק אם אישור של האתר בוטלה. זה נעשה בדרך כלל באמצעות פרוטוקול HTTP, כלומר הוא לא מוצפן.

בקשת ה-OCSP מכילה את האישור "מספר סידורי", שהוא ייחודי. הוא נשלח ל"מגיב OCSP" על מנת לבדוק את מצבו.

אנו יכולים לדמות מה דפדפן יעשה באמצעות הפקודה openssl.

  1. קבל את אישור השרת והשתמש ב-sed כדי לשמור רק על החלק החשוב ולכתוב אותו לקובץ:

    openssl s_client -connect privacyguides.org:443 < /dev/null 2>&1 |
        sed -n '/^-*BEGIN/,/^-*END/p' > /tmp/pg_server.cert
    
  2. קבלו את תעודת הביניים. רשויות אישורים (CA) בדרך כלל אינן חותמות ישירות על אישור; הם משתמשים במה שמכונה תעודת "ביניים".

    openssl s_client -showcerts -connect privacyguides.org:443 < /dev/null 2>&1 |
        sed -n '/^-*BEGIN/,/^-*END/p' > /tmp/pg_and_intermediate.cert
    
  3. האישור הראשון ב-pg_and_intermediate.cert הוא למעשה אישור השרת משלב 1. נוכל להשתמש שוב ב-sed כדי למחוק עד למופע הראשון של END:

    sed -n '/^-*END CERTIFICATE-*$/!d;:a n;p;ba' \
        /tmp/pg_and_intermediate.cert > /tmp/intermediate_chain.cert
    
  4. קבל את מגיב OCSP עבור אישור השרת:

    openssl x509 -noout -ocsp_uri -in /tmp/pg_server.cert
    

    התעודה שלנו מציגה את מגיב האישורים של Let's Encrypt. אם אנחנו רוצים לראות את כל הפרטים של התעודה נוכל להשתמש ב:

    openssl x509 -text -noout -in /tmp/pg_server.cert
    
  5. התחל את לכידת החבילה:

    tshark -w /tmp/pg_ocsp.pcap -f "tcp port http"
    
  6. הגש את בקשת ה - OCSP:

    openssl ocsp -issuer /tmp/intermediate_chain.cert \
                 -cert /tmp/pg_server.cert \
                 -text \
                 -url http://r3.o.lencr.org
    
  7. פתח את הלכידה:

    wireshark -r /tmp/pg_ocsp.pcap
    

    יהיו שתי חבילות עם פרוטוקול "OCSP": "בקשה" ו"תגובה". עבור ה"בקשה" נוכל לראות את ה"מספר הסידורי" על ידי הרחבת המשולש ▸ ליד כל שדה:

     פרוטוקול מצב אישור מקוון
       tbsRequest
         requestList: 1 item
           Request
             reqCert
              serialNumber
    

    עבור ה"תגובה" נוכל לראות גם את ה"מספר הסידורי":

    פרוטוקול מצב אישור▸ מקוון
       responseBytes
         BasicOCSPResponse
           tbsResponseData
             תגובות: פריט 1
               SingleResponse
                 certID
                  serialNumber
    
  8. או השתמש ב-tshark כדי לסנן את החבילות עבור המספר הסידורי:

    tshark -r /tmp/pg_ocsp.pcap -Tfields -Y ocsp.serialNumber -e ocsp.serialNumber
    

אם למשקיף הרשת יש את האישור הציבורי, הזמין לציבור, הוא יכול להתאים את המספר הסידורי לאישור הזה ולכן לקבוע את האתר שבו אתה מבקר. התהליך יכול להיות אוטומטי ויכול לשייך כתובות IP למספרים סידוריים. אפשר גם לבדוק ביומני שקיפות אישורים עבור המספר הסידורי.

האם להשתמש ב - DNS מוצפן?

