Mozilla:雲端 DOH 比傳統 DNS 更安全 效能差別不大

Editor發表於2018-09-03

Mozilla 今年3月時,在 Firefox Nightly 版本進行了 DOH(DNS Over HTTPS)與傳統 DNS 的比較實驗,探討後者是否能被前者取代,結果顯示雖然 DOH 服務平均比傳統 DNS 慢6毫秒,但是相比之下,DOH 不止服務更安全,而且在極端情況下,甚至能比傳統 DNS 的回應還快幾百毫秒。


現在的瀏覽器使用者依賴不夠安全的傳統 DNS 協議來訪問目標網站,可能面臨被追蹤(Tracking)或是欺騙(Spoofing)等風險。Mozilla 引用了2018年 Usenix 安全研討會的論文,研究顯示 DNS 服務現在正受到嚴重的干擾,而且面臨各種資料收集的隱私威脅。Firefox 開發了 DOH 技術,讓瀏覽器從一個或多個可信任的服務中獲取 DNS 資訊,以提供高安全與高隱私的 DNS 服務。


由於以可信任的 DOH 雲端服務取代傳統 DNS 是一個劇烈的改變,在選擇 DOH 伺服器時需要考慮很多因素,因此 Mozilla 對此展開了測試,主要想了解兩個問題,第一個,使用 DOH 是否能取代傳統 DNS?第二個,使用 DOH 是否會出現額外的連線錯誤?在7月的時候有約 25000 名 Firefox Nightly 63 使用者參與了 Cloudflare 與 Mozilla 共同舉行的測試,測試總共收集到了超過十億條的 DOH 資料,目前測試已結束。


結果顯示,與傳統 DNS 相比,和雲端服務供應商合作使用 HTTPS 發出 DNS 請求,在無快取的 DNS 查詢上,效能影響很小,大多數的查詢只慢了約6毫秒,但從權衡安全性和保護隱私資料的角度出發,這是可以被接受的成本。而且在某些情況下,甚至能比傳統 DNS 還快幾百毫秒。


Mozilla:雲端 DOH 比傳統 DNS 更安全 效能差別不大


另外,這個測試除了解效能方面的影響,還考慮了連線錯誤率,在軟故障(Soft-fail)模式下使用 DOH 雲端服務的使用者,和傳統 DNS 使用者相比,錯誤連線率並沒有明顯差異。軟故障模式主要使用 DOH,當域名無法正確解析或是 DOH 提供的地址連線失敗時,便退回使用傳統 DNS。


Mozilla 提到,他們正努力於創造一個可信任的 DOH 供應商生態,以滿足較高標準的資料處理需求,後續會在一組供應商中或是依照地理位置劃分 DNS 傳輸,這項試驗可能會在不久之後進行。


來源:開源中國




看雪推薦閱讀:


1、[原創]關於android 微信 frida 使用技巧


2、[原創]Hook原理


3、[翻譯]一次紅隊之旅


4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug


5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug



相關文章