הכנו את תרשים הזרימה הזה כדי לתאר מתי כדאי להשתמש ב-DNS מוצפן:

graph TB
    התחל[התחל] --> אנונימי{מנסה להיות<br> אנונימי?}
    אנונימי--> | כן | tor(השתמש בTor)
     אנונימי --> | לא | צנזורה{הימנעות<br> מצנזורה?}
    צנזורה --> | כן | vpnאוTor(השתמש ב- <br> VPN או Tor)
     צנזורה --> | לא | פרטיות{רוצה פרטיות<br> מ-ISP?}
    פרטיות --> | כן | vpnאוTor
    פרטיות --> | לא | מעצבן{ISP מייצרת<br> הפניות<br> מעצבנות?}
    מעצבן --> | כן | מוצפןDNS(השתמש ב<br> מוצפן DNS<br> עם צד שלישי)
    מעצבן --> | לא | ispDNS{האם ISP תומך ב<br> מוצפן DNS?}
    ispDNS --> | כן | השתמשISP(השתמש<br> מוצפן DNS<br> עם ISP)
    ispDNS --> | לא | כלום(לא לעשות כלום)

יש להשתמש ב-DNS מוצפן עם צד שלישי רק כדי לעקוף הפניות מחדש וחסימת DNS בסיסית כאשר אתה יכול להיות בטוח שלא יהיו השלכות או שאתה מעוניין בספק שיבצע סינון ראשוני.

רשימת שרתי DNS מומלצים

מהו DNSSEC?

תוספי אבטחת מערכת שמות דומיין (DNSSEC) היא תכונה של DNS המאמתת תגובות לחיפושי שמות דומיין. הוא אינו מספק הגנת פרטיות לאותם חיפושים, אלא מונע מתוקפים לתמרן או להרעיל את התגובות לבקשות DNS.

במילים אחרות, DNSSEC חותם נתונים דיגיטליים כדי להבטיח את תקפותם. על מנת להבטיח חיפוש מאובטח, החתימה מתרחשת בכל רמה בתהליך חיפוש ה-DNS. כתוצאה מכך, ניתן לסמוך על כל התשובות מה-DNS.

תהליך החתימה של DNSSEC דומה למישהו שחתום על מסמך משפטי בעט; אותו אדם חותם בחתימה ייחודית שאף אחד אחר לא יכול ליצור, ומומחה בית המשפט יכול להסתכל על החתימה הזו ולוודא שהמסמך נחתם על ידי אותו אדם. חתימות דיגיטליות אלו מבטיחות שלא בוצע שיבוש בנתונים.

DNSSEC מיישמת מדיניות חתימה דיגיטלית היררכית בכל שכבות ה-DNS. לדוגמה, במקרה של חיפוש privacyguides.org, שרת DNS שורש יחתום על מפתח עבור שרת השמות .org ו-.org nameserver יחתום על מפתח עבור שרת השמות הסמכותי של privacyguides.org.

מותאם מסקירה כללית של תוספי אבטחת DNS (DNSSEC) על ידי Google ו-DNSSEC: An Introduction](https://blog.cloudflare.com/dnssec-an-introduction/) מאת Cloudflare, שניהם ברישיון תחת CC BY 4.0.

מהו מזעור QName?

QNAME הוא "שם מוסמך", לדוגמהprivacyguides.org. מזעור QName מצמצם את כמות המידע הנשלחת משרת ה - DNS לשרת שם סמכותי.

במקום לשלוח את הדומיין privacyguides.org, מזעור QNAME פירושו ששרת ה- DNS ישאל בשביל כל הרשומות המסתיימות ב-.org. תיאור טכני נוסף מוגדר ב RFC 7816.

מהי רשת משנה של לקוח EDNS (ECS)?

רשת המשנה של לקוח EDNS היא שיטה לפותר DNS רקורסיבי לציון רשת משנה עבור המארח או הלקוח שמבצע את שאילתת ה-DNS.

זה נועד "לזרז" את מסירת הנתונים על ידי מתן תשובה ללקוח השייך לשרת הקרוב אליו כגון תוכן רשת מסירה, המשמשות לעתים קרובות בהזרמת וידאו והגשת יישומי אינטרנט של JavaScript.

תכונה זו כרוכה בעלות פרטיות, מכיוון שהיא מספרת לשרת ה-DNS מידע על מיקומו של הלקוח.